Cybersécurité: un arrêté précise les obligations des opérateurs de services essentiels

Un arrêté publié au Journal officiel du 26 juin précise les obligations portant sur les opérateurs de services essentiels (OSE) en matière de déclaration de leur système d'information et des incidents informatiques auprès de l'Agence nationale de la sécurité des systèmes d'information (Anssi).

Le texte détaille les dispositions prévues par un décret d'application de la loi du 26 février 2018 transposant une directive européenne concernant les mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union européenne (voir dépêche TICsanté du 23 août 2016).

Ce décret a mentionné les établissements de santé publics et privés, les prestataires de soins de santé, les grossistes-répartiteurs pharmaceutiques et les organismes sociaux parmi les structures qui pourront être désignées OSE par arrêté du premier ministre.

Les OSE devront communiquer à l'Anssi une liste de leurs réseaux et systèmes d'information et déclarer leurs incidents de sécurité via un formulaire de déclaration disponible sur le site de l'agence. Les fournisseurs de services numériques sont également concernés par la procédure de déclaration des incidents.

Les établissements et services de santé font déjà l'objet d'un signalement obligatoire des incidents de sécurité informatique "significatifs" à leur agence régionale de santé (ARS).

L'Anssi a indiqué être en "phase de désignation des OSE". Elle a précisé que les déclarations d'incidents imposées à ces opérateurs ne les "déchargent pas des autres obligations de déclarations d'incident" auprès des pouvoirs publics.