NIS2 w placówkach zdrowia. “Wdrożenie zajmie pół roku”


Przygotowanie się do wymagań dyrektywy może kosztować dziesiątki, setki tysięcy złotych - szacują eksperci
Przygotowanie się do wymagań dyrektywy może kosztować dziesiątki, setki tysięcy złotych – szacują eksperci

Najpóźniej 18 października 2024 roku zaczną obowiązywać przepisy wynikające z dyrektywy NIS2. Obejmie ona 1248 podmiotów ochrony zdrowia, które będą musiały wzmocnić poziom cyberbezpieczeństwa.

Co to jest NIS2?

Uchwalona przez Parlament Europejski w 2023 roku Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii Europejskiej (The Network and Information Security Directive) nakłada na niektóre podmioty wyższe wymagania dotyczące cyberbezpieczeństwa. Chodzi o zarządzanie lukami bezpieczeństwa danych, weryfikowanie poziomu cyberbezpieczeństwa, skuteczne szyfrowanie danych, raportowanie incydentów cyberbezpieczeństwa.

Nowe przepisy europejskie zostaną zaadoptowane w Polsce poprzez nowelizację Ustawy o Krajowym Systemie Cyberbezpieczeństwa. NIS2 dotyczy podmiotów zakwalifikowanych jako kluczowe i istotne z punktu widzenia gospodarki oraz działalności państwa. W stosunku do już obowiązującej dyrektywy NIS, NIS2 obejmie także m.in. podmioty administracji publicznej, w tym duże placówki zdrowia. A dokładnie 1248 przychodni i szpitali. Ich dyrektorzy będą bezpośrednio odpowiadać za zapewnienie zgodności ze środkami zarządzania ryzykiem cybernetycznym.

Po co jest NIS2?

Według Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), liczba cyberataków wymierzonych w instytucje i firmy europejskie podwoiła się w I kwartale 2024 w stosunku do I kw. 2023 roku. Stoją za nimi przede wszystkim hakerzy z Rosji, których aktywność znacznie wzrosła od czasu inwazji na Ukrainę.

Ich celem nie jest już tylko wyłudzenie pieniędzy, ale także działania destabilizujące. Niestety, pod lupą cyberprzestępców są coraz częściej placówki medyczne – podmioty gromadzące wrażliwe dane, ale nadal słabo zabezpieczone. Najszybciej rośnie liczba ataków ransomware. Według raportu ENISA z marca 2024 roku Foresight Cybersecurity Threats For 2030, największymi zagrożeniami dla bezpieczeństwa danych są m.in. niskie umiejętności w zakresie ochrony danych, błędy ludzkie i nieaktualne systemy IT.

Co oznacza NIS2 dla placówek zdrowia?

Przede wszystkim rygorystyczne obowiązki związane z ochroną danych. Ale jak podkreślają eksperci, nie wykraczają one ponad procedury, które – ze względu na wzrost zagrożeń cybernetycznych – powinny być standardem.

Wśród nich jest szacowanie i zarządzanie ryzykiem, w tym także ryzykiem łańcucha dostaw; regularna aktualizacja oprogramowania, wprowadzenie silniejszych zabezpieczeń (uwierzytelnianie dwuskładnikowe), przeprowadzanie audytów cyberbezpieczeństwa, wdrożenie systemów i procedur zarządzania bezpieczeństwem danych, obsługi i raportowania incydentów; szacowanie ryzyk cybernetycznych; regularne szkolenia pracowników.

Poradnik "Bezpieczeństwo danych w ochronie zdrowia"

Podczas debaty zorganizowanej przez Medical Innovation Institute w maju br., podkreślano, że dostosowanie podmiotu medycznego do wymagań dyrektywy NIS2 nie obejdzie się bez opracowania strategii cyberbezpieczeństwa oraz większych nakładów na ochronę danych, głównie na aktualizacje systemów, szkolenia i zatrudnienie osób odpowiedzialnych za dostosowanie podmiotu. Wysokość inwestycji w związku z NIS2 może sięgnąć kilkudziesięciu, a nawet kilkuset tysięcy złotych, w zależności od podmiotu. Menedżerowie placówek medycznych mają nadzieję, że potrzebne pieniądze będzie można pozyskać z programów dofinansowania np. NFZ, Centrum e-Zdrowia (CEZ) albo Ministerstwa Cyfryzacji.

Przygotowanie się do wymagań NIS2 może zając nawet pół roku. Dyrektorzy placówek medycznych muszą pamiętać, że NIS2 wprowadza kary za zaniedbania ochrony danych w placówkach objętych dyrektywą i to właśnie zarząd, a nie tylko dział IT, musi zaangażować się w podnoszenie poziomu cyberbezpieczeństwa.

Dyrektywa NIS2 weszła w życie 16 stycznia 2023 r. i ma obowiązywać we wszystkich państwach członkowskich UE najpóźniej po 21 miesiącach. Aby tak się stało w Polsce, potrzebna jest nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa.