Arrêté du 17 avril 2023 fixant les règles de sécurité et les modalités de déclaration des systèmes d’information d’importance vitale et des incidents de sécurité relatives au sous-secteur d’activités d’importance vitale « Etablissements de santé » et pris en application des articles R. 1332-41-1, R. 1332-41-2 et R. 1332-41-10 du code de la défense

JO du 23 avril 2023

En premier lieu, ce texte fixe en annexe I les règles de sécurité que les opérateurs d’importance vitale (OIV) du sous-secteur d’activités « Etablissements de santé » sont tenus de respecter pour protéger leurs systèmes d’information.
La démarche consiste en particulier à :
* mettre en œuvre une politique de sécurité des systèmes d’information (PSSI) ;
* procéder à l’homologation de sécurité de chaque système d’information d’importance vitale (SIIV) ;
* fournir à l’Agence nationale de la sécurité des systèmes d’information (ANSSI) des éléments de cartographie pour chaque SIIV ;
* mettre en œuvre une procédure de maintien en conditions de sécurité des ressources matérielles et logicielles des SIIV ;
* mettre en place un système de détection qualifié de type « sonde d’analyse de fichiers et de protocoles » et créer une politique de traitement des incidents de sécurité et de gestion de crise.
Le texte prévoit également qu’au plus tard le 1er octobre 2023, les OIV du sous-secteur d’activités « Etablissements de santé » déclarent à l’ANSSI :
* la liste de leurs SIIV identifiés par types de système, en mettant à jour cette déclaration une fois par an ;
* les coordonnées de la personne désignée comme leur représentant auprès de l’ANSSI.
Les OIV doivent également déclarer à l’ANSSI tout incident de sécurité qui relève d’un type figurant à l’annexe IV du texte.
Ces dispositions entrent en vigueur le 1er juillet 2023.