Loi sur la sécurité informatique à l'hôpital
En tant qu'exploitants d'une "infrastructure critique dans le domaine de la santé", les hôpitaux font partie des principaux destinataires de la loi. La prévention des perturbations de la disponibilité, la préservation de l'intégrité, de l'authenticité et de la confidentialité des systèmes informatiques, de leurs composants et des processus doivent désormais, en vertu d'une obligation légale, être assurées par des dispositifs techniques. Les incidents de sécurité informatique réels ou potentiels doivent être signalés à l'Office fédéral de la sécurité des technologies de l'information (BSI). Le respect et la mise en œuvre de la loi sont passibles d'une amende pouvant atteindre 100.000,00 euros.
Les détails, notamment ce qui doit être considéré exactement comme une "infrastructure critique", seront encore définis par le ministère fédéral de l'Intérieur dans un décret juridique. Ce n'est que deux ans plus tard que les règles deviendront contraignantes - mais alors immédiatement. Dans les six mois suivant l'entrée en vigueur de l'ordonnance juridique, l'hôpital doit communiquer spontanément au BSI un point de contact et garantir que ce dernier soit joignable à tout moment.
Le ministère fédéral de l'Intérieur doit consulter les associations sectorielles avant d'adopter le décret. Les associations sectorielles peuvent en outre soumettre des propositions concernant la précision - et donc la rigueur - des normes de sécurité spécifiques au secteur. Par le biais des associations sectorielles - ou directement par l'hôpital - il est donc désormais possible d'influer sur l'ampleur de l'effort de sécurité à fournir ultérieurement. Il est également possible de proposer des solutions sur mesure pour les hôpitaux afin d'éviter de devoir mettre en œuvre ultérieurement des normes générales "inadaptées".
Le Bundesrat a déjà attiré l'attention sur le fait que les besoins en subventions augmenteront, en tout cas pour les hôpitaux financés par les communes et les Länder. Selon une présentation du gouvernement fédéral, les besoins financiers supplémentaires ne pourront être déterminés qu'après l'adoption du décret juridique de concrétisation susmentionné. Pour l'ensemble des opérateurs critiques, le gouvernement fédéral prévoit des coûts annuels de plus de 9 millions d'euros pour les seuls opérateurs. Jusqu'à la promulgation de l'ordonnance juridique, il est donc possible d'insister sur une participation accrue des gestionnaires d'hôpitaux aux frais occasionnés.
Les hôpitaux sontd'ores et déjà tenus de prendre des "mesures techniques et organisationnelles afin d'empêcher tout accès non autorisé aux [...] installations techniques utilisées". En outre, l'informatique hospitalière doit être techniquement protégée contre les atteintes à la protection des données et les perturbations. L'"état de la technique" doit donc être respecté. L'obligation d'"utiliser un procédé de cryptage reconnu comme sûr" est expressément mentionnée.
Le respect des obligations déjà en vigueur est passible d'une amende pouvant atteindre 50.000,00 euros. Les mises à jour logicielles disponibles doivent donc être appliquées rapidement. Si des entreprises tierces sont impliquées dans des tâches informatiques ou si des entreprises tierces ont accès à des données (par exemple dans le cas de bureaux de facturation externes ou d'une maintenance à distance via des sociétés de logiciels externes), celles-ci devraient être tenues par contrat de respecter les nouvelles dispositions.
La nouvelle loi sur la sécurité informatique apporte toutefois aussi des possibilités: il est désormais permis, par exemple, d'effectuer une "petite conservationvolontaire des données" jusqu'à six mois afin d'exclure les risques de sécurité et de pouvoir détecter et contrer d'éventuelles attaques techniques - du moins dans la mesure où les services de télécommunication sont concernés. Cela peut s'avérer utile dans des situations particulières.
Mise à jour : 21.09.2015