Après l'article L. 1111-8-1 du code de la santé publique, il est inséré un article L. 1111-8-2 ainsi rédigé :
« Art. L. 1111-8-2.-Les établissements de santé et les organismes et services exerçant des activités de prévention, de diagnostic ou de soins signalent sans délai à l'agence régionale de santé les incidents graves de sécurité des systèmes d'information. Les incidents de sécurité jugés significatifs sont, en outre, transmis sans délai par l'agence régionale de santé aux autorités compétentes de l'Etat.
« Un décret définit les catégories d'incidents concernés et les conditions dans lesquelles sont traités les incidents de sécurité des systèmes d'information. »