Retour à la section

Sous-section 4

Catégories d'incidents, conditions et modalités de mise en œuvre du signalement des incidents significatifs ou graves de sécurité des systèmes d'information

Article suivant

Article D1111-16-4

Définition des établissements concernés par le signalement des incidents de sécurité des systèmes d'information

Code de la santé publique

Article D1111-16-3

Article D1111-16-3

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Déclaration et gestion des incidents de sécurité des systèmes d'information de santé

Résumé Les incidents graves de sécurité des systèmes de santé doivent être signalés immédiatement pour être analysés et traités.

I.-La déclaration des incidents significatifs ou graves de sécurité des systèmes d'information, sans préjudice des autres déclarations obligatoires, est effectuée sans délai par le directeur de l'établissement de santé, de l'organisme ou du service exerçant des activités de prévention, de diagnostic ou de soins, de l'établissement médico-social ou la personne déléguée à cet effet, auprès du groupement d'intérêt public mentionné à l'article L. 1111-24.

Le groupement d'intérêt public assure :

-l'analyse des incidents significatifs ou graves de sécurité des systèmes d'information et la proposition des mesures à prendre pour faire face à cet incident ;

-l'appui de la structure déclarant l'incident. Il peut formuler des recommandations et notamment proposer des mesures d'urgence pour limiter l'impact de celui-ci, des mesures de remédiation ainsi que des mesures destinées à améliorer la sécurité du ou des systèmes d'information concernés ;

-la relation avec l'Agence nationale de sécurité des systèmes d'information, notamment en cas d'incident concernant un opérateur de service essentiel ou qui pourrait avoir un impact de portée nationale ;

-la prévention des incidents, en organisant les retours d'expérience au niveau national, et la proposition de mesures d'aide au traitement des incidents ;

-la gestion et la mise en œuvre du traitement de données à caractère personnel relatif aux signalements, dont les caractéristiques sont précisées par un arrêté du ministre chargé de la santé.

Le groupement d'intérêt public informe sans délai le service du haut fonctionnaire de défense et de sécurité des ministères sociaux de tout signalement analysé. Il informe également sans délai les services compétents de la direction générale de la santé, ainsi que les agences régionales de santé concernées, de tout signalement susceptible d'avoir un impact sanitaire direct ou indirect, notamment en cas de dysfonctionnement de l'offre de soins.

Le groupement d'intérêt public est informé sans délai de la résolution des incidents par l'une des personnes mentionnées au premier alinéa du présent I.

Il établit, au vu des informations communiquées par les établissements et organismes concernés, un rapport annuel à caractère statistique relatif aux signalements anonymisés des incidents de sécurité des systèmes d'information. Ce rapport est rendu public.

II.-Sous réserve des dispositions relatives à la protection du secret de la défense nationale, la déclaration d'un incident significatif ou grave de sécurité mentionné à l'article L. 1111-8-2 est effectuée via le site internet mentionné à l'article D. 1413-58.

Le déclarant fournit toutes les informations dont il dispose au moment de la découverte de l'incident et notamment les informations suivantes :

-les informations permettant d'identifier la structure concernée par l'incident ainsi que le déclarant ;

-la description de l'incident, notamment la date du constat, le périmètre de l'incident, les systèmes d'information et données concernées et l'état de la prise en charge ;

-la description de l'impact de l'incident sur les données, sur les personnes, sur les systèmes d'information et sur la structure ;

-les causes de l'incident, si celles-ci sont identifiées.

Le groupement d'intérêt public mentionné à l'article L. 1111-24 peut demander à la structure concernée par l'incident toute information complémentaire permettant la qualification de l'incident et la mise en place d'une réponse adaptée.

2 versions

3 cités

Historique des versions

Version 2

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Centralisation des déclarations et renforcement des obligations

Résumé des changements La nouvelle rédaction centralise la déclaration directe auprès du groupe spécialisé plutôt que par l’agence régionale et élargit le champ obligatoire des informations fournies par le déclarant ; elle impose également au groupe davantage d’obligations : analyse approfondie des incidents significatifs ou graves et coordination avec l’ANSSI lorsqu’ils concernent un opérateur essentiel ou ont un impact national ; notification immédiate aux autorités compétentes ainsi qu’un rapport annuel statistique issu directement des établissements concernés.

I.-La déclaration des incidents significatifs ou graves de sécurité des systèmes d'information, sans préjudice des autres déclarations obligatoires, est effectuée sans délai par le directeur de l'établissement de santé, de l'organisme ou du service exerçant des activités de prévention, de diagnostic ou de soins, de l'établissement médico-social ou la personne déléguée à cet effet, auprès du groupement d'intérêt public mentionné à l'article L. 1111-24.

Le groupement d'intérêt public assure :

-l'analyse des incidents significatifs ou graves de sécurité des systèmes d'information et la proposition des mesures à prendre pour faire face à cet incident ;

-l'appui de la structure déclarant l'incident. Il peut formuler des recommandations et notamment proposer des mesures d'urgence pour limiter l'impact de celui-ci, des mesures de remédiation ainsi que des mesures destinées à améliorer la sécurité du ou des systèmes d'information concernés ;

-la relation avec l'Agence nationale de sécurité des systèmes d'information, notamment en cas d'incident concernant un opérateur de service essentiel ou qui pourrait avoir un impact de portée nationale ;

-la prévention des incidents, en organisant les retours d'expérience au niveau national, et la proposition de mesures d'aide au traitement des incidents ;

-la gestion et la mise en œuvre du traitement de données à caractère personnel relatif aux signalements, dont les caractéristiques sont précisées par un arrêté du ministre chargé de la santé.

Le groupement d'intérêt public informe sans délai le service du haut fonctionnaire de défense et de sécurité des ministères sociaux de tout signalement analysé. Il informe également sans délai les services compétents de la direction générale de la santé, ainsi que les agences régionales de santé concernées, de tout signalement susceptible d'avoir un impact sanitaire direct ou indirect, notamment en cas de dysfonctionnement de l'offre de soins.

Le groupement d'intérêt public est informé sans délai de la résolution des incidents par l'une des personnes mentionnées au premier alinéa du présent I.

Il établit, au vu des informations communiquées par les établissements et organismes concernés, un rapport annuel à caractère statistique relatif aux signalements anonymisés des incidents de sécurité des systèmes d'information. Ce rapport est rendu public.

II.-Sous réserve des dispositions relatives à la protection du secret de la défense nationale, la déclaration d'un incident significatif ou grave de sécurité mentionné à l'article L. 1111-8-2 est effectuée via le site internet mentionné à l'article D. 1413-58.

Le déclarant fournit toutes les informations dont il dispose au moment de la découverte de l'incident et notamment les informations suivantes :

-les informations permettant d'identifier la structure concernée par l'incident ainsi que le déclarant ;

-la description de l'incident, notamment la date du constat, le périmètre de l'incident, les systèmes d'information et données concernées et l'état de la prise en charge ;

-la description de l'impact de l'incident sur les données, sur les personnes, sur les systèmes d'information et sur la structure ;

-les causes de l'incident, si celles-ci sont identifiées.

Le groupement d'intérêt public mentionné à l'article L. 1111-24 peut demander à la structure concernée par l'incident toute information complémentaire permettant la qualification de l'incident et la mise en place d'une réponse adaptée.

Version 1

Version initiale

Résumé des changements Version initiale de l'article.

En vigueur à partir du dimanche 1 octobre 2017

La déclaration des incidents graves de sécurité des systèmes d'information, sans préjudice des autres déclarations obligatoires, est effectuée sans délai par le directeur de l'établissement de santé, de l'organisme ou du service exerçant des activités de prévention, de diagnostic ou de soins, ou la personne déléguée à cet effet, auprès du directeur général de l'agence régionale de santé. L'agence régionale de santé est responsable de la qualification des incidents signalés.

Les incidents de sécurité des systèmes d'information jugés significatifs sont transmis sans délai par l'agence régionale de santé au groupement d'intérêt public mentionné à l'article L. 1111-24. Le groupement d'intérêt public assure :

-l'analyse des incidents significatifs ;

-l'appui aux agences régionales de santé, la prévention des incidents en organisant les retours d'expérience au niveau national, la proposition de mesures d'aide au traitement des incidents ;

-la gestion et la mise en œuvre du traitement automatisé de données à caractère personnel relatif aux signalements.

Le groupement d'intérêt public informe sans délai le service du haut fonctionnaire de défense et de sécurité des ministères chargés des affaires sociales de tout signalement analysé.

Le groupement d'intérêt public informe sans délai les services compétents de la direction générale de la santé de tout signalement susceptible d'avoir un impact sanitaire direct ou indirect, notamment en cas de dysfonctionnement de l'offre de soins.

Le groupement d'intérêt public établit, au vu des informations communiquées par les agences régionales de santé, un rapport annuel à caractère statistique relatif aux signalements anonymisés des incidents de sécurité des systèmes d'information. Ce rapport est rendu public.

Un arrêté du ministre chargé de la santé définit les modalités de signalement et de traitement des incidents, en définissant notamment un formulaire de déclaration.