L’arrêté du 13 juin 2018 vient compléter le dispositif applicable aux OSE et FSN posé par la loi de transposition de la directive Network and Information Security ainsi que son décret d’application relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique.
Ces dispositions concernent notamment plusieurs acteurs du secteur de la santé et, par exemple, les établissements de soins qui seront désignés OSE ainsi que certains hébergeurs de données de santé qui proposent des services cloud.
1. Transposition de la directive NIS
La directive Network and Information Security (NIS) adoptée le 6 juillet 2016 par le Parlement européen et le Conseil de l’Union européenne a été transposée en droit français par la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité (1). Elle a pour objectif de renforcer les capacités nationales en matière de cybersécurité afin d’améliorer le fonctionnement du marché intérieur.
Conformément à la directive NIS, d’une part, et à sa loi de transposition, d’autre part, les obligations issues de ces textes concernent notamment :
- les opérateurs de service essentiel qu’ils soient publics ou privées (les OSE) ;
- les fournisseurs de services numériques (les FSN).
2. Opérateurs de service essentiels dans le secteur de la santé
2.1. Définition des opérateurs de services essentiels
Les OSE sont des «opérateurs, publics ou privés, offrant des services essentiels au fonctionnement de la société ou de l’économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d’information nécessaires à la fourniture desdits services» (Loi n° 2018-133 art. 5).
En application de l’article 5 de la loi, «ces opérateurs sont désignés par le Premier ministre. La liste de ces opérateurs est actualisée à intervalles réguliers et au moins tous les deux ans».
Ainsi, les structures de santé ne peuvent être concernées par ces textes que si elles sont désignées par le Premier ministre en tant qu’OSE.
A noter que cette définition est similaire à celle des opérateurs d’Importance vitale dont la notion figure déjà aux articles L. 1332-1 et L. 1332-2 du Code de la défense qui sont exclus des OSE, conformément à l’article 5 de la loi susvisée, pour les systèmes d’information visés par cette réglementation.
2.2 Désignation des opérateurs de services essentiels dans le secteur de la santé
Peuvent être désignés OSE les opérateurs fournissant un des services :
- mentionnés à l’annexe du décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des OSE et FSN (2). Dans le secteur de la santé, différents sous-secteurs sont visés :
- les établissements de soins de santé (y compris les hôpitaux et les cliniques privées) : ce sous-secteur concerne les prestataires de soins de santé et les prestataires fournissant un service d’aide médicale d’urgence ;
- les produits pharmaceutiques : la distribution pharmaceutique par les grossistes répartiteurs pharmaceutiques ;
- les mutuelles sont également visées pour les services d’assurance vie, d’assurance non-vie et de réassurance.
- dont la fourniture requiert des réseaux et systèmes d’information et qu’un incident affectant ces réseaux et systèmes aurait sur la fourniture du service, des conséquences graves, appréciées au regard de différents critères (nombre d’utilisateurs dépendant du service, dépendance des autres secteurs d’activité mentionnés à l’annexe du décret, conséquence de l’incident en termes de gravité et de durée, sur le fonctionnement de l’économie ou de la société ou sur la sécurité juridique, etc.).
Sur la base de ces critères, l’Agence nationale de la sécurité des systèmes d’information (Anssi) précise dans sa FAQ (3) qu’elle proposera au Premier ministre, en coordination avec les ministères compétents, une liste d’OSE potentiels et poursuit en indiquant les étapes du processus de désignation des OSE. Par exemple, pour un établissement de santé :
- une lettre d’intention de désignation est adressée à l’établissement de santé pressenti OSE ;
- l’établissement de santé pressenti OSE peut émettre des réserves ;
- le Premier ministre prend ou non la décision de désigner l’établissement de santé comme OSE, par arrêté.
2.3 Obligations des opérateurs de services essentiels dans le secteur de la santé
Lorsqu’ils sont désignés OSE, ces opérateurs sont tenus de respecter les obligations suivantes :
- désigner une personne chargée de le représenter auprès de l’Anssi et communiquer ses coordonnées dans un délai de deux mois à compter de la date d’effet de l’arrêté de désignation (Loi n° 2018-133 art. 5) ;
- déclarer les réseaux et systèmes d’information considérés comme essentiels dans un délai de trois mois à compter de la date d’effet de l’arrêté de désignation, c’est-à-dire nécessaires à la fourniture des services essentiels mentionnés ci-dessus, y compris les réseaux et systèmes d’information dont l’exploitation a été confiée à un tiers. Les modalités des déclarations sont prévues par un arrêté du 13 juin 2018 (4), lequel prévoit que :
- la communication des réseaux et systèmes d’information est accompagnée, pour chaque réseau et système d’information, d’un formulaire complété, disponible sur le site de l’Anssi ;
- l’OSE communique une fois par an à l’Anssi la liste et les formulaires mis à jour.
- appliquer à leurs frais les règles de sécurité nécessaires à la protection des réseaux et des SI fixées par arrêté du Premier ministre dans les domaines suivants : gouvernance de la sécurité des réseaux et des SI, protection des réseaux et des SI, défense des réseaux et des SI, résilience des activités (décret n° 2018-384, art. 10) ;
- déclarer, sans délai après en avoir pris connaissance, à l’Anssi, «les incidents affectant les réseaux et systèmes d’information nécessaires à la fourniture de services essentiels, lorsque ces incidents ont ou sont susceptibles d’avoir, compte tenu notamment du nombre d’utilisateurs et de la zone géographique touchés ainsi que de la durée de l’incident, un impact significatif sur la continuité de ces services» (arrêté du 13-6-2018, art. 3) :
- après consultation de l’OSE, l’Anssi peut informer le public d’un incident ;
- la déclaration est réalisée sans préjudice de toute autre formalité déclarative à la charge de l’OSE. Par exemple, concernant un établissement de santé désigné OSE, il sera également tenu de signaler à l’ARS tout incident grave de sécurité des systèmes d’information de santé et à la Cnil toute violation de données personnelles susceptible d’engendrer un risque pour les droits et libertés des personnes physiques comme nous l’avions présenté dans un précédent article ;
- la déclaration est réalisée en utilisant le formulaire disponible sur le site internet de l’Anssi, dans lequel l’OSE mentionne notamment : des informations sur le déclarant, le réseau et le système d’information affecté par l’incident, les conséquences de l’incident sur les services essentiels concernés, le type d’incident, les causes, les mesures prises par l’OSE permettant d’y répondre ;
- l’OSE doit transmettre le formulaire par voie électronique ou postale dès qu’il a connaissance d’un incident, y compris s’il ne dispose pas de toutes les informations requises. Dans cette dernière hypothèse, il complète le formulaire dès qu’il connait ces informations.
- se soumettre à des contrôles de l’Anssi destinés à vérifier le respect de ces obligations et le niveau de sécurité des réseaux et des systèmes d’information de santé nécessaire à la fourniture des services essentiels (décret n° 2018-384, art. 13 et suivants).
2.4 Sanctions des opérateurs de services essentiels
L’article 9 de la loi prévoit les sanctions encourues en cas de non-respect des obligations par les OSE. Ainsi, la loi prévoit que le fait pour les dirigeants des OSE de ne pas se conformer aux règles de sécurité à l’issue du délai fixé par mise en demeure est puni de 100 000 € d’amende.
Est également puni de 75 000 € d’amende le fait, pour les dirigeants des OSE de ne pas satisfaire à l’obligation de déclaration d’incident. Enfin, est puni de 125 000 € d’amende le fait, pour les mêmes personnes, de faire obstacle aux opérations de contrôle de l’Anssi.
Marguerite Brac de la Perrière
Chloé Gaveau
Département Santé numérique
(1) Loi n°2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité.
(2) Décret n°2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des OSE et des FSN.
(3) Anssi, FAQ – Opérateurs de services essentiels (OSE).
(4) Arrêté du 13 juin 2018 fixant les modalités des déclarations prévues aux articles 8, 11 et 20 du décret n°2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des OSE et des FSN.