Si une maison de retraite figure sur la liste des hôpitaux, elle est tenue de signaler toute cyberattaque. Un signalement volontaire est possible dans tous les cas.

Depuis le 1er avril 2025, les exploitants publics et privés d'infrastructures critiques sont tenus de signaler les cyberattaques. Cette catégorie comprend notamment les établissements de santé figurant sur la liste cantonale des hôpitaux. Comme l'indique le Conseil fédéral dans son message, en cas de mise en danger des données contenues dans les dossiers électroniques des patients, l'organisation menacée par la cyberattaque est tenue de la signaler.

Les établissements médico-sociaux figurant sur la liste cantonale des hôpitaux doivent signaler rapidement les cyberattaques

Si une maison de retraite relève du champ d'application de la loi sur la sécurité de l'information, elle doit signaler à l'Office fédéral de la cybersécurité (OFAC) toute cyberattaque qui :

• compromet le bon fonctionnement de l'infrastructure concernée ;
• a entraîné une manipulation ou une fuite d'informations ;
• est restée non détectée pendant au moins 90 jours, en particulier s'il existe des indices laissant supposer qu'elle a été menée en vue de préparer d'autres cyberattaques ; ou
• est associée à un chantage, une menace ou une contrainte.

L'établissement de soins soumis à l'obligation de notification doit signaler une telle cyberattaque à l'OFAC dans les 24 heures suivant sa découverte. Si l'établissement de soins ne dispose pas de toutes les informations nécessaires au moment de la notification, l'OFAC lui accorde un délai de 14 jours pour compléter la notification.