Un arrêté du 17 avril 2023 a pour objet de fixer les règles de sécurité ainsi que les modalités de déclaration des systèmes d’information (SI) d’importance vitale et des incidents de sécurité relatives aux établissements de santé. Le texte rappelle que les établissements de santé sont désignés opérateurs d’importance vitale (OIV) et la liste exacte est classifiée au titre du « secret de la défense nationale ».
Ainsi, à compter de leur désignation comme OIV, les établissements sont soumis au cadre réglementaire des lois de programmation militaires avec des critères de sécurité informatique plus élevés que ceux incombant aux établissements désignés opérateurs de service essentiels (OSE).
L’arrêté qui entrera en vigueur le 1er juillet 2023 fixe dans ses annexes :
- les règles de sécurité que les opérateurs d’importance vitale sont tenus de respecter pour protéger leurs systèmes d’information (annexe I) ;
- les délais dans lesquels les opérateurs sont tenus d’appliquer les règles de sécurité (annexe II) ;
- les modalités selon lesquelles les opérateurs déclarent à l'Agence nationale de la sécurité des SI (Anssi) la liste de leurs SI d'importance vitale identifiés par types de système (annexe III) ;
- les modalités selon lesquelles les opérateurs déclarent à l'Anssi certains types d'incidents affectant la sécurité ou le fonctionnement de leurs SI (annexe IV).
Ainsi, dans un délai de trois mois à compter de la date d’entrée en vigueur de l’arrêté ou de sa désignation comme OIV, l’établissement de santé doit adresser par courrier à l’Anssi la liste des SI d’importance vitale « ainsi que pour chaque système, le formulaire de déclaration disponible sur le site internet de l’agence ». Pour déterminer si un SI peut être qualifié d’importance vitale, l’OIV mène une analyse d’impacts sur ses SI.
Par ailleurs, l’opérateur d’importance vitale communique une fois par an à l’Anssi les mises à jour de sa liste et de ses formulaires de déclaration. Il lui revient de déclarer tout nouveau SI d’importance vitale préalablement à sa mise en service et tout SI qui satisfait aux conditions pour être qualifié d’importance vitale postérieurement à sa mise en service dès qu’il satisfait à ces conditions.
En parallèle, un second arrêté publié le même jour concerne plus spécifiquement le sous-secteur d’activités d’importance vitale « veille et alerte sanitaire ». Ce texte entrera en vigueur le 1er juillet 2023 et fixe les règles de sécurité que les OIV « veille et alerte sanitaire » sont tenus de respecter pour protéger leurs SI (annexe 1), les délais dans lesquels les opérateurs sont tenus d’appliquer les règles de sécurité (annexe 2), les modalités selon lesquelles les opérateurs déclarent à l’Anssi la liste de leurs SI d’importance vitale identités par types de systèmes (annexe 3), ainsi que les modalités selon lesquelles les opérateurs déclarent à l’agence certains types d’incidents affectant la sécurité ou le fonctionnement de leurs SI (annexe 4)