Décret n°2022-715 du 27 avril 2022 relatif aux conditions et aux modalités de mise en œuvre du signalement des incidents significatifs ou graves de sécurité des systèmes d’information

JO du 28 avril 2022

Selon l’article L.1111-8-2 du code de la santé publique, les établissements de santé, les organismes et services exerçant des activités de prévention, de diagnostic ou de soins et les établissements médico-sociaux signalent, sans délai aux autorités compétentes de l’Etat et au groupement d’intérêt public chargé du développement des systèmes d’information de santé partagés, les incidents significatifs ou graves de sécurité des systèmes d’information.

Cette disposition est également applicable au service de santé des armées en ce qui concerne les incidents significatifs ou graves de sécurité des systèmes d’information intéressant les activités de prévention, de diagnostic ou de soins des hôpitaux des armées.

Dans ce cadre, ce texte vient définir les catégories d’incidents concernés, les modalités selon lesquelles sont signalés ces incidents et les conditions dans lesquelles ils sont traités (modification des articles D.1111-16-2 à D.1111-16-4 du code de la santé publique).

Ainsi, il précise les finalités de la déclaration des incidents significatifs ou graves de sécurité des systèmes d’information (cela permet notamment de fournir aux autorités compétentes de l’Etat les informations nécessaires permettant d’assurer la continuité de la prise en charge sanitaire).

Il complète la liste des incidents considérés comme significatifs ou graves de sécurité des systèmes d’information. Cette liste inclut des événements générateurs d’une situation exceptionnelle au sein d’un établissement, organisme ou service, et notamment :

* les incidents ayant un retentissement potentiel ou avéré sur l’organisation départementale, régionale ou nationale du système de santé ;
* les incidents susceptibles de toucher d’autres établissements, organismes ou services.
Enfin, il précise la procédure de déclaration des incidents significatifs ou graves de sécurité des systèmes d’information (notamment déclaration effectuée sans délai par le directeur de l’établissement concerné auprès du groupement d’intérêt public précité ; déclaration effectuée par internet sous réserve des dispositions relatives à la protection du secret de la défense nationale ; rôle et missions du groupement d’intérêt public concerné ; obligations du déclarant).