Cybersécurité : calendrier des obligations pour les établissements de santé et les ESMS

À partir du premier semestre 2024, les établissements de santé, sociaux et médico-sociaux se verront imposer de nouvelles obligations liées à la cybersécurité et à la gestion des risques numériques. 

‍

Cette évolution s'inscrit dans un contexte dans lequel la cybermenace augmente de manière continue, nécessitant une attention accrue et des mesures proactives en matière de cybersécurité.

‍

Ce changement est piloté par le programme CaRE « Cybersécurité accélération et Résilience des Établissements », élaboré dans le cadre de la feuille de route du numérique en santé pour 2023-2027. Découvrez dans cet article le calendrier des moments forts à venir.

‍

Sources de nos informations : Hospimedia

‍

Calendrier des obligations et des exigences en sécurité des systèmes d'Information 

Voici les étapes-clés à retenir :  

‍

Premier semestre 2024 

Établissements de santé 

• Publication d'une instruction détaillée concernant les obligations en matière de Sécurité des Systèmes d'Information (SSI) pour les établissements de santé.
• Visites de certification des établissements de santé : évaluation des établissements sur les nouveaux critères numériques et de cybersécurité ajoutés dans le référentiel v2024 de la HAS 
• Les contrats pluriannuels entre les Agences Régionales de Santé (ARS) et les établissements incluront désormais un objectif dédié à la cybersécurité et des objectifs dans le cadre des plans de continuité et de reprise d'activité (PCRA)
• Distribution d'un kit national conçu pour soutenir les établissements sanitaires dans leurs efforts de cybersécurité.
• Lancement du premier appel à financement ciblant “les audits techniques, exposition Internet et annuaires techniques” (appelé domaine D1), doté d'une enveloppe budgétaire de 65 millions d'euros.

‍

ESMS

• Adaptation des initiatives du versant sanitaire pour les établissements sociaux et médico-sociaux (ESMS) avec une approche pilote (début 2024)
• Réalisation d'exercices de crise par 90 organismes gestionnaires sur les secteurs personnes âgées, personnes en situation de handicap et domicile. Financement des projets via un appel à projets ESMS numérique sur 2021-2022 (premier semestre 2024).

‍

Second semestre 2024 :

Établissements de santé

• Ouverture des candidatures pour les établissements de santé souhaitant obtenir un financement dans le cadre du domaine D1.

• Attribution des financements aux établissements ayant atteint les objectifs fixés dans le domaine D1.

‍

Avant fin 2024 

Établissements de santé

• Réalisation d’un exercice de crise par 80 % des établissements.

‍

Premier semestre 2025 :

Établissements de santé

• Nomination d'un référent PCRA (Plan de Continuité et de Reprise d'Activité) dans chaque établissement de santé.

‍

Courant 2025 :

ESMS

• Mise en place d'un exercice de crise par 3 % des organismes gestionnaires sur les secteurs personnes âgées, personnes en situation de handicap et domicile.

‍

Établissements de santé

• Intégration d’un volet numérique dans le cadre du plan blanc :  invitation à réaliser une autoévaluation de la cybersécurité par l'ensemble des établissements de santé.

‍

Mi-2026

Établissements de santé

• Extension des plans PCRA à 80 % des établissements de santé, en se concentrant sur les services critiques.

‍

Mi-2027 

Établissements de santé

• Instauration d'exercices de crise annuels obligatoires pour tous les établissements de santé.