Instruction n° SHFDS/FSSI/2023/78 du 23 mai 2023 relative au traitement des incidents significatifs ou graves de sécurité des systèmes d’information
BO Santé n°2023/10 du 31 mai 2023
Ce texte vient tirer les conséquences des évolutions qui ont été apportées par l’ordonnance n° 2020-1407 du 18 novembre 2020 relative aux missions des agences régionales de santé (ARS) et par le décret n° 2022-715 du 27 avril 2022 relatif aux conditions et aux modalités de mise en œuvre du signalement des incidents significatifs ou graves de sécurité des systèmes d’information.
Ces textes ont notamment étendu l’obligation de signalements d’incidents significatifs ou graves de sécurité des systèmes d’information aux établissements médico-sociaux. Ils ont également révisé les procédures de traitement des signalements de ces incidents.
Dans ce cadre, ce texte vient détailler ces évolutions et préciser les obligations qui s’imposent aux établissements concernés.
Il évoque, ainsi :
– l’élargissement de l’obligation de signalement aux établissements médico-sociaux ;
– l’évolution du dispositif de signalement. En particulier, le nouveau dispositif place l’Agence du numérique en santé (ANS – CERT Santé) au centre de la gestion des signalements des établissements de santé et médico-sociaux. Tous les signalements sont remontés via le Portail des signalements des évènements sanitaires indésirables (PSIG). Le CERT Santé doit, désormais, informer sans délai tout signalement à la fois vers l’ARS concernée et vers le pôle de fonctionnaire de sécurité des systèmes d’information du service du haut fonctionnaire de défense et de sécurité. Cette information doit être réalisée que l’incident soit de nature malveillante ou non, avec ou sans impact sanitaire ;
– les modalités de déclaration sur le site internet de l’ANS ;
– le rôle de l’ANS (CERT Santé) ;
– le cas des opérateurs d’importance vitale (OIV) et des opérateurs de services essentiels (OSE) du secteur santé ;
– le cas des incidents survenant hors heures ouvrées et jours ouvrés ;
– le cas des hôpitaux militaires ;
– la déclaration à la Commission nationale de l’informatique et des libertés (CNIL) par l’établissement. Ainsi, l’établissement victime d’un incident ayant entraîné l’indisponibilité, le vol ou la perte de données de santé doit effectuer une déclaration de cet incident à la CNIL dans les conditions prévues dans le Règlement général sur la protection des données (RGPD).
En ce moment
Les méthodes normalisées de référence pour les mesures dans l’air, l’eau et les sols dans les installations classées pour…
-
L’association Euralarm a publié un document de position actualisé sur le règlement (UE) 2023/1542, fournissant des orientations aux autorités de…
-
S’il est aujourd’hui admis que les entreprises doivent garantir un accès facilité aux personnes en situation de handicap moteur, les…
-
La 2e édition des Assises de la prévention incendie, organisée en novembre 2025 par la FNSPF et la SFPE *,…
Installation, maintenance, utilisation du défibrillateur, responsabilité de l'employeur : que dit la réglementation pour les ERP du 1er groupe…
-
En cas d'accident du travail, le non-respect par le salarié des consignes verbales reçues n’est pas une condition nécessaire pour…
À lire également
