Décret n°2022-715 du 27 avril 2022 relatif aux conditions et aux modalités de mise en œuvre du signalement des incidents significatifs ou graves de sécurité des systèmes d’information
JO du 28 avril 2022
Selon l’article L.1111-8-2 du code de la santé publique, les établissements de santé, les organismes et services exerçant des activités de prévention, de diagnostic ou de soins et les établissements médico-sociaux signalent, sans délai aux autorités compétentes de l’Etat et au groupement d’intérêt public chargé du développement des systèmes d’information de santé partagés, les incidents significatifs ou graves de sécurité des systèmes d’information.
Cette disposition est également applicable au service de santé des armées en ce qui concerne les incidents significatifs ou graves de sécurité des systèmes d’information intéressant les activités de prévention, de diagnostic ou de soins des hôpitaux des armées.
Dans ce cadre, ce texte vient définir les catégories d’incidents concernés, les modalités selon lesquelles sont signalés ces incidents et les conditions dans lesquelles ils sont traités (modification des articles D.1111-16-2 à D.1111-16-4 du code de la santé publique).
Ainsi, il précise les finalités de la déclaration des incidents significatifs ou graves de sécurité des systèmes d’information (cela permet notamment de fournir aux autorités compétentes de l’Etat les informations nécessaires permettant d’assurer la continuité de la prise en charge sanitaire).
Il complète la liste des incidents considérés comme significatifs ou graves de sécurité des systèmes d’information. Cette liste inclut des événements générateurs d’une situation exceptionnelle au sein d’un établissement, organisme ou service, et notamment :
* les incidents ayant un retentissement potentiel ou avéré sur l’organisation départementale, régionale ou nationale du système de santé ;
* les incidents susceptibles de toucher d’autres établissements, organismes ou services.
Enfin, il précise la procédure de déclaration des incidents significatifs ou graves de sécurité des systèmes d’information (notamment déclaration effectuée sans délai par le directeur de l’établissement concerné auprès du groupement d’intérêt public précité ; déclaration effectuée par internet sous réserve des dispositions relatives à la protection du secret de la défense nationale ; rôle et missions du groupement d’intérêt public concerné ; obligations du déclarant).
Les plus lus…
Dans un flash Aria daté de juillet 2025, le Bureau d’analyse des risques et des pollutions industrielles (Barpi) rappelle l’importance…
-
L'entreprise Blue Solutions, filiale du groupe Bolloré, a répondu aux accusations de l'entreprise Highway France Logistics 8, propriétaire de…
-
Deux décrets ainsi qu’un arrêté, tous trois en date du 11 juin 2025, portent sur les règles de sécurité incendie…
-
Ce numéro 608 du magazine Face au Risque (juillet - août 2025) consacre un dossier spécial à la vidéosurveillance…
Un décret publié au Journal officiel le 27 juin 2025 et entré en vigueur le 1er juillet élargit les zones…
-
L’AFCDP (Association française des correspondants à la protection des données) annonce la publication du livrable du groupe de travail…
À lire également
