NIS2 dla sektora zdrowia: Wymagania i implementacja

NIS2 dla sektora zdrowia: Specyficzne wymagania i terminy implementacji 

Napisz do nas

Cyberatak na szpital to scenariusz, w którym cyfrowe zagrożenie w ułamku sekundy materializuje się w świecie fizycznym w najbardziej tragiczny możliwy sposób. To już nie jest kwestia utraty danych, lecz ryzyko utraty ludzkiego życia. Unijny prawodawca, w pełni świadomy tej krytycznej zależności, w ramach dyrektywy NIS2 nadał sektorowi ochrony zdrowia najwyższy priorytet, klasyfikując go jako sektor o kluczowym znaczeniu. To fundamentalna zmiana, która kończy erę, w której cyberbezpieczeństwo w placówkach medycznych było często traktowane jako drugorzędna potrzeba. 

Wdrożenie wymogów NIS2 w Polsce, realizowane poprzez nowelizację Ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), to dla szpitali, laboratoriów, przychodni i całej branży medycznej rewolucja na miarę wdrożenia RODO. Nowe przepisy wprowadzają twarde, prawnie egzekwowalne obowiązki, bezpośrednią odpowiedzialność kadry zarządzającej i groźbę dotkliwych kar finansowych. To już nie jest kwestia dobrych praktyk, lecz warunek legalnego i bezpiecznego funkcjonowania. Zegar tyka, a przygotowania należy zacząć natychmiast. 

Dlaczego dyrektywa NIS2 jest rewolucją dla sektora ochrony zdrowia? 

Dyrektywa NIS2 stanowi rewolucję, ponieważ drastycznie rozszerza zakres podmiotów objętych regulacją i podnosi poprzeczkę wymagań na bezprecedensowy poziom. Poprzednia dyrektywa NIS1 obejmowała jedynie największe, z góry zidentyfikowane podmioty. NIS2, poprzez wprowadzenie jasnych kryteriów wielkościowych, obejmie swoim zasięgiem tysiące nowych placówek medycznych – nie tylko wielkie szpitale kliniczne, ale również mniejsze szpitale, sieci laboratoriów, centra diagnostyczne, a nawet kluczowych producentów wyrobów medycznych i farmaceutyków. 

Co najważniejsze, NIS2 wprowadza kulturę odpowiedzialności. Cyberbezpieczeństwo przestaje być wyłączną domeną działu IT. Staje się ono bezpośrednią i osobistą odpowiedzialnością organu zarządzającego (dyrekcji szpitala), który musi zatwierdzać polityki, nadzorować ich wdrożenie i przechodzić dedykowane szkolenia. Ta zmiana, połączona z groźbą wysokich kar, wymusza traktowanie cyberodporności jako strategicznego priorytetu, na równi z procedurami medycznymi i zarządzaniem finansami. 

Które podmioty z sektora zdrowia są objęte zakresem NIS2? 

Zakres NIS2 w sektorze zdrowia jest bardzo szeroki i obejmuje większość podmiotów, od których zależy ciągłość świadczeń. Dyrektywa klasyfikuje je jako „podmioty kluczowe”, co nakłada na nie najbardziej rygorystyczne wymogi. Do tej kategorii zaliczone zostaną: 

  • Świadczeniodawcy, co w praktyce oznacza przede wszystkim szpitale (zarówno publiczne, jak i prywatne) oraz duże przychodnie i centra medyczne. 
  • Laboratoria referencyjne UE
  • Podmioty prowadzące działalność badawczo-rozwojową dotyczącą produktów leczniczych
  • Producenci podstawowych produktów farmaceutycznych i preparatów farmaceutycznych. 
  • Producenci wyrobów medycznych uznanych za mające krytyczne znaczenie w sytuacjach zagrożenia zdrowia publicznego. 

W praktyce oznacza to, że niemal każda większa placówka medyczna i kluczowa firma z jej otoczenia będzie musiała wdrożyć pełen zakres wymogów dyrektywy. 

Jak NIS2 zmienia perspektywę z ochrony danych (RODO) na cyberodporność? 

Choć RODO i NIS2 często działają w synergii, ich główny cel jest fundamentalnie różny. RODO koncentruje się na ochronie danych osobowych i prawach osób fizycznych. Jego celem jest zapewnienie poufności i prywatności. NIS2 koncentruje się na cyfrowej odporności operacyjnej (cyber resilience). Jego nadrzędnym celem jest zapewnienie ciągłości świadczenia usług kluczowych dla społeczeństwa i gospodarki, nawet w obliczu poważnego cyberataku. 

W kontekście szpitala, RODO dba o to, aby dane pacjenta nie wyciekły i nie zostały ujawnione osobom nieuprawnionym. NIS2 dba o to, aby w wyniku cyberataku nie przestał działać szpitalny system informatyczny (HIS), aparatura diagnostyczna na OIOM-ie czy systemy podtrzymywania życia. To zmiana perspektywy z ochrony informacji na ochronę całego, fizycznego procesu leczenia. NIS2 wymusza więc znacznie szersze spojrzenie, obejmujące nie tylko systemy IT, ale również krytyczne systemy Technologii Operacyjnych (OT), w tym aparaturę medyczną. 

Jakie konkretne obowiązki w zakresie zarządzania ryzykiem nakłada NIS2 na szpitale? 

Sercem dyrektywy NIS2 jest Artykuł 21, który wymaga od podmiotów kluczowych wdrożenia „odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych” w celu zarządzania ryzykiem. Lista ta, choć nie jest zamknięta, stanowi de facto obowiązkową checklistę dla każdego dyrektora szpitala. Obejmuje ona co najmniej: 

  • Posiadanie polityk analizy ryzyka i bezpieczeństwa systemów informatycznych
  • Wdrożenie planu obsługi incydentów
  • Zapewnienie ciągłości działania, w tym zarządzanie kopiami zapasowymi i odtwarzanie po awarii. 
  • Wdrożenie zasad bezpieczeństwa w łańcuchu dostaw, w tym oceny bezpieczeństwa dostawców (np. dostawcy systemu HIS). 
  • Bezpieczeństwo w procesie nabywania, rozwoju i utrzymania systemów, w tym zarządzanie podatnościami. 
  • Stosowanie polityk i procedur oceny skuteczności środków (np. poprzez audyty i testy). 
  • Wdrożenie podstawowych praktyk cyberhigieny i szkoleń
  • Stosowanie polityk i procedur dotyczących kryptografii i szyfrowania
  • Bezpieczeństwo personelu, polityki kontroli dostępu i zarządzanie aktywami. 
  • Wdrożenie uwierzytelniania wieloskładnikowego (MFA)

Jakie są nowe, rygorystyczne wymogi dotyczące zgłaszania incydentów? 

Dyrektywa NIS2 ujednolica i zaostrza proces zgłaszania incydentów. Każdy „znaczący incydent” (czyli taki, który powoduje lub może powodować poważne zakłócenie działania usługi lub straty finansowe) musi być zgłaszany do krajowego CSIRT (Computer Security Incident Response Team) w bardzo krótkich i rygorystycznych ramach czasowych. 

  • Wczesne ostrzeżenie: w ciągu 24 godzin od uzyskania wiedzy o incydencie. To krótkie zgłoszenie ma na celu szybkie zaalarmowanie organów krajowych o potencjalnym, rozwijającym się zagrożeniu. 
  • Powiadomienie o incydencie: w ciągu 72 godzin od uzyskania wiedzy. To bardziej szczegółowy raport, zawierający wstępną ocenę incydentu, jego dotkliwości i wskaźników kompromitacji. 
  • Sprawozdanie końcowe: w ciągu jednego miesiąca

Te krótkie terminy wymuszają na placówkach medycznych posiadanie dojrzałego, przećwiczonego i sprawnie działającego Planu Reagowania na Incydenty (IR Plan) oraz zespołu, który jest w stanie działać pod presją czasu. 

Dlaczego bezpieczeństwo łańcucha dostaw stało się tak kluczowe? 

NIS2 kładzie ogromny nacisk na bezpieczeństwo łańcucha dostaw, ponieważ w sektorze zdrowia zależność od zewnętrznych dostawców jest ogromna. Systemy HIS, RIS, PACS, a także sama aparatura medyczna, są dostarczane i często serwisowane przez firmy zewnętrzne. Podatność w oprogramowaniu dostarczonym przez jednego z tych partnerów lub kompromitacja jego zdalnego dostępu serwisowego może stać się „autostradą” dla atakującego prosto do serca szpitalnej sieci. Dyrektywa NIS2 czyni szpital współodpowiedzialnym za bezpieczeństwo swoich dostawców. Oznacza to konieczność wdrożenia formalnego procesu oceny ryzyka (due diligence) dla każdego kluczowego dostawcy, a także wprowadzania do umów rygorystycznych klauzul bezpieczeństwa, które definiują obowiązki obu stron. 

Jaką nową, osobistą odpowiedzialność NIS2 nakłada na dyrekcję szpitala? 

To jedna z najważniejszych zmian o charakterze organizacyjnym. NIS2 wprost stanowi, że organy zarządzające (dyrekcja, zarząd) podmiotów kluczowych muszą zatwierdzać środki zarządzania ryzykiem, nadzorować ich wdrażanie i mogą ponosić osobistą odpowiedzialność za naruszenie obowiązków w tym zakresie. Co więcej, dyrektywa wymaga, aby członkowie organów zarządzających przechodzili regularne, obowiązkowe szkolenia w zakresie cyberbezpieczeństwa, aby byli w stanie identyfikować ryzyka i podejmować świadome decyzje. Cyberbezpieczeństwo przestaje być więc problemem delegowanym na dział IT – staje się jednym z kluczowych obowiązków i kompetencji samej dyrekcji. 

Jak NIS2 odnosi się do specyficznych wyzwań, takich jak aparatura medyczna (IoMT)? 

Choć NIS2 nie wchodzi w bardzo techniczne szczegóły, jej szerokie i oparte na ryzyku podejście w pełni obejmuje wyzwania związane z Internetem Rzeczy Medycznych (IoMT). Wymóg wdrożenia systemu zarządzania ryzykiem zmusza szpitale do zinwentaryzowania i przeprowadzenia oceny ryzyka dla całej posiadanej aparatury medycznej. Obowiązek segmentacji sieci staje się kluczowym środkiem kompensacyjnym dla urządzeń, których nie można załatać. Wreszcie, obowiązek zarządzania łańcuchem dostaw wymusza na szpitalach, aby już na etapie zakupu nowej aparatury stawiały one producentom twarde wymagania w zakresie cyberbezpieczeństwa, zgodnie z zasadami „security by design”

Jakie są kluczowe terminy na wdrożenie wymogów NIS2? 

Zegar tyka. Dyrektywa NIS2 weszła w życie 16 stycznia 2023 roku. Państwa członkowskie, w tym Polska, mają czas na jej transpozycję do prawa krajowego (czyli na uchwalenie nowej Ustawy o KSC) do 17 października 2024 roku. Od 18 października 2024 roku nowe przepisy zaczną obowiązywać, a wszystkie objęte nimi podmioty będą musiały je w pełni stosować. Biorąc pod uwagę złożoność i zakres wymaganych zmian, czasu na przygotowanie jest bardzo mało. Firmy, które jeszcze nie rozpoczęły analizy i prac wdrożeniowych, są już w tej chwili poważnie opóźnione. 

Jakie kary grożą za nieprzestrzeganie przepisów NIS2? 

Dyrektywa wprowadza bardzo dotkliwe, zharmonizowane kary finansowe, które mają działać odstraszająco. Dla podmiotów kluczowych, takich jak szpitale, maksymalna kara administracyjna może wynieść co najmniej 10 milionów euro lub 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Oprócz kar finansowych dla organizacji, organy nadzorcze będą miały również szereg innych uprawnień, w tym możliwość pociągnięcia do osobistej odpowiedzialności członków kadry zarządzającej

Od czego szpital lub placówka medyczna powinna zacząć przygotowania do NIS2? 

Najważniejsze to zacząć natychmiast. Proces powinien rozpocząć się od dogłębnej analizy luk (Gap Analysis). Należy przeprowadzić audyt, który porówna obecny stan zabezpieczeń, procesów i dokumentacji z pełną listą wymagań Artykułu 21 dyrektywy NIS2. Taka analiza pozwoli na zidentyfikowanie wszystkich obszarów, które wymagają poprawy. Na jej podstawie należy stworzyć priorytetyzowaną mapę drogową (roadmap) działań dostosowawczych, z jasno określonymi zadaniami, harmonogramem i budżetem. Należy również niezwłocznie rozpocząć szkolenia dla zarządu, aby uświadomić im nowe obowiązki i pozyskać ich pełne wsparcie dla całego programu. 

W jaki sposób nFlo może wesprzeć sektor zdrowia w osiągnięciu zgodności z NIS2? 

W nFlo posiadamy specjalistyczną wiedzę i głębokie zrozumienie unikalnych wyzwań, z jakimi boryka się sektor opieki zdrowotnej. Rozumiemy, że w tym środowisku absolutnym priorytetem jest bezpieczeństwo pacjenta i ciągłość działania. Naszą kluczową usługą jest kompleksowy audyt gotowości na zgodność z NIS2. Nasi eksperci przeprowadzają szczegółową analizę luk, tworząc dla dyrekcji i działu IT jasną, priorytetyzowaną mapę drogową działań naprawczych. Aktywnie wspieramy we wdrażaniu tych działań. Specjalizujemy się w projektowaniu i implementacji bezpiecznych, segmentowanych architektur sieciowych, które izolują krytyczną aparaturę medyczną (IoMT). Pomagamy w tworzeniu i testowaniu planów ciągłości działania (BCP) i reagowania na incydenty (IR). W ramach usługi vCISO, możemy pełnić rolę strategicznego lidera, który poprowadzi całą placówkę przez złożony proces dostosowania do NIS2. 

Porozmawiajmy o bezpieczeństwie Twojej firmy

Skontaktuj się z nami, aby odkryć, jak nasze kompleksowe rozwiązania IT mogą zrewolucjonizować Twoją firmę, zwiększając bezpieczeństwo i efektywność działania w każdej sytuacji.

?
?
Zapoznałem/łam się i akceptuję  politykę prywatności.

O autorze:
Łukasz Gil

Łukasz to doświadczony specjalista w dziedzinie infrastruktury IT i cyberbezpieczeństwa, obecnie pełniący rolę Key Account Managera w nFlo. Jego kariera pokazuje imponujący rozwój od doradztwa klienta w sektorze bankowym do zarządzania kluczowymi klientami w obszarze zaawansowanych rozwiązań bezpieczeństwa IT.

W swojej pracy Łukasz kieruje się zasadami innowacyjności, strategicznego myślenia i zorientowania na klienta. Jego podejście do zarządzania kluczowymi klientami opiera się na budowaniu głębokich relacji, dostarczaniu wartości dodanej i personalizacji rozwiązań. Jest znany z umiejętności łączenia wiedzy technicznej z aspektami biznesowymi, co pozwala mu skutecznie adresować złożone potrzeby klientów.

Łukasz szczególnie interesuje się obszarem cyberbezpieczeństwa, w tym rozwiązaniami EDR i SIEM. Skupia się na dostarczaniu kompleksowych systemów bezpieczeństwa, które integrują różne aspekty ochrony IT. Jego specjalizacja obejmuje New Business Development, Sales Management oraz wdrażanie standardów bezpieczeństwa, takich jak ISO 27001.

Aktywnie angażuje się w rozwój osobisty i zawodowy, regularnie poszerzając swoją wiedzę poprzez zdobywanie nowych certyfikacji i śledzenie trendów w branży. Wierzy, że kluczem do sukcesu w dynamicznym świecie IT jest ciągłe doskonalenie umiejętności, interdyscyplinarne podejście oraz umiejętność adaptacji do zmieniających się potrzeb klientów i technologii.

Pozostałe artykuly autora