Vous êtes ici : > > Cybersécurité: les règles de sécurité des établissements de santé (Opérateurs d’Importance Vitale) fixées par arrêté

PARIS (TICsanté) – Un arrêté publié au Journal officiel (JO) le 23 avril fixe les règles de sécurité et les modalités de déclaration des systèmes d’information (SI) d’importance vitale et des incidents de sécurité relatives aux établissements de santé.

Ces derniers sont désignés opérateurs d’importance vitale (OIV). La liste exacte est classifiée au titre du « secret de la défense nationale ».

Les OIV sont définis par le code de la défense comme des opérateurs « dont le dommage ou l’indisponibilité ou la destruction […] risquerait, directement ou indirectement, d’obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation; ou de mettre gravement en cause la santé ou la vie de la population ».

À compter de leur désignation comme OIV, les établissements sont soumis au cadre réglementaire des lois de programmation militaire, avec des critères de sécurité informatique plus élevées que celles incombant aux établissements désignés opérateurs de service essentiels (OSE).

L’arrêté publié au JO le 23 avril fixe ces règles. Il entrera en vigueur le 1er juillet 2023.

Dans le détail, le texte et ses quatre annexes fixent:

  • – les règles de sécurité que les opérateurs d’importance vitale sont tenus de respecter pour protéger leurs systèmes d’information (SI) (annexe I)
  • – les délais dans lesquels les opérateurs sont tenus d’appliquer les règles de sécurité (annexe II)
  • – les modalités selon lesquelles les opérateurs déclarent à l’Agence nationale de la sécurité des SI (Anssi) la liste de leurs SI d’importance vitale identifiés par types de système (annexe III)
  • – ainsi que les modalités selon lesquelles les opérateurs déclarent à l’Anssi certains types d’incidents affectant la sécurité ou le fonctionnement de leurs SI (annexe IV).

Ainsi, « dans un délai de trois mois à compter de la date d’entrée en vigueur » de l’arrêté ou de sa désignation comme OIV, l’établissement de santé doit adresser par courrier à l’Anssi la liste des SI d’importance vitale, « ainsi que pour chaque système, le formulaire de déclaration disponible sur le site internet de l’agence (www.ssi.gouv.fr) ».

« Pour déterminer si un SI peut être qualifié d’importance vitale […], l’OIV mène une analyse d’impacts sur ses SI […]. » Lorsque, pour un type de SI, l’opérateur n’en déclare aucun d’importance vitale, « il en précise les raisons ».

En outre, l’opérateur d’importance vitale communique une fois par an à l’Anssi les mises à jour de sa liste et des formulaires de déclaration. « Il déclare tout nouveau SI d’importance vitale préalablement à sa mise en service et tout SI qui satisfait aux conditions pour être qualifié d’importance vitale postérieurement à sa mise en service dès qu’il satisfait à ces conditions. »

Il informe sans délai l’Anssi de tout retrait de sa liste d’un des systèmes précédemment déclarés « et en précise les raisons ».

Tout établissement de santé désigné OIV doit aussi déclarer chaque incident qui relève d’un type affectant la sécurité ou le fonctionnement de ses SI. Pour cela, il doit adresser à l’Anssi le formulaire de déclaration disponible sur le site internet de l’agence « selon le moyen approprié à la sensibilité des informations déclarées ».

Il doit également communiquer à l’Anssi les coordonnées de la personne chargée de le représenter dans un délai de trois mois à compter de l’entrée en vigueur de l’arrêté (le 1er juillet) ou de sa désignation comme OIV.

Le détail de chaque règle figure dans les annexes publiées dans l’arrêté.

(…)

(Journal officiel, dimanche 23 avril, textes 3 et 4)

Wassinia Zirar

Vous êtes un acteur de Santé ? Quelle que soit la complexité de vos besoins en sauvegarde, hébergement, duplication nous saurons vous proposer la meilleure solution. Demandez votre 1er conseil offert via le formulaire de contact ou en appelant le 05 24 26 30 27.

Dernières Actus

Toute l'actualité +
Comment protéger vos systèmes informatiques ?

Comment protéger vos systèmes informatiques ?

Comment protéger vos systèmes informatiques ? 1 Quels sont les risques ou dangers qui menacent les données et systèmes de votre entreprise ? Les risques sont multiples et peuvent provenir de sources très différentes : Cette liste est non exhaustive évidemment. […]

En savoir plus
4 astuces pour prévenir la perte de vos données informatiques

4 astuces pour prévenir la perte de vos données informatiques

4 astuces pour prévenir la perte de vos données informatiques 1ère astuce : Changez votre façon de sauvegarder vos données Vous le faites peut-être déjà dans votre entreprise et vous pensez bien faire. Mais la sauvegarde simple de données sur un […]

En savoir plus
Grand dax agglomération optimise l'accompagnement aux structures de santé avec son data center certifié iso 27001 hds

Grand Dax Agglomération optimise l’accompagnement aux structures de santé

Grand Dax Agglomération optimise l’accompagnement aux structures de santé Pour répondre à la croissance démographique du Sud des Landes (40), Grand Dax Agglomération travaille en continu à l’amélioration de son offre de santé et de l’accompagnement des futurs acteurs du […]

En savoir plus
Qu’est-ce que la directive NIS2 ?

Qu’est-ce que la directive NIS2 ?

1 – Qu’est-ce que la directive NIS2 ? La Directive NIS 2 (Network and Information Systems Directive) a été adoptée par le Parlement Européen le 10 novembre 2022. La date butoir d’application est fixée au 17 octobre 2024. Cette réglementation […]

En savoir plus
Réunion de sensibilisation des élus aux risques de cyberattaques

Réunion de sensibilisation des élus aux dangers qui menacent les systèmes informatiques

Jeudi 29 Juin, à Grand Dax Agglomération, était organisé par le Grand Dax et DATA³, une réunion d’information de 2h destinée aux élus communautaires et du département. Le but de cette rencontre était de sensibiliser aux dangers qui menacent les systèmes informatiques […]

En savoir plus
Cellule de crise chez DATA³ Dax

Cellule de crise chez DATA³

Dans le cadre des exigences liées à la certification ISO 27001 – ISO 27001 HDS, le datacenter DATA³ doit régulièrement effectuer des tests de mise en œuvre de cellule de crise qui interviendrait en cas d’incident critique compromettant l’exploitation normale […]

En savoir plus