Publié le — par Matthieu Roland
Hôpitaux, laboratoires, groupes pharmaceutiques, fabricants de dispositifs médicaux : la santé figure parmi les 11 secteurs hautement critiques de l'Annexe I de la loi belge du 26 avril 2024, transposition de la directive NIS2 en vigueur depuis le 18 octobre 2024. Cette page approfondit les obligations propres au secteur des soins de santé ; pour situer votre organisation parmi les 18 secteurs, commencez par notre panorama des secteurs NIS2. Voir aussi nos analyses des secteurs énergie et financier.
L'Annexe I (secteur 5) et l'article 9 de la loi couvrent la chaîne de la santé bien au-delà des seuls hôpitaux :
| Sous-secteur (Annexe I) | Entités visées (article 9) | Exemples concrets |
|---|---|---|
| Prestataires de soins de santé | Prestataires de soins de santé | Hôpitaux, cliniques, groupes hospitaliers |
| Laboratoires de référence | Laboratoires de référence de l'Union | Laboratoires désignés au niveau européen |
| Recherche et développement pharmaceutiques | Entités effectuant des recherches et développement de produits pharmaceutiques | Centres de R&D, biotechs |
| Fabrication de produits pharmaceutiques | Fabricants de produits pharmaceutiques et de substances pharmaceutiques actives | Sites de production pharma |
| Fabrication de dispositifs médicaux | Fabricants de dispositifs médicaux et de dispositifs médicaux de diagnostic in vitro | Fabricants d'équipements et de diagnostics |
Point d'attention : la fabrication de dispositifs médicaux et de diagnostic in vitro apparaît aussi à l'Annexe II (secteur « fabrication », entités importantes). La qualification exacte dépend donc de la nature de l'activité et de la taille de l'entreprise — en cas de doute, faites analyser votre situation.
Comme pour tous les secteurs, le statut résulte du croisement entre l'annexe applicable et la taille de l'organisation (article 5 de la loi, conformément à la recommandation 2003/361/CE) :
Un cabinet médical indépendant n'est donc, en règle générale, pas concerné ; un hôpital universitaire l'est presque toujours. Entre les deux, chaque situation mérite une vérification — notamment via l'enregistrement auprès du CCB, obligatoire depuis le 18 mars 2025 pour les entités visées.
Les entités essentielles et importantes du secteur santé doivent mettre en œuvre les 11 mesures minimales de l'article 30 : analyse des risques et politiques de sécurité, gestion des incidents, continuité des activités (PCA/PRA, sauvegardes testées), sécurité de la chaîne d'approvisionnement, sécurité dans l'acquisition et le développement des systèmes, évaluation de l'efficacité des mesures, cyberhygiène et formation, cryptographie, sécurité des ressources humaines et contrôle d'accès, authentification multifacteur et communications sécurisées.
Dans un environnement hospitalier, la continuité des activités est la mesure la plus sensible : les plans de continuité et de reprise doivent couvrir les systèmes dont dépend la prise en charge des patients (dossier patient informatisé, imagerie, laboratoire), et les procédures dégradées doivent être exercées régulièrement — l'article 30 exige explicitement des exercices et des tests des procédures.
Tout incident ayant un impact significatif — une perturbation opérationnelle grave des services ou des pertes financières importantes, ou encore des dommages considérables causés à des tiers (article 34) — déclenche la séquence de notification au CSIRT national opéré par le CCB : alerte précoce sous 24 heures, notification sous 72 heures, rapport final dans le mois. Notre guide notification d'incidents NIS2 détaille le contenu attendu à chaque étape. À noter : lorsque des données de patients sont affectées, les obligations du RGPD en matière de violation de données personnelles s'appliquent de manière indépendante et parallèle.
Le conseil d'administration et la direction générale d'un établissement de santé doivent approuver les mesures de gestion des risques cyber, superviser leur mise en œuvre et suivre une formation appropriée. Ils peuvent être tenus personnellement responsables en cas de manquement. Les plafonds financiers sont dissuasifs : jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial pour une entité essentielle, 7 M€ ou 1,4 % pour une entité importante — le détail figure sur notre page sanctions NIS2.
Les entités essentielles doivent pouvoir démontrer proactivement leur conformité par l'une des trois voies admises : certification ou vérification CyFun, certification ISO 27001, ou inspection par le CCB. Les entités importantes ne sont contrôlées qu'en cas d'indices de manquement, mais peuvent volontairement adopter le régime des essentielles et bénéficier d'une présomption de conformité. Les pouvoirs du service d'inspection (article 52 : inspections sur site ou à distance, audits, demandes de preuves, scans de sécurité) sont analysés dans notre article sur les inspections du CCB.
Trois réalités du terrain pèsent sur la mise en conformité des acteurs de la santé. D'abord, la criticité vitale des services : l'indisponibilité des systèmes affecte directement la prise en charge des patients, ce qui rejoint les critères d'identification de l'article 11 (impact sociétal des incidents). Ensuite, un parc applicatif et biomédical hétérogène, où les équipements connectés doivent être intégrés au périmètre de l'analyse de risque au même titre que l'informatique de gestion. Enfin, une chaîne d'approvisionnement étendue (éditeurs de logiciels de santé, prestataires d'hébergement, sous-traitants techniques) : le référentiel CyFun 2025, publié par le CCB en octobre 2025 et aligné sur le NIST CSF 2.0 avec sa fonction GOVERN, renforce précisément les exigences de gouvernance et de sécurité de la supply chain, avec des mesures de gouvernance dès le niveau Important. Les versions CyFun 2023 et 2025 coexistent jusqu'au 18 avril 2027.
Pour anticiper l'investissement nécessaire, consultez notre analyse du coût de la conformité NIS2.
En règle générale, oui. Les prestataires de soins de santé relèvent de l'Annexe I (secteur santé) et une organisation de 250 employés ou plus est une grande entreprise au sens de l'article 5 de la loi : elle est donc en principe qualifiée d'entité essentielle, sous réserve de l'identification opérée par l'autorité compétente (article 11).
En principe, oui, en tant qu'entité importante : les entités de taille moyenne (50 à 249 employés, CA inférieur ou égal à 50 M€) d'un secteur de l'Annexe I sont en règle générale des entités importantes, soumises aux mêmes mesures de l'article 30 et aux mêmes obligations de notification, mais avec une supervision uniquement ex post.
Les deux annexes mentionnent la fabrication de dispositifs médicaux : l'Annexe I au sein du secteur santé et l'Annexe II au sein du secteur fabrication (dispositifs médicaux et de diagnostic in vitro). La qualification dépend de la nature exacte de l'activité et de la taille de l'entreprise ; une analyse au cas par cas est recommandée.
Si l'incident a un impact significatif : alerte précoce sous 24 heures, notification sous 72 heures et rapport final dans le mois, auprès du CSIRT national opéré par le CCB (articles 34-35 de la loi). Les obligations du RGPD relatives aux violations de données personnelles s'appliquent par ailleurs de manière indépendante.
Le niveau (Small, Basic, Important ou Essential) dépend du statut de l'entité et de son profil de risque. Selon le calendrier publié par le CCB, la plupart des entités essentielles visent le niveau Essential, avec vérification au 18 avril 2026 et certification au 18 avril 2027.
Gap analysis adaptée aux environnements hospitaliers, choix du niveau CyFun, préparation à la vérification 2026 et à la certification 2027 : notre équipe accompagne hôpitaux, laboratoires et industriels de la santé à chaque étape.