Un nouveau décret n° 2022-715 du 27 avril 2022 est paru sur Légifrance, relatif aux conditions et aux modalités de mise en œuvre du signalement des incidents significatifs ou graves de sécurité des systèmes d'information. Il est en vigueur dès à présent.

Il concerne les établissements de santé, les organismes et services exerçant des activités de prévention, de diagnostic ou de soins et les établissements médico-sociaux.

Pour rappel, en vertu de l’article D1111-16-2 du Code de la Santé Publique :

II. Sont considérés comme incidents significatifs ou graves de sécurité des systèmes d'information les événements générateurs d'une situation exceptionnelle au sein d'un établissement, organisme ou service, et notamment :
 

• les incidents ayant des conséquences potentielles ou avérées sur la sécurité des soins ;
• les incidents ayant des conséquences sur la confidentialité ou l'intégrité des données de santé ;
• les incidents portant atteinte au fonctionnement normal de l'établissement, de l'organisme ou du service ;
• les incidents ayant un retentissement potentiel ou avéré sur l'organisation départementale, régionale ou nationale du système de santé ;
• les incidents susceptibles de toucher d'autres établissements, organismes ou services.
   

III. Parmi les incidents graves de sécurité des systèmes d'information, sont jugés significatifs les incidents ayant un retentissement potentiel ou avéré sur l'organisation départementale, régionale ou nationale du système de santé et les incidents susceptibles de toucher d'autres établissements, organismes ou services.