Podniesienie świadomości sektora ochrony zdrowia dotyczącej planowanych przepisów w obszarze cyberbezpieczeństwa, wprowadzanie odpowiednich zmian organizacyjnych w placówkach oraz wzmocnienie ich obszarów IT – to najważniejsze wyzwania dla sektora w związku z implementacją dyrektywy NiS2, podkreślają eksperci i przedstawiciele branży medycznej.
Co to jest NIS2
Dziś – 24 maja – dobiegają końca konsultacje przedstawionego przez Ministerstwo Cyfryzacji projektu ustawy o krajowym systemie cyberbezpieczeństwa. Chodzi o wprowadzenie w Polsce zapisów unijnej dyrektywy NIS2, czyli regulacji „w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii Europejskiej” z grudnia 2022 r.
Unijna dyrektywa NIS2, która ma niebawem zostać wdrożona w Polsce, nakłada na wiele sektorów, w tym na sektor opieki zdrowotnej, nowe, rygorystyczne obowiązki związane z cyberbezpieczeństwem.
Wystarczy zatrudniać co najmniej 50 osób lub mieć 10 mln euro rocznego przychodu i prowadzić działalność w jednym z 18 sektorów, m.in. energetycznym, spożywczym, ochrony zdrowia, badań naukowych, chemikaliów, odpadów, ścieków i przestrzeni kosmicznej, by być objętym nowymi przepisami. Niektóre podmioty, takie jak dostawcy usług łączności elektronicznej czy administracja publiczna, będą podlegały dyrektywie NIS2 niezależnie od skali swej działalności, bo należą do instytucji kluczowych. Nowe regulacje obejmą 1248 podmiotów w sektorze ochrony zdrowia.
Spotkanie ekspertów wokół cyberbepieczeństwa
Na spotkaniu branżowym zorganizowanym przez Medical Innovation Institute oraz Związek Firm Biotechnologicznych BioForum, z udziałem ekspertów ds. cyberbepieczeństwa i przedstawicieli branży medycznej, rozmawiano o wyzwaniach i szansach związanych z tym procesem, a także o gotowości polskich placówek medycznych do spełnienia nowych wymogów.
Wdrożenie dyrektywy NIS2 wiąże się z długo oczekiwaną nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC).
Projekt rozszerza stosowanie ustawy na kilkadziesiąt tysięcy podmiotów z 18 branż, w tym na sektor ochrony zdrowia. Nowe regulacje obejmą 1248 podmiotów w tym obszarze. Obecnie trwają konsultacje nowelizacji ustawy.
Monika Woźniak-Cichuta z KRK Legal podkreślała, że świadomość dotycząca cyberbezpieczeństwa w wielu publicznych placówkach medycznych jest niska.
Placówki te będą musiały zainwestować w szkolenia i zatrudnienie personelu odpowiedzialnego za wprowadzenie wymaganych systemów – mówiła, dodając, że wzrost wydatków związanych z ochroną danych w placówkach, które nie były dotąd objęte dyrektywą, może wynieść aż 22%.
Marta Chalimoniuk-Nowak z Europejskiej Fundacji Innowacji zwróciła uwagę na liczne wyzwania związane z wdrażaniem strategii cyberbezpieczeństwa w placówkach medycznych, które często nie dysponują dedykowanymi zespołami IT. Wskazała na konieczność budowania długoterminowej strategii wdrażania nowych reguł, wyznaczenia odpowiedzialnych osób do jej realizacji, a także konieczność zaplanowania kosztów i zmiany kultury organizacyjnej. Podkreślała, że dla zapewnienia bezpieczeństwa danych kluczowe jest wprowadzenie w placówkach wieloskładnikowego uwierzytelniania użytkownika i bieżąca aktualizacja oprogramowania.
Przypomniała, że każdy system jest tak bezpieczny, jak jego najsłabsze ogniwo. Zwróciła również uwagę, że cyberataki na podmioty ochrony zdrowia często są przeprowadzane poprzez systemy dostawców i osób trzecich.
Wyciek danych ALAB – cyberbezpieczeństwo informacji medycznych
Konieczna aktualizacja oprogramowania
Rafał Dunal, prezes zarządu CloudiMed zwrócił uwagę, że wiele podmiotów z branży medycznej będzie musiało w krótkim czasie przeprowadzić audyty i aktualizacje oprogramowania. Zauważył, że dla wielu placówek będzie to ogromne wyzwanie logistyczne i finansowe, zwłaszcza że obszar IT jest często pomijany w budżetach na rzecz personelu medycznego. Wskazał na potrzebę zabezpieczenia środków finansowych na te działania.
Obecnie większość włamań dotyczy uzyskania uprawnień administratora w systemach operacyjnych, a nie zdalnych ataków – podkreślił. Za kluczowe uznał budowanie świadomości i dzielenie się informacjami o incydentach. Porównał obecną sytuację do czasu wprowadzenia RODO, sugerując, że stworzy to duże pole do popisu dla kancelarii prawnych przygotowujących dokumentację. Zaznaczył, że – w przypadku RODO – jeśli podczas audytu udowodni się dochowanie wszystkich starań, kary mogą być łagodniejsze. Jego zdaniem może mieć to zastosowanie również w przypadku nowych regulacji dotyczących cyberbezpieczeństwa.
Należy ustalić, czy podmiot podlega nowym przepisom
Adwokat Michał Czarnuch, zwracał uwagę, że kluczowym krokiem dla szpitali, podmiotów leczniczych, producentów wyrobów medycznych i systemów medycznych jest ustalenie, czy są one objęte nowymi przepisami. Jego zdaniem konieczna jest dokładna analiza regulacji, aby upewnić się, czy dany podmiot faktycznie musi się do nich dostosować. Kolejnym krokiem powinno być – w jego opinii – zrozumienie wymagań regulacyjnych, które są często skomplikowane i obejmują szereg standardów i obowiązków, takich jak: szacowanie ryzyka, zarządzanie incydentami oraz zgodność z systemami bezpieczeństwa.
Życie ludzkie na szali, czyli cyberbezpieczeństwo placówki medycznej
Michał Czarnuch przypomniał, że pojawia się coraz więcej programów pozwalających pozyskać fundusze z Ministerstwa Cyfryzacji, NFZ oraz innych źródeł, które mogą wesprzeć przygotowania i wdrożenie niezbędnych zmian. Szacuje, że koszty tych działań mogą wynosić od kilkudziesięciu do kilkuset tysięcy złotych, a proces ten będzie trwać co najmniej pół roku. Kluczowe – jego zdaniem – jest wdrożenie systemów zarządzania bezpieczeństwem informacji, obsługi incydentów, szacowania ryzyka oraz przekazywania informacji o incydentach. Ważnym elementem jest także zapewnienie bezpieczeństwa IT i fizycznego, opracowanie planów awaryjnych oraz prowadzenie dokumentacji dotyczącej łańcucha dostaw i usług IT.
Czarnuch podkreślał, że konieczne są ciągłe działania edukacyjne i szkolenia personelu, a także wyznaczenie odpowiedzialnych osób, które będą nadzorować te procesy.
Michał Czarnuch podkreślał, że kluczowe dla skutecznego wdrożenia regulacji jest wsparcie ze strony Ministerstwa Cyfryzacji, Ministerstwa Zdrowia oraz innych instytucji, w postaci tworzenia wytycznych przetargowych i standardów. Jego zdaniem współpraca między podmiotami medycznymi, a instytucjami centralnymi może znacznie ułatwić proces dostosowania się do nowych wymogów.
Szpitalom trudno znaleźć dobrych informatyków
Czarnuch zwracał uwagę na rosnącą liczbę cyberataków, w tym ataków typu ransomware, co wymaga intensyfikacji działań prewencyjnych i edukacyjnych. W jego opinii, nawet najlepsze systemy zabezpieczeń będą nieskuteczne bez odpowiednio przeszkolonego personelu, co czyni edukację kluczowym elementem strategii cyberbezpieczeństwa.
Potrzeba więcej personelu i edukacji
Michał Bieńkowski, wiceprezes zarządu warszawskiego oddziału Stowarzyszenia Menedżerów Opieki Zdrowotnej STOMOZ zauważył, że zagrożenia cybernetyczne pochodzące ze Wschodu oraz wynikające z postępu technologicznego wymagają inwestycji w cyberbezpieczeństwo. Także porównał obecną sytuację do wdrożenia przepisów RODO, sugerując, że właściwą drogą byłoby stworzenie kodeksu dobrych praktyk dla podmiotów leczniczych. Wskazał na trudności, z jakimi borykają się mniejsze placówki, takie jak: brak finansowania, brak personelu i ograniczony dostęp do specjalistycznej wiedzy.
Dyrektywa NIS-2 to nie tylko obowiązek, ale także szansa na podniesienie poziomu bezpieczeństwa w polskich placówkach medycznych – podkreślał z kolei dr hab. Bogdan Księżopolski Kierownik Katedry Cyberbezpieczeństwa Akademii Leona Koźmińskiego. Jego zdaniem nie możemy sobie pozwolić na to, żeby jej nie wprowadzić. – Musimy działać teraz, aby zapewnić bezpieczną przyszłość dla naszych systemów ochrony zdrowia – podkreślił. Wskazał również, że nawet najlepsze systemy zabezpieczeń są bezużyteczne, jeśli pracownicy nie są odpowiednio przeszkoleni i świadomi zagrożeń.
Przytoczył przykład międzynarodowej firmy, w której, po rocznym, solidnym szkoleniu aż 150 z 400 pracowników kliknęło w fałszywy link, a 88 podało swoje dane logowania.
Ważne wsparcie NFZ i ministerstw
Patryk Kozłowski, IT Security Specialist w Comarch Healthcare, wyraził nadzieję, że dofinansowania na podniesienie poziomu cyberbezpieczeństwa, dostępne m.in. z NFZ i CEZ, pomogą wielu szpitalom w Polsce wdrożyć niezbędne procedury i zabezpieczenia. Podkreślił, że wsparcie techniczne i merytoryczne, jakie mogą otrzymać placówki medyczne, jest kluczowe dla skutecznego podnoszenia poziomu bezpieczeństwa.
Paweł Paczuski, CEO Upmedic, podkreślał, że już od początku roku start-upy muszą spełniać liczne wymagania związane z cyberbezpieczeństwem, mimo że jako małe firmy nie są bezpośrednio objęta nowymi regulacjami. Wskazał także, że współpracując z największymi graczami na rynku, jego firma – Upmedic musi dostosowywać swoje procesy do rygorystycznych standardów bezpieczeństwa. Paczuski zauważył, że wdrażanie bardziej bezpiecznych procesów w istniejących systemach informatycznych jest ogromnym wyzwaniem, które wiąże się z kosztownymi i skomplikowanymi zmianami organizacyjnymi.
Z perspektywy dostawców oprogramowania, Wojciech Komnata, współzałożyciel i wiceprezes spółki Nivalit podkreślił, że producenci muszą dostosować swoje produkty do nowych regulacji.
Naszym obowiązkiem jest zapewnienie, że systemy informatyczne, które dostarczamy, spełniają najwyższe standardy bezpieczeństwa – powiedział Komnata, dodając, że współpraca z klientami w zakresie edukacji i świadomości jest równie ważna.
Istotna koordynacja przepływu informacji dotyczących cyberbezpieczeństwa
Michał Sosinka, Partner Associate i Cyber Cloud and Strategy Lead w Deloitte, zwrócił uwagę, że podejście do cyberbezpieczeństwa jako inwestycji, a nie tylko kosztu, staje się coraz bardziej powszechne. Nowe regulacje, takie jak NIS2 i AI Act, wymuszają konieczność solidnych zabezpieczeń. Podkreślił, że choć duże firmy mają większe zasoby finansowe na spełnianie wymogów regulacyjnych, mniejsze organizacje także muszą dążyć do integracji systemów raportowania incydentów.
Ważne jest, aby system krajowy był gotowy na przyjmowanie i koordynowanie informacji między różnymi podmiotami, w tym sektorowymi zespołami ds. cyberbezpieczeństwa w ochronie zdrowia – podkreślił.
Dariusz Piaścik, Sales & Development Director w Sagenso.com, zaznaczył, że dyrektywa NIS2 wymaga zaangażowania kadry zarządzającej w kwestie bezpieczeństwa, co jest często nowością dla wielu firm, które wcześniej cedowały te obowiązki na działy IT. Wprowadzenie bezpośrednich kar dla zarządów firm – jak wskazywał – ma na celu zwiększenie ich odpowiedzialności i świadomości w zakresie zarządzania ryzykiem technologicznym.
Jakub Kulesza, ekspert ds. IT Forum Prawo dla Rozwoju, zwrócił uwagę na istotne aspekty wdrażania dyrektywy NIS2 w Polsce.
Podkreślił, że choć znamy treść dyrektywy NIS2 od grudnia 2022 roku, nadal nie mamy ostatecznej wersji nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Jak mówił, dyrektywa NIS2 wprowadza bardziej proaktywne podejście w obszarze cyberbezpieczeństwa, wymagając zarządzania ryzykiem, planów ciągłości usług oraz odzyskiwania zasobów, a także kładzie większy nacisk na edukację. Jak przypomniał, w nowelizacji ustawy wprowadzono też możliwość uznania dostawców za podmioty wysokiego ryzyka, nawet tych pochodzących z krajów członkowskich NATO, co może – jego zdaniem – wymusić na podmiotach leczniczych i producentach wyrobów medycznych wycofanie produktów tych dostawców.
Jakub Betka, prawnik, audytor i trener w Conexus Law & Consulting, zwrócił uwagę na problem podejmowania decyzji pod wpływem emocji w kwestii implementacji nowych regulacji, co miało miejsce przy wdrażaniu RODO. Betka podkreślił, że dyrektywa NIS2, podobnie jak RODO, opiera się na analizie ryzyka, ale rozszerza ten proces na bezpieczeństwo informacji i ciągłość działania, obejmując również łańcuch dostaw. Wskazał, że incydenty w Polsce, takie jak ataki na szpital w Łodzi, podkreślają potrzebę wprowadzania takich regulacji.
18 mln kartotek pacjentów padło ofiarą hakerów
Zgłoś naruszenie/Błąd
Pozytywnie
Neutralnie 
Negatywnie
Lubię to!
Super
Ekscytujący 
Ciekawy
Smieszny
Smutny
Wściekły
Przerażony
Szokujący
Wzruszający
Rozczarowany
Zaskoczony
Prawda
Manipulacja
Fake news
Oryginalne źródło ZOBACZ
Dodaj kanał RSS
Musisz być zalogowanym aby zaproponować nowy kanal RSS