NIS2 dans le secteur des soins de santé

Ce que votre établissement doit savoir (et faire)

Contactez notre expert
Équipe de cybersécurité
Le 13 janvier 2026, l'hôpital AZ Monica à Anvers a été frappé par une cyberattaque majeure. L'ensemble du réseau informatique a été paralysé. Toutes les opérations programmées ont été annulées, sept patients critiques ont dû être transférés vers d'autres hôpitaux, et il a fallu plus d'un mois pour que l'ensemble des systèmes IT redeviennent pleinement opérationnels.  

Ce type de scénario n'a plus rien d'exceptionnel. En 2024, les établissements de soins belges ont subi en moyenne 2.668 cyberattaques¹ par semaine. Le secteur des soins figure ainsi parmi les cibles les plus visées du pays. 

Avec la loi belge NIS2, en vigueur depuis le 18 octobre 2024, ces risques relèvent désormais aussi de la responsabilité des dirigeants. Mais que prévoit exactement cette loi ? Et quelles mesures concrètes devez-vous prendre en tant qu'établissement de soins ? 
 

¹ https://techpulse.be/business/477451/ransomware-in-belgie-nieuwe-strategie-en-zorgsector-nu-tweede-grootste-doelwit/

Qu’est-ce que la loi NIS2 ?

La Belgique a transposé la directive européenne NIS2 par la Loi du 26 avril 2024 et l'Arrêté royal du 9 juin 2024. Ensemble, ils remplacent l'ancienne loi NIS1 de 2019. Le Centre pour la Cybersécurité Belgique (CCB) fait office d'autorité nationale de contrôle. 

La loi impose un cadre de cybersécurité complet aux organisations qui fournissent des services essentiels au fonctionnement d'activités sociétales ou économiques critiques — y compris les hôpitaux et les établissements de soins.

Votre établissement est-il concerné par la loi NIS2 ? 

Vous êtes soumis à la loi NIS2 si votre organisation opère dans un secteur considéré comme essentiel ou important, et si vous dépassez les seuils européens de taille : 

  • au moins 50 équivalents temps plein (ETP), ou 
  • un chiffre d'affaires annuel ou un total du bilan supérieur à 10 millions d'euros.

Les hôpitaux sont classés comme entités essentielles. Cela implique une supervision plus stricte et proactive.

Pourquoi cette urgence dans le secteur des soins ?

L'incident chez AZ Monica a mis en lumière la vulnérabilité du secteur de manière frappante. Une seule attaque a suffi pour que : 

  • le Dossier Patient Informatisé reste inaccessible pendant trois semaines 
  • seulement 30 % des soins programmés puissent avoir lieu le lendemain de l'attaque 
  • les équipes SMUR et PIT soient mises à l'arrêt
  • la planification du personnel et le traitement des salaires soient perturbés pendant des semaines 
  • cinq autres hôpitaux belges soient également touchés via un fournisseur de logiciels commun 

Et AZ Monica n'est pas un cas isolé. Depuis plusieurs années, le secteur des soins figure en tête des secteurs les plus attaqués en Belgique. Cette vulnérabilité s'explique logiquement : des données patients de grande valeur, des infrastructures IT souvent complexes et vieillissantes, et une forte dépendance vis-à-vis de fournisseurs externes. 

Quelles sont vos obligations sous NIS2 ?

La loi impose quatre grandes obligations :

1. Mesures de gestion des risques (devoir de diligence)

Vous devez mettre en place des mesures techniques et organisationnelles démontrables : sécurisation des réseaux et systèmes d'information, gestion des incidents, contrôle des accès, logging, continuité des activités et sécurité de la chaîne d'approvisionnement (vos fournisseurs sont également concernés). 

2. Obligation de notification 

En cas d'incident grave, vous devez effectuer un signalement dans les 24 heures via les canaux désignés par le CCB.

3. Enregistrement et supervision

Les organisations soumises à la loi NIS2 doivent s'enregistrer via le portail Safeonweb@Work. Les entités essentielles (comme les hôpitaux) font l'objet d'une supervision renforcée et proactive. 

4. Gouvernance et responsabilité

La direction est personnellement responsable en cas de négligence. Les sanctions peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial. Les mécanismes d'audit et d'inspection sont structurellement renforcés. 

Comment BDO peut-il vous accompagner ?

BDO offre aux établissements de soins un accompagnement intégral en matière de conformité NIS2 : 

  • Analyse juridique de vos obligations NIS2, modèles de gouvernance et contrats fournisseurs 
  • Évaluations en cybersécurité comprenant analyses de risques, scans de maturité et audits techniques/organisationnels 
  • Élaboration de politiques en matière de réponse aux incidents, de continuité des activités et de sécurité de la chaîne d'approvisionnement 
  • CISO-as-a-Service : soutien temporaire ou structurel pour la gouvernance, le reporting et le pilotage de la sécurité 
  • Implémentation et certification : accompagnement vers ISO 27001 et les exigences belges CyberFundamentals 
  • Accompagnement pratique lors de la mise en œuvre de trajectoires d'amélioration techniques et organisationnelles 

BDO vous fournit un plan d'action clair et réalisable, pour que votre organisation soit en conformité démontrable avec la loi NIS2 tout en renforçant structurellement sa résilience numérique. 

N'attendez pas le prochain incident pour passer à l'action !

Nos experts vous aident à dresser un état des lieux précis et à définir un plan d'action concret, adapté à votre situation.    

Francis Oostvogels

Francis Oostvogels

Senior Manager
View bio