Instruction n° SHFDS/FSSI/2023/78 du 23 mai 2023 relative au traitement des incidents significatifs ou graves de sécurité des systèmes d’information
BO Santé n°2023/10 du 31 mai 2023
Ce texte vient tirer les conséquences des évolutions qui ont été apportées par l’ordonnance n° 2020-1407 du 18 novembre 2020 relative aux missions des agences régionales de santé (ARS) et par le décret n° 2022-715 du 27 avril 2022 relatif aux conditions et aux modalités de mise en œuvre du signalement des incidents significatifs ou graves de sécurité des systèmes d’information.
Ces textes ont notamment étendu l’obligation de signalements d’incidents significatifs ou graves de sécurité des systèmes d’information aux établissements médico-sociaux. Ils ont également révisé les procédures de traitement des signalements de ces incidents.
Dans ce cadre, ce texte vient détailler ces évolutions et préciser les obligations qui s’imposent aux établissements concernés.
Il évoque, ainsi :
– l’élargissement de l’obligation de signalement aux établissements médico-sociaux ;
– l’évolution du dispositif de signalement. En particulier, le nouveau dispositif place l’Agence du numérique en santé (ANS – CERT Santé) au centre de la gestion des signalements des établissements de santé et médico-sociaux. Tous les signalements sont remontés via le Portail des signalements des évènements sanitaires indésirables (PSIG). Le CERT Santé doit, désormais, informer sans délai tout signalement à la fois vers l’ARS concernée et vers le pôle de fonctionnaire de sécurité des systèmes d’information du service du haut fonctionnaire de défense et de sécurité. Cette information doit être réalisée que l’incident soit de nature malveillante ou non, avec ou sans impact sanitaire ;
– les modalités de déclaration sur le site internet de l’ANS ;
– le rôle de l’ANS (CERT Santé) ;
– le cas des opérateurs d’importance vitale (OIV) et des opérateurs de services essentiels (OSE) du secteur santé ;
– le cas des incidents survenant hors heures ouvrées et jours ouvrés ;
– le cas des hôpitaux militaires ;
– la déclaration à la Commission nationale de l’informatique et des libertés (CNIL) par l’établissement. Ainsi, l’établissement victime d’un incident ayant entraîné l’indisponibilité, le vol ou la perte de données de santé doit effectuer une déclaration de cet incident à la CNIL dans les conditions prévues dans le Règlement général sur la protection des données (RGPD).
En ce moment
Une attaque de type rançongiciel, ou ransomware en anglais, consiste à compromettre un équipement ou un système d’information pour…
Le compartimentage est l’ensemble des mesures constructives à prendre pour lutter contre la propagation de l’incendie en créant des…
-
Le point sur les principales références réglementaires et techniques applicables aux échelles fixes qui permettent d’effectuer du travail en hauteur.…
-
L'arrêté du 22 mars 2026 relatif aux performances de résistance au feu des produits, éléments de construction et d'ouvrages…
-
Le 26 novembre 2025, il y a le feu à Hong-Kong : un incendie dévastateur et meurtrier éclate dans…
-
À moins de quatre ans du coup d’envoi, la loi n° 2026-201 du 20 mars 2026 relative à l’organisation…
À lire également
