Les établissements supports de GHT et les quelques autres établissements de santé heureux destinataires d’un arrêté les désignant en tant qu’opérateur d’importance vitale (OIV) ont trois mois pour se conformer aux règles de sécurité fixées au terme d’un arrêté du 17 avril 2023.
Elles couvrent 20 secteurs traditionnels de la sécurité :
- Règle relative à la politique de sécurité des systèmes d’information
- Règle relative à l’homologation de sécurité
- Règle relative à la cartographie
- Règle relative au maintien en conditions de sécurité
- Règle relative à la journalisation
- Règle relative à la corrélation et l’analyse de journaux
- Règle relative à la détection
- Règle relative au traitement des incidents de sécurité
- Règle relative au traitement des alertes
- Règle relative à la gestion de crises
- Règle relative à l’identification
- Règle relative à l’authentification
- Règle relative aux droits d’accès
- Règle relative aux comptes d’administration
- Règle relative aux systèmes d’information d’administration
- Règle relative au cloisonnement
- Règle relative au filtrage
- Règle relative aux accès à distance
- Règle relative à l’installation de services et d’équipements
- Règle relative aux indicateurs
Ces règles sont complétées par les modalités de déclaration à l’ANSSI des systèmes d’information d’importance vitale (SIIV) nouveaux ou existants.
Même chose pour les modalités de déclaration des incidents, précisées par le texte.
A noter – et c’est la même chose pour l’arrêté du même jour fixant les règles pour les SIIV du secteur « Veille et alerte sanitaires » – que les Annexes II à IV de l’arrêté ne figurent ni dans la version web, ni dans la version PDF du Journal Officiel.