Jak NIS2 ovlivňuje zdravotnický sektor?

Zdravotnictví je jedním z nejcitlivějších sektorů, kde je bezpečnost osobních dat pacientů a bezpečnost zdravotnických systémů absolutně klíčová. S růstem digitalizace a elektronických záznamů však tento sektor čelí stále závažnějším kybernetickým hrozbám, od krádeží dat po ransomwarové útoky. Směrnice NIS2 zavádí opatření, která vyžadují, aby zdravotnické organizace zajistily bezpečnost osobních údajů pacientů a chránily kritické systémy před kybernetickými útoky.

Směrnice NIS2 bude v České republice aplikována novým zákonem o kybernetické bezpečnosti (dále také „nZKB“). Schválení toto zákona se očekává k 1. čtvrtletí 2025.

Povinnosti jednotlivých sektorů zdravotnictví:

Pod NIS2 spadají podniky v potravinářství, které mají více jak 50 zaměstnanců nebo obrat vyšší než 250 mil. Kč a podnikají v níže uvedených segmentech.

Pokud není stanoveno jinak sektory, které splňují podmínky velkého podniku (250+ zaměstnanců nebo obraz vyšší než 50 mil Euro) spadají do režimu vyšších povinností. Střední podniky jsou zařazeny do režimu nižších povinností.

Poskytování zdravotní péče

  • Poskytovatel zdravotní péče podle zákona o zdravotních službách je:
  • Vyšší povinnosti: Velký podnik, nebo pokud disponuje počtem lůžek akutní péče ≥ 270
  • Nižší povinnosti: Střední podnik

Poskytování zdravotnické záchranné služby

  • Zdravotnická záchranná služba podle zákona o zdravotních službách je poskytovatel regulované služby v režimu nižších povinností, pokud jde o velký nebo střední podnik.

Referenční laboratoře EU

  • Referenční laboratoře EU zahrnuté do sítě pro veřejné zdraví podle příslušného předpisu EU.

Výzkum a vývoj léčivých přípravků

  • Zadavatelé klinických hodnocení podle příslušného předpisu EU.

Výroba léčivých přípravků

  • Výrobci léčivých přípravků (mimo certifikaci šarží, sekundární balení, kontrolu jakosti a dovoz) podle zákona o léčivech.

Výroba léčivých látek

  • Výrobci léčivých látek podle zákona o léčivech.

Výroba zdravotnických prostředků

  • Výrobci zdravotnických prostředků podle příslušného předpisu EU jsou poskytovatelé regulované služby v režimu nižších povinností, pokud jde o velký nebo střední podnik.

Výroba diagnostických zdravotnických prostředků in vitro

  • Výrobci diagnostických zdravotnických prostředků in vitro podle příslušného předpisu EU jsou poskytovatelé regulované služby v režimu nižších povinností, pokud jde o velký nebo střední podnik.

Výroba kriticky důležitých zdravotnických prostředků

  • Výrobci zdravotnických prostředků považovaných za kriticky důležité při mimořádné situaci ve veřejném zdraví podle příslušného předpisu EU.

Konzultace k NIS2 zdarma

NIS2 konzultace ZDARMA

V rámci 30minutové konzultace zdarma probereme v NIS2 to, co vás zajímá a s čím potřebujete pomoct. Neutápějte se v něčem, s čím si nevíte rady a raději nás kontaktujte.

Hlavní termíny NIS2/nZKB

  1. Očekávané schválení nZKB: Q1/2025
  2. Samoidentifikace subjektu do 3 měsíců od účinnosti nového zákona o kybernetické bezpečnosti
  3. Aplikovaná bezpečnostní opatření do 1 roku od zapsání organizace NÚKIBem

Hlavní požadavky NIS2/nZKB

Aby zdravotnické organizace zajistily bezpečnost dat a systémů, musí implementovat několik opatření v souladu s NIS2:

  1. Hodnocení a řízení rizik – pravidelná analýza kybernetických hrozeb, která zohledňuje specifika zdravotnických systémů a citlivost dat.
  2. Zajištění provozní kontinuity – zavedení krizových plánů a záložních systémů, aby byla zajištěna péče o pacienty i při případných útocích.
  3. Monitoring a rychlá reakce na incidenty – nepřetržité sledování zdravotnických systémů a rychlá detekce jakýchkoli incidentů, které mohou ohrozit citlivá data a provoz.
  4. Školení zaměstnanců – pravidelné vzdělávání a zvyšování povědomí pracovníků o kybernetické bezpečnosti
  5. Technická bezpečnostní opatření: implementace technických řešení zahrnujících firewally, antivirové systémy, šifrování dat a segmentaci sítí pro zajištění maximální ochrany výrobních procesů.
  6. Řízení dodavatelů: důkladné prověřování a průběžné hodnocení bezpečnostních standardů externích dodavatelů, včetně stanovení jasných bezpečnostních požadavků ve smluvních vztazích.

Kybernetické hrozby pro zdravotnictví

Současné zdravotnictví je stále více závislé na digitalizovaných a automatizovaných systémech. Mezi kritická zařízení patří především:

  1. Diagnostická zařízení (CT, rentgeny, Ultrazvuky, mamografy)
  2. Monitorovací zařízení (EKG monitory, krevní tlak)
  3. Terapeutická zařízení (Infuzní pumpy, Ventilátory, Dialyzační přístroje)
  4. Chytré senzory (Měřiče teploty, Monitoring prostředí)

S citlivými údaji a elektronickými záznamy, které zahrnují osobní i zdravotní informace, se zdravotnické organizace stávají primárním cílem kybernetických útoků. Mezi hlavní hrozby patří:

  1. Ransomware útoky – útoky, které zašifrují data pacientů, ohrožují kontinuitu péče a bezpečnost pacientů.
  2. Únik dat – krádež zdravotních informací může vést k vážným následkům, včetně narušení důvěry pacientů.
  3. Útoky na zdravotnické systémy – neoprávněné zásahy do systémů mohou vést k manipulaci s informacemi a narušení plynulosti péče.

Jak splnit požadavky NIS2?

  1. Využijte konzultace zdarma
  2. Audit a analýza shody s nZKB (GAP analýza)
  3. Plán implementace
  4. Implementace jednotlivých opatření vycházejících z analýzy
  5. Dokumentace shody

Blue Partners: Podpora pro shodu s NIS2 ve zdravotnictví

S ohledem na komplexitu požadavků směrnice NIS2 vám Blue Partners pomůže s implementací efektivní kybernetické ochrany ve zdravotnickém prostředí.

Naše služby zahrnují analýzu rizik, bezpečnostní audity, implementaci ochranných opatření a dlouhodobou podporu při udržování shody s NIS2. Pomůžeme vám ochránit vaše systémy a zajistit bezpečnost pacientských dat.