Każdy szpital, który ma oddział ratunkowy i należy do tzw. sieci – zgodnie z ustawą o cyberbezpieczeństwie – powinien zostać zakwalifikowany jako operator usług kluczowych. Dla wielu lecznic oznacza to nowe wydatki i obowiązki. Będą musiały m.in. stworzyć dokumenty związane z cyberbezpieczeństwem i co dwa lata przeprowadzać specjalistyczne audyty, które mogą kosztować ok. 100 tysięcy złotych.

Założenia do projektu tej ustawy przyjmowały, że nowe obowiązki dotyczyć by miały 253 podmiotów, w tej liczbie poza szpitalami mieści się też Narodowy Fundusz Zdrowia, Centrum Systemów Informacyjnych Ochrony Zdrowia, a także największe podmioty spośród hurtowni farmaceutycznych, sieci aptek oraz wytwórców, importerów lub dystrybutorów substancji czynnych.

 

Szpitale zapłacą za cyberbezpieczeństwo czytaj tutaj>>

MZ: Chcemy wyłączyć część lecznic

Krzysztof Jakubiak, rzecznik Ministerstwa Zdrowia podaje, że teraz w resorcie prowadzone są analizy dotyczące wyłączenia części szpitali z krajowego systemu cyberbezpieczeństwa, tak aby nie były one zaliczone do operatorów usług kluczowych. - Jednak na dzień dzisiejszy nie została dokonana zmiana przepisów prawa skutkująca wyłączeniem części potencjalnych operatorów usług kluczowych – podkreśla Jakubiak.

Cyberbezpieczeństwo a ochrona danych osobowych. Analiza czytaj tutaj>>

 


Bez decyzji, ale prawo już działa

Piotr Najbuk, prawnik w Kancelarii Domański Zakrzewski Palinka dodaje, że by zostać operatorem usług kluczowych trzeba otrzymać decyzję administracyjną. Do 9 listopada 2018 r. minister zdrowia powinien zgłosić do ministra cyfryzacji podmioty, które mają być wpisane na listę operatorów usług kluczowych. Szpitale, mimo, że spełniają kryteria włączenia, nie zostały jednak zgłoszone na taką listę. Placówki się o to nie upominają, bo to dla nich tylko problem.

- Jednak, mimo, że w przypadku szpitali takich decyzji nie wydano, to i tak część z nich, ponieważ należy do krajowej sieci cyberbezpieczeństwa, będzie musiała spełnić wymagania określone w ustawie o cyberbezpieczeństwie. Niezależnie bowiem od kwalifikacji podmiotu, podstawowe obowiązki będą musiały spełniać instytuty badawcze, czyli m.in.: Instytut Matki i Dziecka, Centrum Zdrowia Matki Polski w Łodzi czy Instytut Fizjologii i Patologii Słuchu czy Centrum Onkologii – podkreśla Najbuk.

Nowe obciążenia finansowe

Artur Zawolski, partner i radca prawny w Kancelarii Prawnej Michalak Kosicka Zawolski i Partnerzy Radcowie Prawni podkreśla, że jako praktyk doradzający placówkom leczniczym i szpitalom, zauważa niepokój osób nimi zarządzających w kontekście nowych obowiązków. -  Wdrożenie przepisów o cyberbezpieczeństwie dla lecznic to nowe obciążenia pod względem finansowym – mówi Zawolski. - Przecież większość szpitali nie bilansuje kosztów z przychodami, a jednocześnie ciągnie się za nimi zadłużenie z poprzednich lat. Sytuację tę zapewne zauważył minister, i słusznie, planuje zmiany - dodaje.

 


Szpitale są atakowane przez hakerów

Prof. Maciej Banach, dyrektor Instytutu Centrum Zdrowia Matki Polki w Łodzi podaje, że właśnie weryfikują jakie zmiany muszą wprowadzić w związku z ustawą o cyberbezpieczeństwie. Dyrektor podkreśla, że jego szpital często, średnio kilka razy w miesiącu jest narażony na atak hakerski, dlatego pochwalają rozwiązania, które mają wzmocnić cyberbezpieczeństwo.  

- Nasi informatycy co chwilę blokują kolejne strony, bo ktoś podszywa się pod adres mailowy kogoś z dyrekcji naszego szpitala i próbuje w ten sposób wyłudzić pieniądze – mówi prof. Banach. – Jesteśmy bardzo czujni, bo złodzieje w sieci często za pomocą danych szpitali próbują wyłudzić pieniądze. Znam przypadki, gdy brak odpowiednich procedur w lecznicach spowodował, że milionowe kwoty zostały przelane na konta złodziei - dodaje.

Prof. Banach, podkreśla, że zmiany przepisów mogą uszczelnić system informatyczny, dlatego warto je wprowadzić. - Jesteśmy na etapie liczenia kosztów związanych z wprowadzeniem tych przepisów – mówi prof. Maciej Banach. – Nie patrzymy na to tylko jak na koszty, ponieważ te zmiany mogą pomóc nam ułatwić prace i uchronić nas przed błędami i zaniedbaniami - dodaje.

Nowe obowiązki dla szpitali

Ustawa o cyberbezpieczeństwie wprowadza kilka nowych i kosztownych obowiązków na szpitale, które zostaną uznane za operatorów usług kluczowych. Chodzi m.in.: o obowiązek wdrożenia zarządzania bezpieczeństwem w infrastrukturze informatycznej. Jeśli placówka znajduje się na liście operatorów usług kluczowych, musi sporządzić specjalny dokument, dotyczący zarządzania ryzykiem cyberbezpieczeństwa.

Po stronie placówek medycznych pojawiły się też obowiązki o charakterze organizacyjnym. Będą musiały wyznaczyć osobę odpowiedzialną za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa, która także będzie musiała zgłaszać incydenty. Takie osoby będą zobowiązane do identyfikacji incydentu, jego rejestracji i klasyfikacji jego istotności oraz współdziałania podczas obsługi incydentów z właściwym CSIRT (tj. Zespołem Reagowania na Incydenty Bezpieczeństwa Komputerowego). Taka osoba dbająca o cyberbezpieczeństwo będzie musiała być wyznaczona w każdym podmiocie leczniczym tworzącym krajowy system cyberbezpieczeństwa.

Szpitale muszą także poinformować każdego pacjenta o zasadach cyberbezpieczeństwa, które są wdrożone w ich placówce bez względu na to, czy trafi do poradni czy na oddział. Pacjent musi otrzymać taką informację w przystępnej dla niego formie. Nie musi tego podpisywać, ale musi zostać zachowany obowiązek informacyjny. Informacje w tym zakresie mogą zostać opublikowane np. na stronie internetowej.

Ustawa wprowadza także konkretne terminy na wprowadzenie poszczególnych zadań. Placówka ma np. trzy miesiące od decyzji o zakwalifikowaniu jej jako operatora usług kluczowych na zapewnienie dostępu do wiedzy związanej z cyberbezpieczeństwem. Ma też trzy miesiące na wdrożenie systemu zarządzania bezpieczeństwem i na wyznaczenie osoby odpowiedzialnej za zgłaszanie incydentów, a rok na przeprowadzenie audytu.