Les établissements médico-sociaux doivent signaler aux autorités compétentes de l'État les incidents significatifs ou graves de sécurité de leurs systèmes d'information (SI), ce afin de permettre la mise en place de mesures de prévention. Sont notamment concernés les événements ayant des conséquences potentielles ou avérées sur la sécurité des soins, la confidentialité des données de santé ou encore ceux susceptibles de toucher d'autres structures. La déclaration doit être effectuée sans délai par le directeur (ou la personne déléguée à cet effet) auprès de l'Agence du numérique en santé, dont les missions sont détaillées.  

Décret n° 2022-715 du 27 avril 2022