Article 3 de l'Arrêté du 30 octobre 2017 relatif aux modalités de signalement et de traitement des incidents graves de sécurité des systèmes d'information

L'agence régionale de santé compétente s'appuie sur l'agence des systèmes d'information partagés de santé qui analyse la déclaration et qualifie les incidents signalés pour son compte.
La structure concernée par l'incident est informée de la prise en compte et de l'analyse de son signalement par l'agence des systèmes d'information partagés de santé.
L'agence des systèmes d'information partagés de santé et l'agence régionale de santé compétente peuvent demander à la structure concernée par l'incident toute information complémentaire permettant la qualification de l'incident et la mise en place d'une réponse adaptée.
A la demande de la structure concernée par l'incident, l'agence des systèmes d'information partagés de santé et l'agence régionale de santé compétente l'accompagnent dans la gestion de l'incident. Elles peuvent formuler des recommandations et notamment proposer des mesures d'urgence pour limiter l'impact de celui-ci, des mesures de remédiation ainsi que des mesures destinées à améliorer la sécurité du ou des systèmes d'information concernés.