Już za kilka miesięcy Polska zaimplementuje unijną dyrektywę NIS2 w zakresie cyberbezpieczeństwa. Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa został przyjęty przez Radę Ministrów i trafił do Sejmu. Przepisy będą dotyczyły podmiotów publicznych oraz firm działających w wybranych sektorach. Szpitale zostały w nowym prawie zakwalifikowane jako podmioty kluczowe, dlatego ich systemy informatyczne są objęte najbardziej restrykcyjnymi przepisami. Dziś omówimy 8 najważniejszych kwestii oraz wyznawań związanych z Dyrektywą NIS2 dla szpitali.

Zabezpieczenie systemów HIS, RIS, PACS w placówkach medycznych

Dyrektywa NIS2 nakłada na podmioty kluczowe obowiązki dotyczące zarządzania ryzykiem w zakresie cyberbezpieczeństwa. Dotyczy to polityki bezpieczeństwa, analizy ryzyka, obsługi incydentów czy wdrożenia procedur dotyczących kryptografii. W tym kontekście na szczególną uwagę zasługują systemy takie jak HIS (Hospital Information System), RIS (Radiology Information System) i PACS (Picture Archiving and Communication System) wykorzystywane w szpitalach. Każdy z tych systemów wymagać będzie odpowiedniego szyfrowania, testów i higieny cybernetycznej. Z kolei placówki będą poddawane inspekcjom pod kątem zgodności z normami ISO 27001 i ISO 22301.

Ochrona urządzeń medycznych

Dyrektywa bardzo wiele zmienia w procesie nabywania i używania urządzeń, wyrobów medycznych i wyrobów elektronicznych. Chodzi między innymi o bezpieczeństwo łańcucha dostaw, ponieważ szpitale mają obowiązek weryfikowania ich dostawców i nakładania klauzul cyberbezpieczeństwa. Ponadto urządzenia podłączone do sieci, takie jak MRI, RTG, pompy infuzyjne czy pozostałe IoT muszą być dokładnie zabezpieczone poprzez wspomnianą wcześniej analizę ryzyka.

Segmentacja sieci w placówkach opieki zdrowotnej

Kolejne wyzwanie dotyczy bezpieczeństwa danych w kontekście segmentacji sieci. Chodzi o wyizolowanie sieci krytycznych od pozostałych – ogólnych, przeznaczonych dla personelu i pacjentów. Jest to element zapobiegania atakom cybernetycznym. Strategia wymaga wdrożenia uwierzytelniania wieloskładnikowego (MFA) i innych zasad bezpiecznej komunikacji.

Czynniki ryzyka związane z danymi pacjentów, telemedycyną i pracą zdalną

Zagrożenia cybernetyczne wynikają między innymi z telemedycyny, pracy zdalnej personelu medycznego i prowadzenia elektronicznej dokumentacji medycznej. W ten sposób zwiększa się ryzyko wycieku danych wrażliwych. W polskim prawie rozwiązania telemedyczne są traktowane jako urządzenia medyczne, podlegają dyrektywie NIS2, a więc dodatkowym procedurom bezpieczeństwa między innymi w zakresie ochrony danych.

Obowiązek zgłaszania incydentów i raportowania w sektorze ochrony zdrowia

Jednym z głównych założeń NSI2 dla podmiotów kluczowych, do których zaliczają się placówki medyczne udzielające świadczeń zdrowotnych jest raportowanie incydentów związanych z cyberbezpieczeństwem. Podmioty powinny już w ciągu 24 godzin wysłać wczesne ostrzeżenie, w ciągu 72 godzin – wstępne zgłoszenie, a w ciągu miesiąca przygotować raport końcowy. Zgłoszenia trafiają do organu nadzorczego, na przykład Ministerstwa Zdrowia. Obowiązek dotyczy między innymi zdarzeń zaburzających ciągłość działania systemu.

SOC w szpitalach, czyli konieczność w praktyce

W środowisku medycznym pojawia się wątpliwość, czy szpitale powinny posiadać Security Operations Center (SOC). Z nowej dyrektywy NIS nie wynika to bezpośrednio, jednak konieczność obsługi incydentów i ciągłego monitoringu bezpieczeństwa w praktyce tworzą taki obowiązek. Rozwiązaniem, które szpitale mogą zaimplementować do swoich potrzeb może okazać się outsourcing w tej dziedzinie świadczony przez Network Expert, który pomoże podmiotom uniknąć kar finansowych i odpowiedzialności.

Zarządzanie dostępem i tożsamościami

Wśród nowych obowiązków pojawia się wymóg wdrożenia zarządzania tożsamościami i dostępem (IAM). W praktyce szpitale powinny automatyzować nadawanie i odbieranie dostępu oraz prowadzić szkolenia zapobiegające zagrożeniom wewnętrznym.

Kopie zapasowe i odporność na ransomware

Według NIS2 podmioty kluczowe w całej Unii Europejskiej, do których zaliczają się szpitale, są zobowiązane do zachowania ciągłości działania biznesu, odzyskiwania danych po awariach i zarządzania kryzysowego, a to w praktyce nakłada dwa wymogi – konieczność tworzenia kopii zapasowych i planów odporności na ransomware. W tym kontekście warto jeszcze raz podkreślić obowiązek zarządzania łańcuchem dostaw, by uniknąć zagrożeń zewnętrznych pochodzący od środków technicznych dostarczonych przez dostawców.

Dyrektywa NIS2 to prawdziwy gamechanger w wielu dziedzinach – od usług pocztowych po dystrybucję żywności, zaś placówki medyczne zaliczane są do podmiotów kluczowych, w których obowiązek wdrożenia podstawowych praktyk dotyczących cyberbezpieczeństwa będzie najściślej przestrzegany. Warto zainteresować się tematem natychmiast, bo do implementacji nowego prawa pozostało zaledwie kilka miesięcy.