NIS 2 i nowelizacja polskiej ustawy o cyberbezpieczeństwie w ochronie zdrowia

Webinar Trecom odpowiada na pytanie jak NIS 2 i nowelizacja UoKSC wpływają na sektor ochrony zdrowia. Dowiedz się, jak przygotować szpitale, placówki medyczne i producentów wyrobów medycznych do nowych wymogów, w tym zarządzać ryzykiem, incydentami i łańcuchem dostaw.

Wprowadzenie do NIS 2 i nowelizacji polskiego prawa w ochronie zdrowia

Webinar prowadzony przez Cypriana Gutkowskiego z Trecom, który omawia:

• Zakres dyrektywy NIS 2 i jej wdrożenie w Polsce
• Wpływ na podmioty ochrony zdrowia, w tym szpitale i producentów sprzętu medycznego
• Praktyczne kroki przygotowania do zgodności z nowymi przepisami

Dyrektywa NIS 2 harmonizuje wymagania cyberbezpieczeństwa w UE, obejmując szerszy zakres sektorów krytycznych i wprowadzając bardziej rygorystyczne obowiązki ochrony danych i systemów ICT.

Podmioty ochrony zdrowia objęte dyrektywą

• Operatorzy kluczowi: szpitale, przychodnie i inne podmioty świadczące usługi zdrowotne o znaczeniu strategicznym
• Operatorzy ważni: producenci wyrobów medycznych i dostawcy usług wspierających, klasyfikowani jako mniej krytyczni
• Kryteria włączenia do dyrektywy: działalność sektorowa oraz „Size Cap” – co najmniej 50 pracowników i obrót >10 mln € lub decyzja organu krajowego

Zarządy ponoszą pełną odpowiedzialność prawną i finansową za zgodność z cyberbezpieczeństwem, w tym potencjalne kary indywidualne w przypadku naruszeń.

Główne obowiązki wynikające z NIS 2 i nowelizacji ustawy o KSC dla ochrony zdrowia

1. Samorejestracja i raportowanie
   • Podmioty same ustalają, czy spełniają kryteria operatora kluczowego/ważnego
   • Zgłoszenie do Ministerstwa Cyfryzacji w ciągu 3 miesięcy
   • Obowiązek wskazania zewnętrznych dostawców usług zarządzanych (MSSP, SOC)
2. System Zarządzania Bezpieczeństwem Informacji (SZBI)
   • Wdrożenie dokumentowanego systemu w ciągu 6 miesięcy od uznania za operatora
   • System obejmuje: ocenę i szacowanie ryzyka, polityki bezpieczeństwa, procedury audytowe i aktualizację dokumentacji
   • Audyt zewnętrzny co 3 lata, pierwszy audyt w ciągu 24 miesięcy
3. Zarządzanie incydentami i ciągłość działania
   • Wykrywanie, analiza, raportowanie do CSIRT sektorowego i organów państwowych
   • Obowiązek edukacji użytkowników systemów zdrowotnych, np. pacjentów korzystających z aplikacji medycznych
4. Ocena ryzyka i środki proporcjonalne
   • Systematyczna analiza ryzyka dla infrastruktury krytycznej
   • Planowanie środków ochronnych proporcjonalnych do zidentyfikowanych zagrożeń
   • Wykorzystanie modeli MITRE ATT&CK i standardów ISO 27001
5. Zarządzanie łańcuchem dostaw
   • Monitorowanie i raportowanie bezpieczeństwa dostawców i zewnętrznych usług cybersecurity
   • Transparentność outsourcingu SOC i innych krytycznych usług
6. Wycofywanie wysokiego ryzyka produktów ICT
   • Dotyczy urządzeń i systemów mogących zagrażać bezpieczeństwu pacjentów lub państwa
   • Proces nakazu wycofania prowadzony przez organy państwowe
7. Kary i odpowiedzialność indywidualna
   • Maksymalna kara w przypadku poważnego zagrożenia: 100 mln zł
   • Odpowiedzialność kierownictwa jednostki lub członków organów kolegialnych

Praktyczne wskazówki dla organizacji z segmentu ochrony zdrowia

• Rozpocznij wczesne działania: analiza luki dla oceny obecnego poziomu bezpieczeństwa
• Opracuj plan działań: roadmapa zgodności z NIS 2 i ustawą o KSC
• Zgodność z ISO 27001: dostosowanie SZBI do wymogów sektora medycznego
• Outsourcing SOC i CISO-as-a-Service: efektywne rozwiązania przy braku specjalistów w organizacji
• Szacowanie ryzyka i planowanie środków ochronnych: identyfikacja zagrożeń dla systemów zdrowotnych i minimalizacja ryzyka

Podsumowanie

Webinar Trecom dostarcza praktycznych wskazówek dla podmiotów ochrony zdrowia, jak spełnić wymagania NIS 2 i UoKSC. Kluczowe są wczesne przygotowanie, wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji, monitorowanie incydentów, transparentność outsourcingu i odpowiedzialność zarządu.