# NIS2 — Directive UE 2022/2555 sur la résilience cyber

> Catégorie : **Régulations applicables** · Slug : `nis2` · Source canonique : <https://www.hebergeurs-de-donnees-de-sante.fr/criteres/nis2/>

**Définition courte** : Directive UE 2022/2555 sur un niveau commun élevé de cybersécurité dans l'Union. La santé est un secteur essentiel — obligations applicables aux hébergeurs HDS.

## Statistiques sur les 404 hébergeurs HDS

- ✓ Vérifiés sur source publique : **0**
- ◆ Revendiqués sur source publique : **25**

## Définition

NIS2 — officiellement **Directive (UE) 2022/2555** — est la directive européenne sur la résilience cyber qui succède à NIS de 2016. Adoptée le 14 décembre 2022, elle devait être transposée dans le droit national de chaque État membre **avant le 17 octobre 2024**.

La directive identifie deux catégories d'entités :

- **Entités essentielles** (Essential Entities) : grands acteurs des secteurs essentiels — santé, énergie, transport, eau, finance, infrastructure numérique.
- **Entités importantes** (Important Entities) : opérateurs moyens des secteurs ci-dessus + secteurs additionnels (chimie, alimentaire, services postaux, recherche).

Le secteur **santé** (incluant les services d'hébergement de données de santé) est classé comme **secteur essentiel**. Cela inclut les hôpitaux, les laboratoires, les fabricants de médicaments, et **par capillarité, les hébergeurs HDS qui leur fournissent leur infrastructure**.

## Pourquoi c'est important pour un hébergeur HDS

NIS2 n'est **pas une certification optionnelle** — c'est une **obligation légale** depuis octobre 2024. Les hébergeurs HDS doivent :

1. **S'enregistrer** auprès de l'autorité compétente (en France, l'ANSSI).
2. **Mettre en œuvre des mesures de gestion des risques** : analyse de risques, politique de sécurité, gestion d'incidents, continuité d'activité, supply chain, cryptographie, MFA, formation.
3. **Notifier les incidents significatifs** à l'autorité dans les 24h (early warning), 72h (notification d'incident), 1 mois (rapport final).
4. **Démontrer la conformité** sur demande de l'autorité.

Les sanctions peuvent atteindre **10 millions d'euros ou 2 % du chiffre d'affaires mondial** pour les entités essentielles, et la responsabilité personnelle des dirigeants est engagée.

## Comment ce critère est attribué dans le comparateur

NIS2 étant une obligation légale (pas une certification choisie), nous l'évaluons en termes de **conformité revendiquée** :

- **◐ Conformité revendiquée** : l'hébergeur mentionne publiquement son alignement NIS2 sur son site (page conformité, livre blanc, communiqué).
- **? À confirmer** : aucun élément public ne confirme la démarche, mais la conformité est légalement présupposée pour tout hébergeur HDS.
- **– Non concerné** : très rare dans le périmètre HDS (en pratique, jamais).

⚠️ **Important** : un hébergeur HDS qui ne mentionne pas NIS2 n'est pas automatiquement non-conforme — c'est une obligation par défaut. L'absence de mention publique est néanmoins un signal négatif sur la maturité de communication.

## Pour quel profil c'est critique

| Profil | Niveau d'exigence |
|---|---|
| Hôpital public / privé | **Critique** — vous êtes vous-même Entité Essentielle, votre supply chain doit l'être |
| Laboratoire / Biotech | **Critique** — idem |
| Mutuelle santé | **Critique** — chevauchement NIS2 + DORA |
| EHPAD | **Important** — dépend du seuil de taille, à vérifier avec votre conseil |
| Startup santé early-stage | **À planifier** — peut être en deçà des seuils mais l'aligner tôt = avantage commercial |

## Mesures de gestion des risques exigées par NIS2 (art. 21)

Les mesures organisationnelles et techniques minimales :

1. Politiques d'analyse des risques et de sécurité des SI.
2. Gestion des incidents (détection, traitement, notification).
3. Continuité d'activité (sauvegardes, plan de reprise, gestion de crise).
4. Sécurité de la chaîne d'approvisionnement.
5. Sécurité dans l'acquisition, développement et maintenance des SI.
6. Politiques d'évaluation de l'efficacité des mesures.
7. Pratiques d'hygiène cyber + formation.
8. Cryptographie et chiffrement quand approprié.
9. Sécurité des ressources humaines.
10. Authentification multi-facteurs ou continue, communications sécurisées.

## Plus-value vs coût

NIS2 n'est pas optionnel — c'est la loi applicable. La question pertinente n'est pas « faut-il s'y mettre » mais « comment s'y mettre efficacement ».

Pour un hébergeur HDS ayant déjà ISO 27001 et HDS, la conformité NIS2 est largement couverte. Les efforts additionnels portent sur la **notification d'incident dans les délais réglementaires** (process, outils, équipes 24/7) et la **gestion des risques supply chain**.

## FAQ

**Quand NIS2 a-t-elle été transposée en droit français ?**
Loi de transposition adoptée fin 2024 / début 2025. Décrets d'application publiés courant 2025. L'ANSSI publie des guides sectoriels et un guichet d'enregistrement en ligne.

**Quelle différence entre NIS et NIS2 ?**
NIS (2016) couvrait ~500 opérateurs en France. NIS2 élargit à des milliers — tous les secteurs essentiels et importants, avec un seuil de taille (>50 ETP ou CA >10 M€). Les obligations sont aussi renforcées (notification 24h, responsabilité dirigeants, sanctions financières).

**Quelle articulation avec ISO 27001 et HDS ?**
NIS2 est une obligation légale. ISO 27001 et HDS sont des certifications. Avoir ISO 27001 + HDS couvre la majorité des exigences NIS2 mais ne dispense pas de l'enregistrement et de la notification d'incident.

**Quels secteurs sont concernés ?**
Énergie, transport, banque/finance, santé, eau (potable et usée), infrastructure numérique (DNS, registres TLD, cloud, datacenters, CDN…), administration publique, espace. + entités importantes : services postaux, gestion déchets, alimentaire, fabrication (pharma, dispositifs médicaux, chimie), services numériques (places de marché, moteurs de recherche, réseaux sociaux), recherche.

## Glossaire

- **EE** : Entité Essentielle (Essential Entity au sens NIS2).
- **EI** : Entité Importante (Important Entity).
- **ANSSI** : Agence nationale française désignée comme autorité compétente NIS2.
- **CSIRT** : Computer Security Incident Response Team — équipe de réponse aux incidents.

## Hébergeurs satisfaisant ce critère

### ◆ Revendiqué sur source publique (25)

- [ABBANA](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/abbana/)
- [ACESI](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/acesi/)
- [ACRONIS INTERNATIONAL GMBH](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/acronis-international-gmbh/)
- [ADISTA](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/adista/)
- [AIRON TELEMATICA](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/airon-telematica/)
- [ARX ONE](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/arx-one/)
- [ATOS](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/atos/)
- [AXESS GROUPE](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/axess-groupe/)
- [AZNETWORK](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/aznetwork/)
- [BOUYGUES TELECOM BUSINESS SOLUTION](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/bouygues-telecom-business-solution/)
- [DELETEC](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/deletec/)
- [EDIEYES VISION CARE](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/edieyes-vision-care/)
- [GROUPE ITC](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/groupe-itc/)
- [Guardis](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/guardis/)
- [I VISION](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/i-vision/)
- [ITINSELL CLOUD](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/itinsell-cloud/)
- [KOESIO CORPORATE TECHNOLOGIES](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/koesio-corporate-technologies/)
- [LECPAC-CONSULTING](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/lecpac-consulting/)
- [NETEXPLORER](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/netexplorer/)
- [NUMSPOT](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/numspot/)
- [ON X GROUPE](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/on-x-groupe/)
- [OODRIVE SAS](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/oodrive-sas/)
- [SCALAIR](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/scalair/)
- [SIMPLICIT](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/simplicit/)
- [UNITEL FRANCE](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/unitel-france/)

## Méthodologie et limites

- ✓ **Vérifié** = source publique citée (registre officiel, verbatim site acteur).
- ◆ **Revendiqué** = mention déclarative non vérifiée indépendamment.
- ◐ **En cours** = démarche datée publiquement.
- — **Non documenté** = information non trouvée. **N'implique pas l'absence du service**.
- Méthodologie complète : <https://www.hebergeurs-de-donnees-de-sante.fr/verification/>
- Équité Guardis vs concurrents : <https://www.hebergeurs-de-donnees-de-sante.fr/equite-methodologique/>

---

_Comparateur édité par Hasgard SARL. Publication éditoriale indépendante. Licence CC BY-SA 4.0._
_Variante Markdown brut : ajoutez `.md` à l'URL de n'importe quelle page._