Cybersécurité : calendrier des obligations pour les établissements de santé et les ESMS
January 31, 2024
Temps de lecture :
3 minutes
À partir du premier semestre 2024, les établissements de santé, sociaux et médico-sociaux se verront imposer de nouvelles obligations liées à la cybersécurité et à la gestion des risques numériques.
Cette évolution s'inscrit dans un contexte dans lequel la cybermenace augmente de manière continue, nécessitant une attention accrue et des mesures proactives en matière de cybersécurité.
Ce changement est piloté par le programme CaRE « Cybersécurité accélération et Résilience des Établissements », élaboré dans le cadre de la feuille de route du numérique en santé pour 2023-2027. Découvrez dans cet article le calendrier des moments forts à venir.
Sources de nos informations : Hospimedia
Calendrier des obligations et des exigences en sécurité des systèmes d'Information
Voici les étapes-clés à retenir :
Premier semestre 2024
Établissements de santé
- Publication d'une instruction détaillée concernant les obligations en matière de Sécurité des Systèmes d'Information (SSI) pour les établissements de santé.
- Visites de certification des établissements de santé : évaluation des établissements sur les nouveaux critères numériques et de cybersécurité ajoutés dans le référentiel v2024 de la HAS
- Les contrats pluriannuels entre les Agences Régionales de Santé (ARS) et les établissements incluront désormais un objectif dédié à la cybersécurité et des objectifs dans le cadre des plans de continuité et de reprise d'activité (PCRA)
- Distribution d'un kit national conçu pour soutenir les établissements sanitaires dans leurs efforts de cybersécurité.
- Lancement du premier appel à financement ciblant “les audits techniques, exposition Internet et annuaires techniques” (appelé domaine D1), doté d'une enveloppe budgétaire de 65 millions d'euros.
ESMS
- Adaptation des initiatives du versant sanitaire pour les établissements sociaux et médico-sociaux (ESMS) avec une approche pilote (début 2024)
- Réalisation d'exercices de crise par 90 organismes gestionnaires sur les secteurs personnes âgées, personnes en situation de handicap et domicile. Financement des projets via un appel à projets ESMS numérique sur 2021-2022 (premier semestre 2024).
Second semestre 2024 :
Établissements de santé
- Ouverture des candidatures pour les établissements de santé souhaitant obtenir un financement dans le cadre du domaine D1.
- Attribution des financements aux établissements ayant atteint les objectifs fixés dans le domaine D1.
Avant fin 2024
Établissements de santé
- Réalisation d’un exercice de crise par 80 % des établissements.
Premier semestre 2025 :
Établissements de santé
- Nomination d'un référent PCRA (Plan de Continuité et de Reprise d'Activité) dans chaque établissement de santé.
Courant 2025 :
ESMS
- Mise en place d'un exercice de crise par 3 % des organismes gestionnaires sur les secteurs personnes âgées, personnes en situation de handicap et domicile.
Établissements de santé
- Intégration d’un volet numérique dans le cadre du plan blanc : invitation à réaliser une autoévaluation de la cybersécurité par l'ensemble des établissements de santé.
Mi-2026
Établissements de santé
- Extension des plans PCRA à 80 % des établissements de santé, en se concentrant sur les services critiques.
Mi-2027
Établissements de santé
- Instauration d'exercices de crise annuels obligatoires pour tous les établissements de santé.
L’outil qui vous aide à piloter votre démarche qualité
Calendrier des objectifs et guides dans le cadre du programme CaRE
Quelques échéances pour les établissements de santé :
Début 2024
- Fourniture d'un guide aux directions des établissements de santé, offrant des conseils sur les organisations informatiques (IT).
Second semestre 2025 :
- Publication d'un guide destiné à aider les directions à adapter leurs équipes SI et SSI selon leur structure et leurs besoins spécifiques.
Mi-2025 :
- Objectif fixé pour que tous les établissements de santé consacrent 2% de leur budget aux domaines du numérique et de la cybersécurité, suivant une méthode de calcul uniformisée et partagée.
Cet article sur le calendrier lié à la cybersécurité vous a intéressé.e ? Restez informé.e des actualités de votre secteur en vous abonnant à notre newsletter.
Questions fréquentes
Découvrez nos réponses aux questions fréquemment posées sur le DUERP en structure médico-sociale, sociale et sanitaire.
Questions fréquentes
Questions fréquentes
À propos de l’auteur
Gregory Cousyn
Grégory occupe le poste de Head of Customer Care & Quality chez Qualineo. Son parcours : ancien infirmier diplômé d’état ayant travaillé pour le Ministère des Armées, Grégory Cousyn intègre un établissement de santé où il occupait un poste de direction. Son expérience s’articule autour de l’optimisation des organisations pour développer les performances et l’activité d’un établissement, l’appui à la stratégie et la gestion de projets.
D’autres articles pourraient vous intéresser