Votre prestataire de DSE, votre fournisseur PACS et votre partenaire cloud ont tous un accès direct aux données patients et aux systèmes cliniques. Un fournisseur compromis ne génère pas seulement un constat de conformité ; il paralyse les opérations. NIS2 et RGPD imposent désormais des programmes documentés et structurés de gestion du risque fournisseur aux hôpitaux et entités de santé dépassant le seuil d'entité essentielle. Supplier Shield vous fournit le registre, les évaluations et la piste d'audit.
Approuvé par des organisations mondiales
§ The challenge
La transposition de NIS2 est achevée dans la plupart des États membres. Les superviseurs nationaux sont en mode inspection active. Les entités de santé constituent un secteur d'application prioritaire ; des questionnaires supervisory et des inspections sur site sont déjà en cours.
L'article 21(2)(d) du NIS2 impose des mesures de sécurité documentées pour chaque fournisseur susceptible d'affecter votre posture de sécurité. Pour la plupart des équipes de santé, cela se fait encore par email. Les questionnaires partent, les réponses sont classées dans des espaces partagés, sans notation, sans suivi, sans piste d'audit. Quand un fournisseur subit une violation, vous l'apprenez quand il vous appelle.
Chaque prestataire traitant des données patients, des dossiers du personnel ou des données de santé opérationnelles doit disposer d'un accord de traitement des données en vigueur et conforme. Les changements de sous-traitants, les nouvelles intégrations de DSE et les migrations cloud créent des lacunes qui passent inaperçues pendant des mois. Un seul constat lors d'un audit DPA peut déclencher un contrôle supervisory complet.
La plupart des organisations de santé gèrent leur programme de risque fournisseur avec une à trois personnes couvrant des centaines de fournisseurs dans les domaines clinique, informatique, les installations et les achats. Sans système structuré, l'équipe est toujours en train de rattraper son retard. Les preuves sont éparpillées entre fils d'emails, espaces partagés et boîtes de réception individuelles.
§ How we help
Une plateforme structurée pour les évaluations de sécurité de la chaîne d'approvisionnement, la gouvernance des DPA et la surveillance continue ; conçue pour les petites équipes conformité gérant de grandes bases de fournisseurs.
Conduisez des évaluations de sécurité formelles pour chaque catégorie de fournisseurs pertinente.
Des questionnaires structurés alignés sur les exigences NIS2 Art. 21 : sécurité réseau, contrôles d'accès, capacité de réponse aux incidents et sécurité physique. Suivez les exigences contractuelles de sécurité et surveillez le statut de conformité en continu. Les fournisseurs répondent via un lien sécurisé dans leur navigateur, sans création de compte.
Maintenez un registre actualisé de tous les accords de traitement des données et chaînes de sous-traitants.
Documentez chaque DPA, suivez les dates de révision et signalez automatiquement lorsque les fournisseurs changent de sous-traitants ou élargissent la portée du traitement. S'intègre à votre programme RGPD dans Acuna GRC ; sans relances par email.
Chaque évaluation, chaque constat, chaque action corrective : immuable, horodaté et exportable.
Quand votre superviseur NIS2 national ou un auditeur externe demande des preuves de vos mesures de sécurité de la chaîne d'approvisionnement, vous exportez un dossier structuré en un clic, sans assemblage manuel, sans reconstitution de fils d'emails vieux de dix-huit mois.
§ Why us
Acuna GRC est hébergé en Suisse, qui bénéficie d'une décision d'adéquation RGPD. Les transferts vers Supplier Shield sont licites au titre de l'article 45 du RGPD sans garanties supplémentaires. Pour les DPO santé gérant des données personnelles sensibles, c'est une base juridique plus simple que les clauses contractuelles types, conforme aux attentes de la plupart des APD nationales.
La plupart des outils couvrent soit les évaluations de sécurité, soit le suivi des DPA, mais pas les deux. Supplier Shield gère les évaluations de sécurité NIS2 Art. 21 de la chaîne d'approvisionnement et la gouvernance des accords de traitement RGPD Art. 28 dans le même dossier fournisseur. Une entrée par fournisseur, sans doublon, sans systèmes séparés à réconcilier.
Les équipes conformité santé ne peuvent pas se permettre une implémentation de six mois. Pas de développement sur mesure, pas de travaux d'infrastructure, pas de prestation de services professionnels pour démarrer. Importez votre liste de fournisseurs, configurez les niveaux par risque clinique et données, et envoyez vos premières évaluations alignées NIS2. Votre équipe pilote le programme ; la plateforme gère le processus.
§ Regulatory obligations
Voici les articles précis que les superviseurs nationaux, les organismes de certification et les auditeurs externes vérifieront. Supplier Shield cartographie votre programme fournisseurs sur chacun d'eux.
Les entités essentielles doivent mettre en œuvre des mesures de sécurité tenant compte des risques dans la chaîne d'approvisionnement, y compris les aspects liés à la sécurité des relations entre chaque entité et ses fournisseurs et prestataires de services directs.
Les incidents causés par des fournisseurs tiers doivent être signalés aux CSIRT nationaux dans les 24 heures suivant leur détection. Supplier Shield suit les incidents liés aux fournisseurs et conserve la chaîne de preuves pour les notifications.
Tous les prestataires traitant des données personnelles pour votre compte doivent disposer d'un DPA en vigueur incluant les clauses obligatoires : divulgation des sous-traitants, facilitation des droits des personnes concernées et obligations de suppression.
Pour les entités de santé utilisant des logiciels de dispositifs médicaux, les exigences de qualification des fournisseurs au titre du MDR/IVDR peuvent s'appliquer. Supplier Shield documente les preuves de SMQ et de certification applicables par fournisseur.
§ Acuna GRC
Supplier Shield est le module TPRM d'Acuna GRC. Vos évaluations fournisseurs se connectent directement à votre registre des activités de traitement RGPD, à votre registre des risques NIS2 et à vos processus d'audit interne ; le tout sur une plateforme hébergée en Suisse.
§ Platform capabilities
Supplier Shield est le module TPRM d'Acuna GRC. Voici ce que la plateforme complète représente concrètement pour une organisation de santé gérant à la fois les obligations fournisseurs NIS2 et RGPD.
Le module Protection des données d'Acuna tient à jour votre registre des activités de traitement et suit chaque accord de traitement des données, directement lié au même dossier fournisseur utilisé pour les évaluations de sécurité NIS2. Quand un prestataire d'imagerie médicale change de sous-traitant cloud, les dossiers sécurité et DPA se mettent à jour au même endroit.
Une évaluation de sécurité fournisseur satisfait simultanément au NIS2 Art. 21, à l'ISO 27001 A.15 et génère les preuves pour la revue DPA RGPD Art. 28. Dans Acuna, un seul contrôle couvre tous les référentiels applicables, sans évaluations en double et sans conclusions contradictoires entre vos programmes de conformité.
Vos prestataires de dispositifs médicaux, fournisseurs de DSE et prestataires cloud sont en permanence analysés pour détecter les violations, les problèmes DNS, la configuration TLS et les signaux de renseignement sur les menaces. Les notes A–F se mettent à jour automatiquement. Vous voyez la posture d'un fournisseur évoluer au moment précis où cela se produit, sans attendre le prochain questionnaire annuel.
Interrogez Aiko : « Quels fournisseurs traitent des données patients sans DPA en vigueur ? » ou « Montrez-moi tous les fournisseurs avec une note sécurité inférieure à C ayant accès à notre DSE. » Réponses issues de vos données en temps réel en quelques secondes. La préparation supervisory NIS2 qui prenait une journée ne prend plus que quelques minutes.
Lancez une évaluation complète de sécurité NIS2 de la chaîne d'approvisionnement pour l'ensemble de vos fournisseurs de dispositifs médicaux en une seule session. Sélectionnez le modèle, choisissez le groupe de fournisseurs, personnalisez la communication et suivez l'avancement depuis un seul tableau de bord. Les relances automatiques assurent le suivi sans aucune intervention manuelle de votre équipe.
Présentation complète de la plateforme : Plateforme cloud Acuna GRC
§ FAQ
Il n'est pas trop tard, mais la fenêtre se rétrécit. La plupart des superviseurs nationaux sont désormais en mode inspection active, sans période de grâce. La bonne nouvelle, c'est que Supplier Shield est conçu pour passer rapidement de zéro à un programme structuré. La plupart des équipes de santé finalisent leur registre initial, envoient leurs premières évaluations alignées NIS2 et disposent d'une base de preuves défendable en moins de 30 jours.
Les prestataires de santé sont explicitement listés comme entités essentielles à l'annexe I du NIS2, y compris les hôpitaux, les cliniques privées, les laboratoires de référence, les fabricants de dispositifs médicaux proposant également des services numériques et les fabricants pharmaceutiques. Si vous n'êtes pas certain de votre classification, notre équipe conseil peut vous aider.
Toute organisation fournissant des services ICT, des logiciels ou du matériel qui soutient vos opérations de santé : prestataires cloud, fournisseurs de DSE, systèmes PACS, prestataires de logiciels de diagnostic, intégrateurs de dispositifs médicaux, prestataires de services informatiques gérés. NIS2 est large : si une compromission du fournisseur peut affecter votre posture de sécurité, il est dans le périmètre.
La plateforme tient un registre structuré de tous vos accords de traitement des données, fournisseur par fournisseur. Chaque entrée suit la version du DPA, la date de révision, les divulgations de sous-traitants et le statut de conformité. Quand un fournisseur vous notifie d'un changement de sous-traitant, vous l'enregistrez, évaluez l'impact et mettez à jour le dossier DPA, avec une piste d'audit immuable.
Oui. Supplier Shield fonctionne comme module TPRM au sein d'Acuna GRC, qui prend en charge l'intégration avec la documentation SMSI existante (ISO 27001) et peut s'aligner sur des structures de SMQ. Notre équipe conseil prend en charge l'implémentation et la cartographie du périmètre.
Échangez avec notre équipe sur votre base de fournisseurs actuelle. Nous cartographierons vos obligations NIS2 et RGPD sur Supplier Shield et vous montrerons quelles catégories de fournisseurs nécessitent une attention immédiate avant votre prochaine revue supervisory.