Les établissements médico-sociaux sont tenus, tout comme les structures sanitaires, de signaler les incidents significatifs ou graves de sécurité des systèmes d'information (SI).
Une instruction publiée le 31 mai dernier du ministère de la Santé et de la Prévention détaille ces obligations.
Cette dernière demande aux ARS d'effectuer un rappel auprès du champ médico-social (Une ordonnance de novembre 2020 et un décret d'avril 2022 ont élargi l'obligation de signalement aux structures médico-sociales et modifié les procédures de traitement).
Aussi, les structures médico-sociales sont soumises à une obligation de signalement « s'applique également aux incidents susceptibles de toucher d'autres établissements, organismes ou services, notamment en cas d'attaque pouvant se propager vers d'autres entités soit par rebond depuis l'établissement touché soit à la suite d'un incident provoqué par un sous-traitant victime d'une attaque et fournissant des services à plusieurs établissements ».
Et enfin, l'instruction rappelle l'obligation pour les établissements médico-sociaux de déclarer directement à la Commission nationale de l'informatique et des libertés (CNIL) tout incident ayant entraîné l'indisponibilité, le vol ou la perte de données de santé et ce, conformément au « Règlement Général sur la Protection des Données la protection des données » (RGPD).