Kyberbezpečnost ve zdravotnictví

V loňském článku na podobné téma jsme se věnovali právní úpravě digitalizace zdravotnictví. Nyní se pojďme podívat na úzce související téma kyberbezpečnosti. V návaznosti na směrnici NIS 2, kterou přijala Evropská unie v roce 2022, vzniká v Česku nový zákon o kybernetické bezpečnosti, který významně rozšiřuje okruh povinných osob a zavádí nové povinnosti.

Regulované subjekty

Mezi nově regulované subjekty ve zdravotnictví patří zejména poskytovatelé zdravotní péče včetně nemocnic, poskytovatelé zdravotnické záchranné služby, referenční laboratoře EU pro veřejné zdraví, subjekty výzkumu léčiv a výrobci léčivých látek a přípravků pro humánní použití a výrobci zdravotnických prostředků a IVD.

Povinné subjekty budou rozděleny do dvou režimů zpravidla podle své velikosti:

  • vyšší režim: velké podniky s 250 a více zaměstnanci nebo obratem nad 50 milionů eur,
  • nižší režim: střední podniky s 50 a více zaměstnanci nebo obratem nad 10 milionů eur.

Rozdělení obsahuje výjimky, např. nemocnice s alespoň 270 akutními lůžky budou spadat do vyššího režimu, i kdyby formálně nesplňovaly kritéria středního podniku. Smyslem rozdělení je předejít u menších subjektů nadměrné administrativě a průběžným kontrolám.

Povinnosti

S cílem zajistit zachování kontinuity poskytování zdravotnických služeb nový právní rámec stanoví povinným subjektům řadu konkrétních povinností, především:

  • vytvořit a pravidelně aktualizovat bezpečnostní dokumentaci: zejména bezpečnostní politiku, seznam všech IKT aktiv (zásadních zařízení, systémů a softwaru) a bezpečnostních plánů a opatření,
  • pravidelně provádět analýzy a řízení kybernetických rizik: identifikovat a vyhodnocovat potenciální hrozby a zranitelnosti,
  • řídit bezpečnost celého dodavatelského řetězce: průběžné posuzovat bezpečnost dodavatelů IKT služeb a smluvně ošetřit bezpečnostní požadavky,
  • určit konkrétní osoby odpovědné za oblast kyberbezpečnosti: ve vyšším režimu vytvořit alespoň tři specializované pozice: manažer, architekt a auditor kyberbezpečnosti,
  • zajistit kontinuitu nezbytných IKT služeb: připravit plány a opatření (záložní systémy, pravidelné zálohování dat) pro případ kybernetických incidentů či výpadků, aby byla zachována dostupnost zdravotní péče,
  • zavést ochranu sítí a systémů: řídit identity a přístupy, sledovat nežádoucí aktivity v sítích a zajistit fyzickou bezpečnost IKT infrastruktury (přístup k serverům apod.),
  • hlásit incidenty: významné kybernetické incidenty budou povinné subjekty muset bezodkladně oznamovat NÚKIB.

Zákon stanoví vysoké pokuty za nedodržení povinností. Ve vyšším režimu až 250 milionů Kč nebo 2 % celosvětového ročního obratu, v nižším režimu až 175 milionů Kč nebo 1,4 % obratu.

Jaké kroky je potřeba nejdříve učinit?

Kybernetická bezpečnost již nebude pouze záležitostí IT oddělení, ale stane se nově i významnou součástí manažerské agendy. Management povinných osob bude přímo odpovědný za vytvoření potřebných podmínek a v podstatě i za samotnou compliance v oblasti IKT bezpečnosti. Management by měl zejména:

  • identifikovat, zda a do jakého režimu regulace společnost spadá (podle typu služeb, velikosti či obratu),
  • určit osoby odpovědné za kyberbezpečnost a vytvořit nezbytné pracovní pozice,
  • vytvořit katalog IKT aktiv a seznam dodavatelů IKT služeb,
  • aktualizovat interní směrnice, postupy a plány v souladu s novými pravidly (bezpečnostní politika, incidenty, obnova provozu, výběr dodavatelů IT),
  • vyčlenit dostatečné finanční zdroje na zavedení požadovaných opatření (posílit IT oddělení, angažovat externí odborníky, investovat do integrace a modernizace zabezpečení IT systémů),
  • zajistit vzdělávání zaměstnanců v oblasti kyberbezpečnosti, včetně povinného školení vrcholového managementu, a provádět pravidelné testování připravenosti na kybernetické incidenty,
  • sledovat legislativní proces a včas začít s implementací opatření, včetně spolupráce s právníky a odborníky na kyberbezpečnost.

Zpoždění přípravy zákona

Nový zákon měl být podle směrnice NIS 2 účinný již od října 2024, jeho návrh však stále čeká na schválení poslaneckou sněmovnou. Projednávání provází kontroverze kolem pravomoci NÚKIB vyloučit z infrastrukturních projektů bezpečnostně rizikové dodavatele strategických služeb (např. čínské společnosti Huawei a ZTE).

Závěr

Bez ohledu na současné legislativní prodlení je implementace směrnice NIS 2 jen otázkou času. Zdravotnické subjekty by proto měly toto období využít ke včasné přípravě: udělat si přehled svých IKT aktiv a dodavatelských vztahů, revidovat interní procesy a investovat do bezpečnostních technologií. Aktivní přístup nejenže minimalizuje rizika kybernetických incidentů, ale zároveň zajistí hladký přechod na nová pravidla.

Naše advokátní kancelář Glatzová & Co. se problematikou kyberbezpečnosti ve zdravotnictví intenzivně zabývá a vzhledem k interdisciplinární povaze tohoto tématu úzce spolupracuje s experty společnosti Cybreg. Jsme přesvědčeni, že jen právní poradenství s technickými znalostmi a praktickými zkušenostmi v oblasti kyberbezpečnosti může klientům nabídnout skutečnou přidanou hodnotu.

Mgr. et Bc. Juraj Juhás, Ph.D.
Mgr. Richard Vogel
Advokátní kancelář Glatzová & Co., s.r.o.
Foto: 123rf.com

Slatinné lázně
Lékŕi bez hranic
Pánské obleky BANDI děkuje lékařům a zdravotníkům.
Nové prokinetikum Gapulsid (cinitaprid) pro léčbu funkční dyspepsie a GERD v ČR
Biofenac – léčba bolesti a zánětu, informace pro odborníky