NIS2 pour le secteur de la santé en Belgique

Publié le — par Matthieu Roland

N°5Secteur de l'Annexe I
5Sous-secteurs santé
24 hAlerte précoce incident

Hôpitaux, laboratoires, groupes pharmaceutiques, fabricants de dispositifs médicaux : la santé figure parmi les 11 secteurs hautement critiques de l'Annexe I de la loi belge du 26 avril 2024, transposition de la directive NIS2 en vigueur depuis le 18 octobre 2024. Cette page approfondit les obligations propres au secteur des soins de santé ; pour situer votre organisation parmi les 18 secteurs, commencez par notre panorama des secteurs NIS2. Voir aussi nos analyses des secteurs énergie et financier.

Le secteur santé dans l'Annexe I de la loi belge

L'Annexe I (secteur 5) et l'article 9 de la loi couvrent la chaîne de la santé bien au-delà des seuls hôpitaux :

Sous-secteur (Annexe I)Entités visées (article 9)Exemples concrets
Prestataires de soins de santéPrestataires de soins de santéHôpitaux, cliniques, groupes hospitaliers
Laboratoires de référenceLaboratoires de référence de l'UnionLaboratoires désignés au niveau européen
Recherche et développement pharmaceutiquesEntités effectuant des recherches et développement de produits pharmaceutiquesCentres de R&D, biotechs
Fabrication de produits pharmaceutiquesFabricants de produits pharmaceutiques et de substances pharmaceutiques activesSites de production pharma
Fabrication de dispositifs médicauxFabricants de dispositifs médicaux et de dispositifs médicaux de diagnostic in vitroFabricants d'équipements et de diagnostics

Point d'attention : la fabrication de dispositifs médicaux et de diagnostic in vitro apparaît aussi à l'Annexe II (secteur « fabrication », entités importantes). La qualification exacte dépend donc de la nature de l'activité et de la taille de l'entreprise — en cas de doute, faites analyser votre situation.

Hôpital, clinique, labo : entité essentielle ou importante ?

Comme pour tous les secteurs, le statut résulte du croisement entre l'annexe applicable et la taille de l'organisation (article 5 de la loi, conformément à la recommandation 2003/361/CE) :

Un cabinet médical indépendant n'est donc, en règle générale, pas concerné ; un hôpital universitaire l'est presque toujours. Entre les deux, chaque situation mérite une vérification — notamment via l'enregistrement auprès du CCB, obligatoire depuis le 18 mars 2025 pour les entités visées.

Les obligations concrètes des acteurs de la santé

Les 11 mesures de gestion des risques (article 30)

Les entités essentielles et importantes du secteur santé doivent mettre en œuvre les 11 mesures minimales de l'article 30 : analyse des risques et politiques de sécurité, gestion des incidents, continuité des activités (PCA/PRA, sauvegardes testées), sécurité de la chaîne d'approvisionnement, sécurité dans l'acquisition et le développement des systèmes, évaluation de l'efficacité des mesures, cyberhygiène et formation, cryptographie, sécurité des ressources humaines et contrôle d'accès, authentification multifacteur et communications sécurisées.

Dans un environnement hospitalier, la continuité des activités est la mesure la plus sensible : les plans de continuité et de reprise doivent couvrir les systèmes dont dépend la prise en charge des patients (dossier patient informatisé, imagerie, laboratoire), et les procédures dégradées doivent être exercées régulièrement — l'article 30 exige explicitement des exercices et des tests des procédures.

Notification d'incidents : 24 h / 72 h / 1 mois

Tout incident ayant un impact significatif — une perturbation opérationnelle grave des services ou des pertes financières importantes, ou encore des dommages considérables causés à des tiers (article 34) — déclenche la séquence de notification au CSIRT national opéré par le CCB : alerte précoce sous 24 heures, notification sous 72 heures, rapport final dans le mois. Notre guide notification d'incidents NIS2 détaille le contenu attendu à chaque étape. À noter : lorsque des données de patients sont affectées, les obligations du RGPD en matière de violation de données personnelles s'appliquent de manière indépendante et parallèle.

Gouvernance : la direction est en première ligne (article 32)

Le conseil d'administration et la direction générale d'un établissement de santé doivent approuver les mesures de gestion des risques cyber, superviser leur mise en œuvre et suivre une formation appropriée. Ils peuvent être tenus personnellement responsables en cas de manquement. Les plafonds financiers sont dissuasifs : jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial pour une entité essentielle, 7 M€ ou 1,4 % pour une entité importante — le détail figure sur notre page sanctions NIS2.

Supervision : ex ante pour les essentielles, ex post pour les importantes

Les entités essentielles doivent pouvoir démontrer proactivement leur conformité par l'une des trois voies admises : certification ou vérification CyFun, certification ISO 27001, ou inspection par le CCB. Les entités importantes ne sont contrôlées qu'en cas d'indices de manquement, mais peuvent volontairement adopter le régime des essentielles et bénéficier d'une présomption de conformité. Les pouvoirs du service d'inspection (article 52 : inspections sur site ou à distance, audits, demandes de preuves, scans de sécurité) sont analysés dans notre article sur les inspections du CCB.

Spécificités du secteur santé

Trois réalités du terrain pèsent sur la mise en conformité des acteurs de la santé. D'abord, la criticité vitale des services : l'indisponibilité des systèmes affecte directement la prise en charge des patients, ce qui rejoint les critères d'identification de l'article 11 (impact sociétal des incidents). Ensuite, un parc applicatif et biomédical hétérogène, où les équipements connectés doivent être intégrés au périmètre de l'analyse de risque au même titre que l'informatique de gestion. Enfin, une chaîne d'approvisionnement étendue (éditeurs de logiciels de santé, prestataires d'hébergement, sous-traitants techniques) : le référentiel CyFun 2025, publié par le CCB en octobre 2025 et aligné sur le NIST CSF 2.0 avec sa fonction GOVERN, renforce précisément les exigences de gouvernance et de sécurité de la supply chain, avec des mesures de gouvernance dès le niveau Important. Les versions CyFun 2023 et 2025 coexistent jusqu'au 18 avril 2027.

Par où commencer : le parcours recommandé

  1. Qualifier votre statut (Annexe I santé, taille, exceptions) et vous enregistrer auprès du CCB ;
  2. Réaliser une gap analysis des 11 mesures de l'article 30, incluant les systèmes cliniques et biomédicaux — voir nos services d'audit NIS2 ;
  3. Choisir le niveau CyFun cible (Small, Basic, Important, Essential) en fonction de votre statut et de votre profil de risque : consultez notre comparatif des niveaux CyFun ;
  4. Mettre en œuvre et documenter les mesures : selon le calendrier publié par le CCB, les entités essentielles doivent pouvoir démontrer la mise en œuvre effective au 18 avril 2026 (vérification CyFun) ;
  5. Viser la certification CyFun au niveau requis pour le 18 avril 2027 — notre dossier certification CyFun Essential 2027 détaille l'échéance.

Pour anticiper l'investissement nécessaire, consultez notre analyse du coût de la conformité NIS2.

FAQ — NIS2 et le secteur de la santé

Un hôpital de 300 employés est-il une entité essentielle ?

En règle générale, oui. Les prestataires de soins de santé relèvent de l'Annexe I (secteur santé) et une organisation de 250 employés ou plus est une grande entreprise au sens de l'article 5 de la loi : elle est donc en principe qualifiée d'entité essentielle, sous réserve de l'identification opérée par l'autorité compétente (article 11).

Une clinique ou un laboratoire de taille moyenne est-il concerné par NIS2 ?

En principe, oui, en tant qu'entité importante : les entités de taille moyenne (50 à 249 employés, CA inférieur ou égal à 50 M€) d'un secteur de l'Annexe I sont en règle générale des entités importantes, soumises aux mêmes mesures de l'article 30 et aux mêmes obligations de notification, mais avec une supervision uniquement ex post.

Un fabricant de dispositifs médicaux relève-t-il de l'Annexe I ou de l'Annexe II ?

Les deux annexes mentionnent la fabrication de dispositifs médicaux : l'Annexe I au sein du secteur santé et l'Annexe II au sein du secteur fabrication (dispositifs médicaux et de diagnostic in vitro). La qualification dépend de la nature exacte de l'activité et de la taille de l'entreprise ; une analyse au cas par cas est recommandée.

Quels délais de notification en cas de ransomware dans un hôpital ?

Si l'incident a un impact significatif : alerte précoce sous 24 heures, notification sous 72 heures et rapport final dans le mois, auprès du CSIRT national opéré par le CCB (articles 34-35 de la loi). Les obligations du RGPD relatives aux violations de données personnelles s'appliquent par ailleurs de manière indépendante.

Quel niveau CyFun pour un établissement de santé ?

Le niveau (Small, Basic, Important ou Essential) dépend du statut de l'entité et de son profil de risque. Selon le calendrier publié par le CCB, la plupart des entités essentielles visent le niveau Essential, avec vérification au 18 avril 2026 et certification au 18 avril 2027.

Sources officielles

Établissement de santé : sécurisez votre mise en conformité

Gap analysis adaptée aux environnements hospitaliers, choix du niveau CyFun, préparation à la vérification 2026 et à la certification 2027 : notre équipe accompagne hôpitaux, laboratoires et industriels de la santé à chaque étape.

Demander un diagnostic NIS2 santé → Découvrir nos services