PARIS (TICsanté) – Un arrêté publié au Journal officiel (JO) le 23 avril fixe les règles de sécurité et les modalités de déclaration des systèmes d’information (SI) d’importance vitale et des incidents de sécurité relatives aux établissements de santé.
Ces derniers sont désignés opérateurs d’importance vitale (OIV). La liste exacte est classifiée au titre du « secret de la défense nationale ».
Les OIV sont définis par le code de la défense comme des opérateurs « dont le dommage ou l’indisponibilité ou la destruction […] risquerait, directement ou indirectement, d’obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation; ou de mettre gravement en cause la santé ou la vie de la population ».
À compter de leur désignation comme OIV, les établissements sont soumis au cadre réglementaire des lois de programmation militaire, avec des critères de sécurité informatique plus élevées que celles incombant aux établissements désignés opérateurs de service essentiels (OSE).
L’arrêté publié au JO le 23 avril fixe ces règles. Il entrera en vigueur le 1er juillet 2023.
Dans le détail, le texte et ses quatre annexes fixent:
- – les règles de sécurité que les opérateurs d’importance vitale sont tenus de respecter pour protéger leurs systèmes d’information (SI) (annexe I)
- – les délais dans lesquels les opérateurs sont tenus d’appliquer les règles de sécurité (annexe II)
- – les modalités selon lesquelles les opérateurs déclarent à l’Agence nationale de la sécurité des SI (Anssi) la liste de leurs SI d’importance vitale identifiés par types de système (annexe III)
- – ainsi que les modalités selon lesquelles les opérateurs déclarent à l’Anssi certains types d’incidents affectant la sécurité ou le fonctionnement de leurs SI (annexe IV).
Ainsi, « dans un délai de trois mois à compter de la date d’entrée en vigueur » de l’arrêté ou de sa désignation comme OIV, l’établissement de santé doit adresser par courrier à l’Anssi la liste des SI d’importance vitale, « ainsi que pour chaque système, le formulaire de déclaration disponible sur le site internet de l’agence (www.ssi.gouv.fr) ».
« Pour déterminer si un SI peut être qualifié d’importance vitale […], l’OIV mène une analyse d’impacts sur ses SI […]. » Lorsque, pour un type de SI, l’opérateur n’en déclare aucun d’importance vitale, « il en précise les raisons ».
En outre, l’opérateur d’importance vitale communique une fois par an à l’Anssi les mises à jour de sa liste et des formulaires de déclaration. « Il déclare tout nouveau SI d’importance vitale préalablement à sa mise en service et tout SI qui satisfait aux conditions pour être qualifié d’importance vitale postérieurement à sa mise en service dès qu’il satisfait à ces conditions. »
Il informe sans délai l’Anssi de tout retrait de sa liste d’un des systèmes précédemment déclarés « et en précise les raisons ».
Tout établissement de santé désigné OIV doit aussi déclarer chaque incident qui relève d’un type affectant la sécurité ou le fonctionnement de ses SI. Pour cela, il doit adresser à l’Anssi le formulaire de déclaration disponible sur le site internet de l’agence « selon le moyen approprié à la sensibilité des informations déclarées ».
Il doit également communiquer à l’Anssi les coordonnées de la personne chargée de le représenter dans un délai de trois mois à compter de l’entrée en vigueur de l’arrêté (le 1er juillet) ou de sa désignation comme OIV.
Le détail de chaque règle figure dans les annexes publiées dans l’arrêté.
(…)
(Journal officiel, dimanche 23 avril, textes 3 et 4)
Wassinia Zirar
Vous êtes un acteur de Santé ? Quelle que soit la complexité de vos besoins en sauvegarde, hébergement, duplication nous saurons vous proposer la meilleure solution. Demandez votre 1er conseil offert via le formulaire de contact ou en appelant le 05 24 26 30 27.
