Auteur : Stéphanie Taelemans (GD&A Advocaten)
Les cyberattaques constituent une menace croissante pour les soins de santé, et en particulier les hôpitaux. Avec une connectivité croissante grâce à l’Internet des objets médicaux (IoMT), les hôpitaux sont confrontés à de nouveaux défis dans le domaine de la cybersécurité. Il est essentiel que les administrateurs d’hôpitaux soient conscients de leurs responsabilités et des obligations juridiques qui les accompagnent.
Les cybercriminels s’introduisent dans le cœur informatique vulnérable des hôpitaux via l’Internet des objets médicaux (IoMT), tels que la chirurgie robotique et les dispositifs médicaux portables, ainsi que les comptoirs d’enregistrement automatisés. Tout le monde dans le secteur connaît des exemples d’attaques réussies ou infructueuses contre des hôpitaux. Le SPF Santé Publique reconnaît la menace et a alloué des moyens (15 millions d’euros en 2023 et 12 millions en 2024) pour améliorer la cybersécurité.
Le législateur (européen) n’est pas non plus resté les bras croisés. La loi du 26 avril 2024 instituant un cadre pour la cybersécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique (la « Loi NIS2 ») transpose la directive européenne et remplace la loi NIS1 du 7 avril 2019. L’objectif de la loi est pour protéger les réseaux et les systèmes d’information d’intérêt général. Il entrera en vigueur le 18 octobre 2024.
Développements juridiques importants avec de nouvelles obligations pour les hôpitaux
La nouvelle loi NIS2, qui entrera en vigueur le 18 octobre 2024, remplace la loi NIS1 et fixe des exigences plus strictes en matière de cybersécurité des réseaux et systèmes d’information d’intérêt général. Par exemple, les hôpitaux doivent s’inscrire auprès du Centre pour la Cybersécurité Belgique (CCB) avant le 18 mars 2025 et prendre les mesures appropriées pour gérer les risques de cybersécurité.
Le niveau de sécurité doit être adapté aux risques, en tenant compte de l’état de la technique et des coûts de mise en œuvre. L’appréciation de la proportionnalité prend en compte le degré d’exposition aux risques, la taille de l’entité ainsi que la probabilité que les incidents surviennent et leur gravité, y compris les conséquences sociales (art. 30 § 1 et 2). Les « mesures appropriées » impliquent donc une certaine personnalisation. Par ailleurs, les hôpitaux doivent également être conscients des vulnérabilités de leurs fournisseurs (art. 30 §3, 4°) et doivent les faire connaître sur le site Internet de l’hôpital.
En plus de s’inscrire auprès du Centre pour la Cybersécurité Belgique (CCB) et de prendre les mesures appropriées pour gérer les risques de cybersécurité, les hôpitaux doivent désormais signaler les incidents significatifs au CCB.
Les hôpitaux seront également soumis à des évaluations de conformité régulières par le CCB. Le CCB peut imposer un délai dans lequel des mesures doivent être prises, nommer un agent de contrôle, etc. pouvant aller jusqu’à interdire temporairement l’exercice de fonctions de direction. Le CCB peut également imposer des amendes.
Responsabilité des organes directeurs
La loi (art. 31) confie une double tâche aux organes administratifs :
Ils devraient adopter des contrôles des risques de cybersécurité et surveiller leur mise en œuvre ; Les membres des organes directeurs doivent suivre une formation afin qu’ils disposent de connaissances et de compétences suffisantes pour identifier les risques et puissent procéder à une évaluation éclairée de la gestion des risques.
Il convient de noter que l’exposé des motifs de la loi NIS2 donne aux (membres des) organes administratifs un sens très large, certainement plus large que le « corps administratif » tel que visé dans le Code des sociétés et des associations. En partie à la lumière de la nouvelle loi sur la responsabilité, il faudra examiner dans quelle mesure le directeur de l’hôpital, les membres du conseil médical ou un membre du personnel concerné (par exemple le chef du service technique) peuvent également être concernés par le nouveau NIS2. loi.
Conclusion
Il est essentiel que les hôpitaux et leurs administrateurs prennent au sérieux les nouvelles exigences légales et prennent les mesures nécessaires pour assurer leur cybersécurité. GD&A Advocaten est prêt à vous conseiller et à vous accompagner dans la navigation dans ces réglementations complexes et dans la mise en œuvre des mesures nécessaires.
Source : GD&A Advocaten
