L'ordonnance du 18 novembre 2020 relative aux missions des agences régionales de santé (ARS) et un décret du 27 avril 2022 ont élargi l'obligation de signalements d'incidents significatifs ou graves de sécurité des systèmes d'information aux établissements médico-sociaux.

Une instruction publiée au Bulletin officiel Santé protection sociale solidarité du 31 mai (p. 178) détaille les évolutions et clarifie les obligations qui s'imposent aux établissements concernés.

Le nouveau dispositif place l'Agence du numérique en santé ANS (CERT Santé) au centre de la gestion des signalements des établissements de santé et médico-sociaux. Tous les signalements lui remontent directement via le Portail des signalements des évènements sanitaires indésirables (PSIG). Il est désormais de sa responsabilité d'informer sans délai tout signalement à la fois vers l'ARS concernée et vers le Service du haut fonctionnaire de défense et de sécurité (HFDS), que l'incident soit de nature malveillante ou non, avec ou sans impact sanitaire.