Arrêté du 17/04/2023 : Sécurité et déclaration pour les SIIV dans le secteur de la santé

Ce nouvel Arrêté du 17/04/2023 SIIV santé fixe les règles de sécurité et les modalités de déclaration des systèmes d’information d’importance vitale (SIIV) et des incidents de sécurité relatifs au sous-secteur d’activités d’importance vitale « Établissements de santé ». Il est pris en application des articles R. 1332-41-1, R. 1332-41-2 et R. 1332-41-10 du code de la défense.

L’arrêté a pour objectif de garantir la sécurité et la résilience des systèmes d’information des établissements de santé considérés comme d’importance vitale pour le pays. Il définit les obligations des opérateurs concernés en matière de protection de leurs systèmes d’information et les procédures à suivre en cas d’incidents de sécurité.

Les principales dispositions de l’arrêté comprennent :

1. Les règles de sécurité : L’arrêté précise les exigences minimales en matière de sécurité des systèmes d’information des établissements de santé concernés, notamment en ce qui concerne la protection des données, la gestion des accès, la surveillance et la détection des incidents de sécurité.
2. Les modalités de déclaration des SIIV : L’arrêté établit les procédures que les opérateurs doivent suivre pour déclarer les systèmes d’information d’importance vitale à l’autorité compétente, ainsi que les informations à fournir lors de cette déclaration.
3. Les modalités de déclaration des incidents de sécurité : L’arrêté définit également les procédures de déclaration des incidents de sécurité qui affectent les SIIV, ainsi que les délais et les modalités de communication de ces incidents à l’autorité compétente.

Cet arrêté vise à renforcer la sécurité des systèmes d’information des établissements de santé d’importance vitale en France et à assurer une meilleure coordination entre les opérateurs et les autorités en cas d’incidents de sécurité.