Renforcement de la cybersécurité des établissements
Les établissements sont régulièrement confrontés à des cyber-attaques mettant en péril leur systèmes d'information.
En application de l'article L1111-8-2 du code de la santé publique, "les établissements de santé, les organismes et services exerçant des activités de prévention, de diagnostic ou de soins et les établissements médico-sociaux signalent sans délai aux autorités compétentes de l’État et au groupement d'intérêt public chargé du développement des systèmes d'information de santé partagés, dans des conditions fixées par décret, les incidents significatifs ou graves de sécurité des systèmes d'information.
Sous réserve du respect des règles relatives à la protection du secret de la défense nationale, le présent article est applicable au service de santé des armées en ce qui concerne les incidents significatifs ou graves de sécurité des systèmes d'information intéressant les activités de prévention, de diagnostic ou de soins des hôpitaux des armées.
Un décret définit les catégories d'incidents concernés, les modalités selon lesquelles sont signalés les incidents mentionnés au premier alinéa et les conditions dans lesquelles ils sont traités".
Le décret n°2022-715 du 27 avril 2022 précise ce cadre. Les incidents sont “significatifs”, et leur déclaration est effectué “sans délai” par le directeur de l'établissement ou la personne déléguée à cet effet. Désormais, les établissements médico-sociaux sont également concernés.