NIS2 dla Ochrony zdrowia

Czym jest NIS2?

NIS2 (Network and Information Security Directive 2) to unijna dyrektywa dotycząca cyberbezpieczeństwa, która weszła w życie w październiku 2022 roku i zastąpiła pierwotną dyrektywę NIS z 2016 roku. Jej celem jest podniesienie poziomu odporności cybernetycznej kluczowych sektorów gospodarki w całej Unii Europejskiej poprzez wprowadzenie jednolitych, rygorystycznych wymogów w zakresie zarządzania ryzykiem i reagowania na incydenty. Państwa członkowskie UE, w tym Polska, były zobowiązane do implementacji przepisów dyrektywy do krajowego porządku prawnego do 17 października 2024 roku.

NIS2 a branża Ochrona zdrowia

Sektor ochrony zdrowia należy do tzw. sektorów wysoce krytycznych, które dyrektywa NIS2 obejmuje w pierwszej kolejności. Wynika to z faktu, że cyberataki na placówki medyczne mogą dosłownie zagrażać życiu pacjentów — awaria systemu informatycznego szpitala, zablokowanie dostępu do dokumentacji medycznej czy zakłócenie pracy urządzeń diagnostycznych to scenariusze, które niosą ze sobą katastrofalne skutki.

W praktyce regulacja NIS2 dotyczy szerokiego kręgu podmiotów działających w branży ochrony zdrowia, w tym szpitali, przychodni specjalistycznych, laboratoriów diagnostycznych, producentów wyrobów medycznych, a także dostawców oprogramowania dla sektora medycznego. Przykładowo, szpital wielospecjalistyczny zatrudniający powyżej 50 pracowników lub osiągający roczny obrót przekraczający 10 milionów euro jest objęty przepisami dyrektywy jako podmiot istotny lub kluczowy.

Realne incydenty z ostatnich lat doskonale ilustrują powagę zagrożeń. Ataki ransomware na szpitale w Niemczech, Francji czy Polsce doprowadziły do konieczności odwoływania operacji planowych, przekierowania karetek pogotowia do odległych placówek i ujawnienia danych osobowych setek tysięcy pacjentów. NIS2 odpowiada na te wyzwania, nakładając na podmioty ochrony zdrowia obowiązek aktywnego zarządzania ryzykiem cybernetycznym.

Kluczowe wymagania

• Polityka zarządzania ryzykiem cyberbezpieczeństwa — organizacja musi wdrożyć i regularnie aktualizować formalną politykę identyfikacji, oceny i minimalizowania ryzyk cybernetycznych, uwzględniającą specyfikę środowiska medycznego, w tym systemy HIS, PACS, LIS oraz podłączone urządzenia medyczne.
• Zarządzanie incydentami — placówka jest zobowiązana do posiadania procedury wykrywania, klasyfikowania i zgłaszania incydentów bezpieczeństwa. Poważny incydent musi zostać zgłoszony do właściwego organu krajowego (w Polsce CSIRT sektorowy) w ciągu 24 godzin od wykrycia, a pełny raport — w ciągu 72 godzin.
• Ciągłość działania i zarządzanie kryzysowe — wymóg posiadania planów ciągłości działania (BCP) oraz planów odtworzenia po awarii (DRP), dostosowanych do krytycznych procesów klinicznych, takich jak dostęp do elektronicznej dokumentacji medycznej czy działanie systemów monitorowania pacjentów.
• Bezpieczeństwo łańcucha dostaw — szpitale i inne podmioty medyczne muszą weryfikować poziom cyberbezpieczeństwa swoich dostawców oprogramowania, sprzętu i usług IT, w tym producentów urządzeń medycznych podłączonych do sieci.
• Szyfrowanie i kontrola dostępu — wdrożenie mechanizmów szyfrowania danych w spoczynku i podczas transmisji, a także rygorystycznej kontroli dostępu opartej na zasadzie minimalnych uprawnień, z uwzględnieniem uwierzytelniania wieloskładnikowego (MFA) dla personelu medycznego.
• Szkolenia z zakresu cyberbezpieczeństwa — regularne szkolenia dla wszystkich pracowników, a nie tylko personelu IT, w tym lekarzy, pielęgniarek i administracji, które budują świadomość zagrożeń takich jak phishing, socjotechnika czy nieautoryzowane podłączanie urządzeń.
• Odpowiedzialność zarządu — dyrektywa NIS2 wprowadza osobistą odpowiedzialność członków zarządu za zatwierdzanie i nadzorowanie środków zarządzania ryzykiem cyberbezpieczeństwa. Ignorowanie tych obowiązków może skutkować indywidualnymi sankcjami.
• Audyty i testy bezpieczeństwa — regularne przeprowadzanie audytów bezpieczeństwa, testów penetracyjnych oraz oceny podatności systemów informatycznych, ze szczególnym uwzględnieniem systemów zarządzających danymi pacjentów.

Kroki wdrożenia w firmie z branży Ochrona zdrowia

1. Ustal, czy regulacja Cię obejmuje — sprawdź, czy Twoja organizacja spełnia kryteria podmiotu kluczowego lub istotnego: liczba zatrudnionych (powyżej 50 osób), roczny obrót lub suma bilansowa (powyżej 10 milionów euro) oraz rodzaj świadczonych usług medycznych. W przypadku szpitali, niezależnie od wielkości, warto skonsultować się z prawnikiem specjalizującym się w prawie cyfrowym.
2. Przeprowadź audyt stanu bieżącego — zinwentaryzuj wszystkie systemy informatyczne, urządzenia medyczne podłączone do sieci, procesy przetwarzania danych pacjentów oraz istniejące polityki bezpieczeństwa. Zidentyfikuj luki względem wymagań NIS2. Ten etap często ujawnia zapomniane, przestarzałe systemy (tzw. shadow IT), które stanowią największe zagrożenie.
3. Powołaj lub wyznacz odpowiedzialną osobę — wdróż funkcję CISO (Chief Information Security Officer) lub wyznacz osobę odpowiedzialną za cyberbezpieczeństwo w organizacji. Upewnij się, że zarząd placówki jest zaangażowany i świadomy swoich nowych obowiązków wynikających z dyrektywy.
4. Opracuj i wdróż politykę zarządzania ryzykiem — stwórz dokumentację polityki bezpieczeństwa dostosowaną do realiów placówki medycznej. Uwzględnij specyficzne ryzyka, takie jak ataki na urządzenia IoT medycznych (respiratory, pompy infuzyjne, tomografy podłączone do sieci), a także zagrożenia wynikające z pracy zdalnej personelu.
5. Wdrożenie technicznych środków ochrony — zainstaluj i skonfiguruj systemy wykrywania i reagowania na incydenty (EDR/XDR), segmentuj sieć oddzielając systemy kliniczne od administracyjnych, wdróż uwierzytelnianie wieloskładnikowe oraz systemy tworzenia i weryfikacji kopii zapasowych z możliwością szybkiego odtworzenia danych.
6. Zbuduj procedury reagowania na incydenty — opracuj szczegółowy plan reagowania na incydenty cybernetyczne (IRP), który uwzględnia ścieżki eskalacji, sposób komunikacji z pacjentami i mediami, procedury zgłaszania incydentów do CSIRT oraz postępowanie w sytuacji konieczności przejścia na procesy manualne.
7. Przeprowadź szkolenia dla całego personelu — zorganizuj szkolenia dostosowane do różnych grup pracowników: odrębne dla kadry zarządczej, personelu medycznego oraz działu IT. Szczególną uwagę poświęć rozpoznawaniu prób phishingowych, które w sektorze medycznym często podszywają się pod systemy rejestracji pacjentów lub komunikację z NFZ.
8. Ustanów ciągłe monitorowanie i przeglądy — wdróż narzędzia do ciągłego monitorowania bezpieczeństwa sieci i systemów, zaplanuj regularne testy penetracyjne (minimum raz w roku) oraz przeglądy polityk bezpieczeństwa. Cyberbezpieczeństwo to proces ciągły, a nie jednorazowy projekt.

Najczęstsze pytania

Czy mała przychodnia lekarza rodzinnego musi spełniać wymogi NIS2?
Dyrektywa NIS2 zasadniczo obejmuje podmioty zatrudniające co najmniej 50 pracowników lub osiągające obrót powyżej 10 milionów euro rocznie. Mała przychodnia zatrudniająca kilku pracowników najprawdopodobniej nie będzie podlegać bezpośrednio pod przepisy NIS2, jednak krajowe implementacje dyrektywy mogą rozszerzyć zakres obowiązywania na inne podmioty. Ponadto wymogi RODO dotyczące ochrony danych medycznych pozostają w mocy niezależnie od NIS2 i dotyczą każdej placówki przetwarzającej dane pacjentów.

Jakie kary grożą za niespełnienie wymogów NIS2 w sektorze ochrony zdrowia?
Dyrektywa NIS2 przewiduje surowe sankcje finansowe — dla podmiotów kluczowych (do których zalicza się większość szpitali) kary mogą sięgać do 10 milionów euro lub 2% globalnego rocznego obrotu, w zależności od tego, która kwota jest wyższa. Dla podmiotów istotnych limit wynosi 7 milionów euro lub 1,4% obrotu. Co istotne, osoby zarządzające mogą ponosić osobistą odpowiedzialność, co oznacza możliwość nałożenia zakazu pełnienia funkcji kierowniczych.

Jak NIS2 ma się do RODO w kontekście ochrony danych pacjentów?
NIS2 i RODO to dwa uzupełniające się akty prawne. RODO koncentruje się na ochronie danych osobowych i prawach osób, których dane dotyczą, podczas gdy NIS2 skupia się na technicznym i organizacyjnym bezpieczeństwie sieci i systemów informatycznych. W sektorze ochrony zdrowia, gdzie przetwarzane są wrażliwe dane zdrowotne pacjentów, spełnienie wymogów NIS2 w zakresie bezpieczeństwa systemów bezpośrednio wspiera realizację obowiązków wynikających z RODO. Naruszenie bezpieczeństwa systemu szpitalnego może jednocześnie skutkować postępowaniem na gruncie obu regulacji.

Od czego zacząć wdrożenie NIS2 w szpitalu, który nigdy wcześniej formalnie nie zajmował się cyberbezpieczeństwem?
Pierwszym krokiem powinno być przeprowadzenie rzetelnej analizy luk (gap analysis) — czyli porównania aktualnego stanu zabezpieczeń z wymaganiami dyrektywy. Warto skorzystać z usług zewnętrznej firmy specjalizującej się w cyberbezpieczeństwie sektorowym, która posiada doświadczenie w środowiskach medycznych. Równolegle należy zapewnić zaangażowanie kierownictwa placówki, ponieważ bez mandatu zarządu wdrożenie niezbędnych zmian organizacyjnych i technicznych będzie praktycznie niemożliwe. Pomocne mogą być również wytyczne Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) dedykowane sektorowi ochrony zdrowia.

Podsumowanie

Dyrektywa NIS2 stanowi dla sektora ochrony zdrowia nie tylko nowy obowiązek prawny, ale przede wszystkim szansę na systemowe podniesienie poziomu bezpieczeństwa cyfrowego placówek, które codziennie przetwarzają najwrażliwsze dane i zarządzają systemami krytycznymi dla życia pacjentów. Im wcześniej organizacja rozpocznie proces dostosowania do wymagań regulacji, tym mniejsze ryzyko dotkliwych kar finansowych i — co ważniejsze — tym mniejsze ryzyko cyberataku, który mógłby sparaliżować działalność kliniczną. Nie czekaj na ostatni moment — skontaktuj się ze specjalistą ds. cyberbezpieczeństwa i zacznij audyt swojej organizacji już dziś.