Ledwo szpitale wdrożyły w maju RODO, czyli ogólne rozporządzenie o ochronie danych osobowych, już muszą szykować do nowych obowiązków. Zgodnie z ustawą o krajowym systemie cyberbezpieczeństwa, zdecydowana większość szpitali w Polsce powinna być zaliczona do operatorów usług kluczowych (na takiej liście będą także firmy działające m.in. w sektorach: finansowym, energetycznym, transportowym czy zaopatrzenia w wodę pitną).

Zgodnie z szacunkami Ministerstwa Cyfryzacji, sektor ochrony zdrowia będzie objęty regulacjami ustawy w bardzo szerokim zakresie. Resort przewiduje, że ok. 250 podmiotów medycznych działających na terenie całego kraju może zostać uznanych za operatorów usług kluczowych.

Tacy operatorzy zobowiązani będą do stosowania ustawy w ochronie zdrowia m.in. szpitale, hurtownie farmaceutyczne, producenci leków, a także dystrybutorzy i importerzy substancji czynnych. Ustawodawca wstępnie przewidział w uzasadnieniu projektu ustawy, że może ona dotyczyć 130 szpitali, 50 największych podmiotów prowadzących hurtownie farmaceutyczne, 50 największych podmiotów prowadzących apteki oraz 20 największych wytwórców, importerów lub dystrybutorów substancji czynnych.

 

Przepisy o cyberbezpieczeństwie mają wiele wspólnego z RODO czytaj tutaj>>

RODO było mniej precyzyjne, tu są konkretne wymagania

Eksperci podkreślają, że RODO było ogólne. Każdy sam musiał określić w jaki sposób spełni obowiązki wynikające z tego rozporządzenia. Przepisy o krajowym systemie cyberbepieczeństwa są dużo bardziej precyzyjne. Podają dokładnie, co i kiedy trzeba zrobić.

- Z załącznika do rozporządzenia Rady Ministrów z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych, wynika, że podmioty lecznicze, które mają Szpitalny Oddział Ratunkowy i są w systemie Podstawowego Szpitalnego Zabezpieczenia świadczeń opieki zdrowotnej tzw. „sieci szpitali” wszystkie są objęte działaniem wprowadzonej ustawy i zostaną uznane za operatorów usług kluczowych – mówi Artur Zawolski, radca prawny i partner w kancelarii MKZ Partnerzy. - Taka placówka lecznicza nie ma właściwie możliwości uchylenia się od tego obowiązku. Mecenas podkreśla, że realną szansę na to, żeby nie były uznane za operatora usług kluczowych, mają jedynie placówki nie posiadające SOR-u i nie będące w sieci.

Których placówek mogą dotyczyć te przepisy?

Przepisy o cyberbezpieczeństwie dotyczą wszystkich placówek medycznych, z nielicznymi wyjątkami. - W ustawie zostało podkreślone wyłączenie spod jej stosowania podmiotów wykonujących działalność leczniczą, tworzonych przez Szefa Agencji Bezpieczeństwa Wewnętrznego lub Szefa Agencji Wywiadu. One nie będą musiały się martwić o wprowadzanie kosztownych zmian, nie tylko jeśli chodzi o infrastrukturę, ale także obowiązkowe regularne audyty bezpieczeństwa – zauważa Barbara Skrok, radca prawny z MKZ Partnerzy.

 


Jakie nowe obowiązki spadają na szpitale?

Ustawa o cyberbezpieczeństwie wprowadza kilka nowych i kosztownych obowiązków na szpitale, które zostaną uznane za operatorów usług kluczowych. Chodzi m.in.: o obowiązek wdrożenia zarządzania bezpieczeństwem w infrastrukturze informatycznej. Jeśli placówka znajduje się na liście operatorów usług kluczowych, musi sporządzić specjalny dokument, dotyczący zarządzania ryzykiem cyberbezpieczeństwa.

- W praktyce to oznacza m.in. zorganizowanie systemu wewnętrznego, w sposób pozwalający na obrót i przepływ danych odpowiadający wymaganiom ustawy, zorganizowanie środków finansowych oraz przetargu celem wyłonienia podmiotu, który wyceni, zaprojektuje, wykona i wdroży prawidłowo i jak najkorzystniej system, który zapewni odpowiedni poziom cyberbezpieczeństwa – mówi Zawolski.

Cyberbezpieczeństwo. Analiza czytaj tutaj>>

 

Osoba od cyberataków

Po stronie placówek medycznych pojawiły się też obowiązki o charakterze organizacyjnym. Będą musiały wyznaczyć osobę odpowiedzialną za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa, która także będzie musiała zgłaszać incydenty. Takie osoby będą zobowiązane do identyfikacji incydentu, jego rejestracji i klasyfikacji jego istotności oraz współdziałania podczas obsługi incydentów z właściwym CSIRT (tj. Zespołem Reagowania na Incydenty Bezpieczeństwa Komputerowego).

- Osoba dbająca o cyberbezpieczeństwo będzie musiała być wyznaczona w każdym podmiocie leczniczym tworzącym krajowy system cyberbezpieczeństwa. Przypomina to wynikający z RODO obowiązek wyznaczenia inspektora ochrony danych, który jednak uzależniony był od spełnienia określonych przesłanek takich jak np. duża skala przetwarzania danych o stanie zdrowia – podkreśla Piot Najbuk, prawnik w Kancelarii Domański Zakrzewski Palinka.  

UE: Zreformowany system lepiej zadba o cyberbezpieczeństwo czytaj tutaj>>

Audyt co dwa lata

Dodatkowo, szpital jako operator usługi kluczowej, będzie musiał zapewnić przeprowadzenie, co najmniej raz na 2 lata, audytu bezpieczeństwa systemu informatycznego, a to dodatkowy koszt.

Dr inż. Mariusz Stawowski, dyrektor techniczny CLICO, szacuje, że koszt wykonania dla szpitala audytu bezpieczeństwa oceniającego ilościowo i jakościowo system bezpieczeństwa wymagany przez ustawę przez polską firmę audytorską wyniesie ok. 100 tys. złotych.

 - Rozporządzenie Ministra Cyfryzacji w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu nie nakłada wygórowanych wymagań dla audytorów - podkreśla Mariusz Stawowski. - Szpitale nie będą więc skazane na krótką listę dużych firm audytorskich i będą mogły swobodnie wybrać audytora o odpowiednich kompetencjach z zachowaniem efektywności kosztowej.

Podmioty nie zgłoszone

Dr Aleksandra Auleytner, partner, szef praktyki IP&TMT DZP podkreśla, że do 9 listopada br. minister zdrowia powinien zgłosić do ministra cyfryzacji podmioty, które mają być wpisane na listę operatorów usług kluczowych. - Szpitale, mimo, że spełniają kryteria włączenia, nie zostały jednak zgłoszone na taką listę. Placówki się o to nie upominają, bo to dla nich tylko problem – podkreśla dr Aleksandra Auleytner.

Żeby zostać operatorem usług kluczowych trzeba otrzymać decyzję administracyjną (tacy operatorzy zostaną wyłonieni w wyniku przeprowadzenia postępowania administracyjnego o uznaniu ich za takowy podmiot).

- To, że podmiot leczniczy nie został zakwalifikowany jako operator usługi kluczowej, nie oznacza, że nie obejmą go żadne nowe obowiązki – podkreśla dr Auleytner. - Niezależnie bowiem od kwalifikacji podmiotu, podstawowe obowiązki będą musiały spełniać też podmioty lecznicze działające jako spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej. Wśród takich obowiązków znajdzie się m.in. zarządzanie incydentem cyberbezpieczeństwa i zgłaszanie go odpowiednim podmiotom.    

 

Trzeba poinformować pacjenta 

Szpitale muszą także poinformować każdego pacjenta o zasadach cyberbezpieczeństwa, które są wdrożone w ich placówce bez względu na to, czy trafi do poradni czy na oddział. - Pacjent musi otrzymać taką informację w przystępnej dla niego formie - dr Aleksandra Auleytner. - Nie musi tego podpisywać, ale musi zostać zachowany obowiązek informacyjny. Informacje w tym zakresie mogą zostać opublikowane np. na stronie internetowej.

Ustawa wprowadza także konkretne terminy na wprowadzenie poszczególnych zadań.

Placówka ma np. trzy miesiące od decyzji o zakwalifikowaniu jej jako operatora usług kluczowych na zapewnienie dostępu do wiedzy związanej z cyberbezpieczeństwem. Ma też trzy miesiące na wdrożenie systemu zarządzania bezpieczeństwem i na wyznaczenie osoby odpowiedzialnej za zgłaszanie incydentów, a rok na przeprowadzenie audytu.