Jak przygotować się do dyrektywy NIS2? [RAPORT]

Dyrektywa NIS2 nakłada na tzw. Operatorów Usług Kluczowych (OUK) restrykcyjne procedury i zabezpieczenia w zakresie ochrony danych. Wśród nich jest długa lista placówek medycznych. Jakie wymagania będą musiały spełnić?

• Placówki zdrowia objęte dyrektywą NIS2 muszą wdrożyć restrykcyjne procedury cyberbezpieczeństwa. To będzie wymagało inwestycji finansowych i organizacyjnych.
• Pierwszym krokiem jest zapoznanie się z ustawą o krajowym systemie cyberbezpieczeństwa i opracowanie kompleksowej polityki zarządzania ryzykiem.
• Placówki muszą przygotować się na incydenty, tworząc procedury reagowania, plany ciągłości działania i kopie zapasowe danych, a także regularnie testować skuteczność tych rozwiązań.
• NIS2 wymaga też zarządzania bezpieczeństwem łańcucha dostaw, stosowania zabezpieczeń technicznych, takich jak segmentacja sieci, aktualizacje oprogramowania i szyfrowanie danych.
• Szkolenia i budowanie świadomości pracowników w zakresie cyberzagrożeń są konieczne, by ograniczyć ryzyko błędów ludzkich i wzmocnić kulturę bezpieczeństwa w organizacji.

Wdrożenie NIS2 ruszy pełną parą w 2026 roku

Ustawa o krajowym systemie cyberbezpieczeństwa wdrażająca w Polsce przepisy unijnej dyrektywy NIS2 z 2022 r., mającej na celu podniesienie poziomu cyberbezpieczeństwa w UE, weszła już w życie. Polska musi teraz przekazać UE listę placówek objętych NIS2. Ile ich będzie? Na razie nie wiadomo. Wstępne szacunki mówiły o ok. 1400 podmiotach, ale ta liczba może wzrosnąć do nawet kilku tysięcy.

Przed nimi spore wyzwanie: szacuje się, że wdrożenie nowych wymagań dotyczących cyberbezpieczeństwa w placówce zdrowia potrwa kilka miesięcy i będzie kosztować – w zależności od wielkości podmiotu – nawet kilkaset tysięcy złotych. Według danych Centrum e-Zdrowia, aż 70% placówek zdrowia nie ma komórki ds. cyberbezpieczeństwa. To pokazuje, na jak niskim poziomie jest ochrona danych medycznych. Ale przed wdrożeniem NIS2 nie ma odwrotu, a za nieprzestrzeganie przepisów grożą wysokie sankcje do 10 mln euro lub 2% rocznego obrotu.

Budowa cyberodporności krok po kroku

Według raportu ENISA NIS360, sektor opieki zdrowotnej znajduje się w „strefie ryzyka” – poziom znaczenia dla bezpieczeństwa państwa jest wysoki, ale ogólna dojrzałość w zakresie cyberbezpieczeństwa pozostaje na umiarkowanym lub niskim poziomie. Powodem są przestarzałe systemy informatyczne, fragmentaryczne łańcuchy dostaw oraz niewystarczające praktyki w zakresie cyberhigieny. Jak ostatnio poinformował wiceminister cyfryzacji Dariusz Standerski, codziennie dochodzi do 20–50 ataków hakerskich na szpitale.

Jedną z pierwszych rzeczy, jaką powinni już teraz zrobić menedżerowie placówek opieki zdrowotnej – i to nie tylko tych, którzy będą musiały dostosować się do NIS2 – jest zapoznanie się z ustawą o krajowym systemie cyberbezpieczeństwa. Dyrektywa nie dotyczy tylko szpitali i dużych dostawców, ale także laboratoriów referencyjnych UE, producentów farmaceutycznych, organizacji badawczych w dziedzinie medycyny oraz producentów krytycznych urządzeń medycznych.

ENISA zwraca uwagę na kilka utrzymujących się słabości, z którymi sektor opieki zdrowotnej musi się pilnie zająć. Większe podmioty będą musiały wzmocnić istniejące zabezpieczenia zasobów informatycznych. I tu nie wystarczy zakup jakiegoś programu, ale wymagane jest wprowadzenie nowych procedur bezpieczeństwa. A dziur do załatania jest sporo. Przykładowo, urządzenia medyczne – a zwłaszcza te starsze nie były projektowane z myślą o cyberbezpieczeństwie – pozostają jednym z najsłabszych ogniw. Do tego szpitale często zaniedbują aktualizacje oprogramowania. Wpięte w system szpitalny, mogą stać się drzwiami dla cyberprzestępców. Jest jeszcze jeden problem: choć już większość organizacji posiada na papierze jakąś politykę zarządzania ryzykiem, nie zawsze jest ona konsekwentnie stosowana w praktyce. Dokument najczęściej powstaje, aby spełnić wymagania prawne, i potem trafia do szuflady.

Zarządzanie ryzykiem zgodne z NIS2

Każdy podmiot objęty zapisami NIS2 musi opracować politykę zabezpieczenia swojej sieci i systemów informatycznych. W przypadku placówek opieki zdrowotnej, musi wykraczać poza zakres działania działów IT i być zintegrowana z ogólną strategią biznesową i celami klinicznymi organizacji, określając jasno role i obowiązki kierownictwa wyższego szczebla. Polityka powinna obejmować dostawców i usługodawców oraz podlegać systematycznym przeglądom, zwłaszcza po poważnych incydentach lub w przypadku pojawienia się nowych zagrożeń.

Podstawą NIS2 jest ustrukturyzowane zarządzanie ryzykiem. Organizacje opieki zdrowotnej muszą ustanowić ramy identyfikacji, analizy i postępowania z ryzykiem dla swoich systemów. Oznacza to mapowanie krytycznych zasobów, takich jak dokumentacja pacjentów, systemów obrazowania i podłączonych urządzeń w odniesieniu do prawdopodobnych zagrożeń (oprogramowanie ransomware lub nadużycia ze strony osób wewnętrznych).

Po zidentyfikowaniu ryzyka, należy je ocenić i udokumentować, a następnie podjąć decyzję dotyczącą reakcji. Plany postępowania w przypadku wystąpienia ryzyka powinny zawierać harmonogramy, role odpowiedzialnych osób oraz procedury monitorowania skuteczności. Nie są one jednorazowymi działaniami i też muszą być regularnie aktualizowane, a ryzyko rezydualne (ryzyko, które nadal istnieje po wdrożeniu wszystkich planowanych środków kontroli, zabezpieczeń i strategii mających na celu jego redukcję lub wyeliminowanie) – formalnie akceptowane przez kierownictwo wyższego szczebla, co zapewnia odpowiedzialność na najwyższym poziomie.

Przygotowanie na incydenty, zanim się wydarzą

Niezależnie od tego, jak silne są zabezpieczenia, incydenty bezpieczeństwa będą się zdarzać. Dlatego NIS2 kładzie duży nacisk na procedury reagowania i postępowania. Placówki opieki zdrowotnej muszą utrzymywać jasne zasady dotyczące monitorowania, rejestrowania, zgłaszania zdarzeń i klasyfikacji incydentów. Personel powinien dokładnie wiedzieć, jak zgłosić podejrzenie naruszenia. Trzeba też jasno określić łańcuch komunikacji wewnętrznej i zewnętrznej, czyli z organami regulacyjnymi. Po wystąpieniu incydentu, należy dokonać jego przeglądu, aby wnioski mogły być wykorzystane do wprowadzenia ulepszeń w całym sektorze zgodnie z zasadą „kultury uczenia się i adaptacji”.

Szczególne znaczenie ma ciągłość działania i zarządzanie kryzysowe w przypadku ataku cybernetycznego. Placówki muszą opracować plany przywracania sprawności po awarii, nadając priorytet systemom krytycznym z punktu widzenia życia i zdrowia pacjentów, takim jak urządzenia monitorujące i diagnostyki obrazowej. Dodatkowe kopie zapasowe danych powinny być przechowywane w trybie offline lub w oddzielnych lokalizacjach, aby chronić je przed oprogramowaniem ransomware. Procesy zarządzania kryzysowego muszą jasno określać, kiedy incydent przeradza się w kryzys, kto przejmuje kontrolę i w jaki sposób odbywa się komunikacja z pacjentami, personelem i organami publicznymi. Aby zapewnić skuteczność planów w sytuacjach stresowych, trzeba prowadzić regularne ćwiczenia.

Opieka zdrowotna opiera się na zewnętrznych dostawcach, od firm farmaceutycznych po dostawców oprogramowania i producentów urządzeń. Zgodnie z NIS2, placówki są zobowiązane do poważnego traktowania bezpieczeństwa łańcucha dostaw. Oznacza to prowadzenie katalogów dostawców, ocenę ich poziomu ryzyka oraz włączenie obowiązków w zakresie cyberbezpieczeństwa do umów. Dostawcy powinni być zobowiązani do wykazania zgodności z uznanymi standardami i niezwłocznego zgłaszania incydentów.

Dyrektywa wymaga też wdrożenia przez organizacje opieki zdrowotnej zabezpieczeń technicznych. Szczególnie ważna jest segmentacja sieci, zapewniająca izolację krytycznych urządzeń medycznych od systemów administracyjnych oraz systematyczne zarządzanie poprawkami z priorytetem dla luk o wysokim ryzyku. Szpitale opracowujące własne aplikacje IT muszą stosować bezpieczne praktyki programistyczne, w tym procesy testowania i ujawniania luk. Zgodnie z wymogami RODO należy stosować silną kryptografię w odniesieniu do danych pacjentów zarówno w trakcie przesyłania, jak i przechowywania.

Budowanie świadomości bezpieczeństwa wśród pracowników

Sama technologia nie rozwiąże problemów związanych z cyberbezpieczeństwem – ludzkie błędy wynikające z braku wiedzy o zagrożeniach cybernetycznych pozostają od lat jedną z najczęstszych przyczyn udanych ataków hakerów.

NIS2 wymaga od placówek zdrowia inwestowania w podnoszenie świadomości i szkolenia. Konkretnie chodzi o kampanie ułatwiające pracownikom rozpoznać próby phishingu, zwracające uwagę na stosowanie silnych haseł i zrozumienie swojej roli w ochronie danych pacjentów. Należy zorganizować szkolenia dla zespołu IT, pracowników ochrony zdrowia i kadry zarządzającej. Aby na bieżąco testować odporność, zaleca się przeprowadzanie symulowanych kampanii phishingowych i ćwiczeń w zakresie cyberincydentów. Organizacje powinny promować kulturę „bez obwiniania za błędy”. Jeśli pracownik kliknie na zarażony link, nie może bać się tego zgłosić. Tylko w ten sposób można ograniczyć negatywne skutki ataku hakerów. Jak widać, tych wymagań jest sporo i wiele placówek będzie zdanych na doradztwo firm zewnętrznych pomagających dostosować się do NIS2.

To duże, ale konieczne obciążenie finansowe i organizacyjne. Należy je traktować w charakterze inwestycji w bezpieczeństwo pacjentów, zapewnienie ciągłości opieki medycznej i tym samym zaufanie pacjentów – jednym słowem, w profilaktykę sytuacji kryzysowych. Cyberataki są niestety codziennością w ochronie zdrowia i będzie ich coraz więcej. Ale nie oznacza to automatycznie większego zagrożenia dla placówek, jeśli tylko te będą dobrze przygotowane.

Czytaj także: Trendy cyberbezpieczeństwa w ochronie zdrowia 2025