Instruction n° SHFDS/FSSI/2023/78 du 23 mai 2023 relative au traitement des incidents significatifs ou graves de sécurité des systèmes d’information
BO Santé n°2023/10 du 31 mai 2023
Ce texte vient tirer les conséquences des évolutions qui ont été apportées par l’ordonnance n° 2020-1407 du 18 novembre 2020 relative aux missions des agences régionales de santé (ARS) et par le décret n° 2022-715 du 27 avril 2022 relatif aux conditions et aux modalités de mise en œuvre du signalement des incidents significatifs ou graves de sécurité des systèmes d’information.
Ces textes ont notamment étendu l’obligation de signalements d’incidents significatifs ou graves de sécurité des systèmes d’information aux établissements médico-sociaux. Ils ont également révisé les procédures de traitement des signalements de ces incidents.
Dans ce cadre, ce texte vient détailler ces évolutions et préciser les obligations qui s’imposent aux établissements concernés.
Il évoque, ainsi :
– l’élargissement de l’obligation de signalement aux établissements médico-sociaux ;
– l’évolution du dispositif de signalement. En particulier, le nouveau dispositif place l’Agence du numérique en santé (ANS – CERT Santé) au centre de la gestion des signalements des établissements de santé et médico-sociaux. Tous les signalements sont remontés via le Portail des signalements des évènements sanitaires indésirables (PSIG). Le CERT Santé doit, désormais, informer sans délai tout signalement à la fois vers l’ARS concernée et vers le pôle de fonctionnaire de sécurité des systèmes d’information du service du haut fonctionnaire de défense et de sécurité. Cette information doit être réalisée que l’incident soit de nature malveillante ou non, avec ou sans impact sanitaire ;
– les modalités de déclaration sur le site internet de l’ANS ;
– le rôle de l’ANS (CERT Santé) ;
– le cas des opérateurs d’importance vitale (OIV) et des opérateurs de services essentiels (OSE) du secteur santé ;
– le cas des incidents survenant hors heures ouvrées et jours ouvrés ;
– le cas des hôpitaux militaires ;
– la déclaration à la Commission nationale de l’informatique et des libertés (CNIL) par l’établissement. Ainsi, l’établissement victime d’un incident ayant entraîné l’indisponibilité, le vol ou la perte de données de santé doit effectuer une déclaration de cet incident à la CNIL dans les conditions prévues dans le Règlement général sur la protection des données (RGPD).
Les plus lus…
L’Institut national de recherche et de sécurité (INRS) lance une campagne de sensibilisation aux risques de travail sur les machines.…
Le gouvernement a profité du Forum International Bois Construction pour dévoiler, le vendredi 28 février, une série de mesures visant…
-
Ce numéro 606 du magazine Face au Risque (mars - avril 2025) consacre un dossier spécial aux batteries au…
-
Un incendie a ravagé un entrepôt de l’entreprise Rentokil, situé à Toulouse. D’importantes quantités de produits de désinfection, désinsectisation et…
-
L’institut de sondage OpinionWay a réalisé une enquête sur les pratiques des employés de bureaux, pour le compte de l’entreprise…
La loi n° 2025-188 du 27 février 2025 visant à protéger la population des risques liés aux substances perfluoroalkylées…
À lire également
