Protection des systèmes d'information : les règles de sécurité relatives au sous-secteur d'activités d'importance vitale « Etablissements de santé »
Un arrêté du 17 avril 2023 fixe les règles de sécurité que les opérateurs d'importance vitale sont tenus de respecter pour protéger leurs systèmes d'information (annexe I), les délais dans lesquels les opérateurs sont tenus d'appliquer les règles de sécurité (annexe II), les modalités selon lesquelles les opérateurs déclarent à l'Agence nationale de la sécurité des systèmes d'information la liste de leurs systèmes d'information d'importance vitale identifiés par types de système (annexe III), ainsi que les modalités selon lesquelles les opérateurs déclarent à l'Agence certains types d'incidents affectant la sécurité ou le fonctionnement de leurs systèmes d'information (annexe IV). Ces dispositions entrent en vigueur au 1er juillet 2023.
S'agissant des établissements de santé, l'article 1er de l'arrêté précise que “Les règles de sécurité prévues à l'article L. 1332-6-1 du code de la défense relatives au sous-secteur d'activités d'importance vitale « Établissements de santé » figurent à l'annexe I". Cette annexe est accessible.
En revanche, les autres annexes ne sont notifiées qu'aux personnes ayant besoin d'en connaître. Il s'agit notamment des incidents à déclarer, relevant d'un type fixé à l'annexe IV ou encore l'analyse d'impacts à mener sur les systèmes d'information, notamment ceux relevant des types de système d'information mentionnés à l'annexe III.