https://global.agfahealthcare.com/france/
http://www.computer-engineering.fr
06/06/2018   Envoyer par mail Imprimer   Aucun commentaire
Pour commenter cette dépêche Identifiez-vous

Sécurité informatique: les acteurs de santé désignés "opérateurs de services essentiels" (décret)

PARIS, 6 juin 2018 (TICsanté) - Les établissements de santé publics et privés, les prestataires de soins de santé, les grossistes-répartiteurs pharmaceutiques et les organismes sociaux font partie des types d'"opérateurs de services essentiels" (OSE) qui pourront faire l'objet d'une sécurité informatique renforcée, selon un décret paru le 25 mai au Journal officiel.

Le texte est pris en application de la loi du 26 février 2018 transposant la directive européenne 2016/1148 du 6 juillet 2016 concernant les mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union européenne (voir dépêches du 23 août 2016 et du 7 février 2018).

Dans la liste des "services essentiels au fonctionnement de la société ou de l'économie" devant faire l'objet de mesures spécifiques de sécurité informatique, le décret cite en annexe les services "concourant aux activités de prévention, de diagnostic ou de soins", "la réception et la régulation des appels" et "le service mobile d'urgence et de réanimation" dans le cadre de l'aide médicale d'urgence, ainsi que la "distribution pharmaceutique".

Les services de calcul et paiement des prestations sociales (assurance maladie, vieillesse, allocations familiales et chômage) sont également mentionnés.

Le décret définit un OSE comme un opérateur fournissant "au moins un" service essentiel "lorsque des réseaux et systèmes sont nécessaires à la fourniture de ce service et qu'un incident affectant ces réseaux et systèmes aurait, sur la fourniture de ce service, des conséquences graves".

La notion de gravité est appréciée en fonction de plusieurs critères détaillés par le décret:

  • le nombre d'utilisateurs dépendants du service
  • la dépendance d'autres secteurs d'activités
  • les conséquences qu'un incident pourrait avoir en termes de gravité et de durée sur le fonctionnement de l'économie ou de la société
  • la part de marché de l'opérateur
  • sa portée géographique
  • l'importance que revêt l'opérateur pour assurer un niveau de service suffisant, compte de la disponibilité de moyens alternatifs pour la fourniture du service
  • le cas échéant, des facteurs sectoriels.

Pour chacun des services essentiels mentionnés par le décret, les OSE du secteur de la santé seront désignés par arrêté du premier ministre, sur proposition du ministère des solidarités et de la santé ou de l'Agence nationale de la sécurité des systèmes d'information (Anssi).

Le premier ministre notifiera à chaque opérateur son intention de le désigner comme OSE, et ce dernier disposera d'un mois à compter de la notification pour présenter ses observations.

Chaque OSE devra désigner une personne chargée de le représenter auprès de l'Anssi, et communiquer à l'agence les coordonnées de cette personne dans un délai de deux mois après publication de l'arrêté le désignant comme OSE.

Le décret détaille les obligations des OSE en termes de déclaration de leurs réseaux et systèmes d'information et de leurs incidents de sécurité, mais aussi en termes de règles de sécurité applicables à ces réseaux et de contrôle.

Le texte précise les dispositions qui s'imposent aux fournisseurs de service numérique, comme la désignation de représentants auprès de l'Anssi sur le territoire national.

(Journal officiel, vendredi 25 mai, texte 1)

rm/gb/ab

Partagez cet article

Les dépêches liées à cette information
http://www.faireavancerlasantenumerique.com/programme-des-36-heures-chrono-parcours-de-vie/
https://www.groupepsih.com/
http://www.web100t.fr
http://www.ticsante.com/show.php?page=inscription