Le décret n°2022-715 du 27 avril 2022 « relatif aux conditions et aux modalités de mise en œuvre du signalement des incidents significatifs ou graves de sécurité des systèmes d’information », publié le 28 avril dernier, a modifié les règles de déclaration d’incidents pour le secteur santé.
Pour rappel, l’article L.1111-8-2 du Code de la santé publique impose à des organismes privés et publics de signaler, dans des conditions particulières, certains incidents de sécurité informatique.
Le décret du 27 avril dernier a complété et amendé les règles relatives à la définition des catégories d’incidents, des modalités de signalement et des conditions de traitement desdits incidents.
Tout d’abord, ce décret précise que les établissements médico-sociaux font partie des acteurs concernés par ce dispositif de signalement, aux côtés des établissements de santé, des hôpitaux des armées, des laboratoires de biologie médicale et des centres de radiothérapie.
Les catégories d’incidents concernés sont également étendues : en plus des incidents « graves », les incidents « significatifs » doivent être signalés. Sont notamment considérés comme « significatifs », les incidents « ayant un retentissement potentiel ou avéré sur l’organisation départementale, régionale ou nationale du système de santé et les incidents susceptibles de toucher d’autres établissements, organismes ou services ».
Ensuite, les signalements doivent être déclarés non plus auprès de l’ARS (Agence Régionale de la Santé) mais de l’ANS (Agence du Numérique en Santé). C’est le directeur de l’organisme concerné ou « la personne déléguée à cet effet » qui doit opérer le signalement et ce, « sans délai ».
Par ailleurs, le décret précise les informations à communiquer dans la déclaration de signalement :
- « les informations permettant d’identifier la structure concernée par l’incident ainsi que le déclarant » ;
- « la description de l’incident, notamment la date du constat, le périmètre de l’incident, les systèmes d’information et données concernées et l’état de la prise en charge » ;
- « la description de l’impact de l’incident sur les données, sur les personnes, sur les systèmes d’information et sur la structure » ;
- « les causes de l’incident, si celles-ci sont identifiées »
- et toutes autres informations dont le déclarant « dispose au moment de la découverte de l’incident ».
Naturellement et comme le rappelle le décret, ce signalement est sans préjudice des autres déclarations obligatoires. Par exemple, les violations de données à caractère personnel doivent faire l’objet, dans certains cas, d’une notification à la CNIL.
Applicables depuis le 29 avril dernier, ces nouvelles règles doivent être scrupuleusement respectées.
Source : ici
