Instruction n° SHFDS/FSSI/2023/78 du 23 mai 2023 relative au traitement des incidents significatifs ou graves de sécurité des systèmes d’information

1 mai 20232 min

BO Santé n°2023/10 du 31 mai 2023

Ce texte vient tirer les conséquences des évolutions qui ont été apportées par l’ordonnance n° 2020-1407 du 18 novembre 2020 relative aux missions des agences régionales de santé (ARS) et par le décret n° 2022-715 du 27 avril 2022 relatif aux conditions et aux modalités de mise en œuvre du signalement des incidents significatifs ou graves de sécurité des systèmes d’information.
Ces textes ont notamment étendu l’obligation de signalements d’incidents significatifs ou graves de sécurité des systèmes d’information aux établissements médico-sociaux. Ils ont également révisé les procédures de traitement des signalements de ces incidents.
Dans ce cadre, ce texte vient détailler ces évolutions et préciser les obligations qui s’imposent aux établissements concernés.
Il évoque, ainsi :
– l’élargissement de l’obligation de signalement aux établissements médico-sociaux ;
– l’évolution du dispositif de signalement. En particulier, le nouveau dispositif place l’Agence du numérique en santé (ANS – CERT Santé) au centre de la gestion des signalements des établissements de santé et médico-sociaux. Tous les signalements sont remontés via le Portail des signalements des évènements sanitaires indésirables (PSIG). Le CERT Santé doit, désormais, informer sans délai tout signalement à la fois vers l’ARS concernée et vers le pôle de fonctionnaire de sécurité des systèmes d’information du service du haut fonctionnaire de défense et de sécurité. Cette information doit être réalisée que l’incident soit de nature malveillante ou non, avec ou sans impact sanitaire ;
– les modalités de déclaration sur le site internet de l’ANS ;
– le rôle de l’ANS (CERT Santé) ;
– le cas des opérateurs d’importance vitale (OIV) et des opérateurs de services essentiels (OSE) du secteur santé ;
– le cas des incidents survenant hors heures ouvrées et jours ouvrés ;
– le cas des hôpitaux militaires ;
– la déclaration à la Commission nationale de l’informatique et des libertés (CNIL) par l’établissement. Ainsi, l’établissement victime d’un incident ayant entraîné l’indisponibilité, le vol ou la perte de données de santé doit effectuer une déclaration de cet incident à la CNIL dans les conditions prévues dans le Règlement général sur la protection des données (RGPD).

---

Les plus lus…

Inscrivez-vous
à notre
newsletter

Recevez toutes les actualités et informations sûreté, incendie et sécurité toutes les semaines.

Je m’inscris

À lire également