I.-La déclaration des incidents graves de sécurité des systèmes d'information prévue par l'article L. 1111-8-2 est destinée à :

1° Fournir aux autorités compétentes de l'Etat les informations nécessaires pour décider des mesures de prévention en matière de sécurité des systèmes d'information ou permettant d'assurer la continuité de la prise en charge sanitaire ;

2° Aider les établissements de santé, organismes et services exerçant des activités de prévention, de diagnostic ou de soins à prendre toute mesure utile pour prévenir la survenue d'incidents significatifs ou graves de sécurité des systèmes d'information ou en limiter les effets.

II.-Sont considérés comme incidents significatifs ou graves de sécurité des systèmes d'information les événements générateurs d'une situation exceptionnelle au sein d'un établissement, organisme ou service, et notamment :

-les incidents ayant des conséquences potentielles ou avérées sur la sécurité des soins ;

-les incidents ayant des conséquences sur la confidentialité ou l'intégrité des données de santé ;

-les incidents portant atteinte au fonctionnement normal de l'établissement, de l'organisme ou du service ;

-les incidents ayant un retentissement potentiel ou avéré sur l'organisation départementale, régionale ou nationale du système de santé ;

-les incidents susceptibles de toucher d'autres établissements, organismes ou services.

III.-Parmi les incidents graves de sécurité des systèmes d'information, sont jugés significatifs les incidents ayant un retentissement potentiel ou avéré sur l'organisation départementale, régionale ou nationale du système de santé et les incidents susceptibles de toucher d'autres établissements, organismes ou services.