Instruction n° SHFDS/FSSI/2023/78 du 23 mai 2023 relative au traitement des incidents significatifs ou graves de sécurité des systèmes d’information
BO Santé n°2023/10 du 31 mai 2023
Ce texte vient tirer les conséquences des évolutions qui ont été apportées par l’ordonnance n° 2020-1407 du 18 novembre 2020 relative aux missions des agences régionales de santé (ARS) et par le décret n° 2022-715 du 27 avril 2022 relatif aux conditions et aux modalités de mise en œuvre du signalement des incidents significatifs ou graves de sécurité des systèmes d’information.
Ces textes ont notamment étendu l’obligation de signalements d’incidents significatifs ou graves de sécurité des systèmes d’information aux établissements médico-sociaux. Ils ont également révisé les procédures de traitement des signalements de ces incidents.
Dans ce cadre, ce texte vient détailler ces évolutions et préciser les obligations qui s’imposent aux établissements concernés.
Il évoque, ainsi :
– l’élargissement de l’obligation de signalement aux établissements médico-sociaux ;
– l’évolution du dispositif de signalement. En particulier, le nouveau dispositif place l’Agence du numérique en santé (ANS – CERT Santé) au centre de la gestion des signalements des établissements de santé et médico-sociaux. Tous les signalements sont remontés via le Portail des signalements des évènements sanitaires indésirables (PSIG). Le CERT Santé doit, désormais, informer sans délai tout signalement à la fois vers l’ARS concernée et vers le pôle de fonctionnaire de sécurité des systèmes d’information du service du haut fonctionnaire de défense et de sécurité. Cette information doit être réalisée que l’incident soit de nature malveillante ou non, avec ou sans impact sanitaire ;
– les modalités de déclaration sur le site internet de l’ANS ;
– le rôle de l’ANS (CERT Santé) ;
– le cas des opérateurs d’importance vitale (OIV) et des opérateurs de services essentiels (OSE) du secteur santé ;
– le cas des incidents survenant hors heures ouvrées et jours ouvrés ;
– le cas des hôpitaux militaires ;
– la déclaration à la Commission nationale de l’informatique et des libertés (CNIL) par l’établissement. Ainsi, l’établissement victime d’un incident ayant entraîné l’indisponibilité, le vol ou la perte de données de santé doit effectuer une déclaration de cet incident à la CNIL dans les conditions prévues dans le Règlement général sur la protection des données (RGPD).
Les plus lus…
La n°2025-391 du 30 avril 2025 portant diverses dispositions d'adaptation au droit de l'Union européenne en matière économique, financière, environnementale,…
-
Une note d'information, publiée le 24 avril par la Direction générale de la Sécurité civile et de la gestion…
-
Le système Exxfire, développé par l’entreprise du même nom et déployé en France par Siemens, a remporté en novembre…
-
Le texte de loi sur la sécurité dans les transports a été définitivement adopté par l'Assemblée nationale le 19…
Depuis le début des années 2000, l’Europe se préoccupe des effets des Pop (Polluants organiques persistants) sur la santé et…
-
Le troisième Plan national d'adaptation au changement climatique (Pnacc) a été publié le 10 mars 2025. Parmi les 51 propositions,…
À lire également
