Zgodnie z ustawą o krajowym systemie cyberbezpieczeństwa, zdecydowana większość szpitali w Polsce powinna być zaliczona do operatorów usług kluczowych (na takiej liście będą także firmy działające m.in. w sektorach: finansowym, energetycznym, transportowym czy zaopatrzenia w wodę pitną).

Zgodnie z szacunkami Ministerstwa Cyfryzacji, sektor ochrony zdrowia będzie objęty regulacjami ustawy w bardzo szerokim zakresie. Do operatorów usług kluczowych mogą być zaliczone m.in. szpitale, hurtownie farmaceutyczne, producenci leków, a także dystrybutorzy i importerzy substancji czynnych.

 

Szpitale zapłacą za cyberbezpieczeństwo​ - czytaj tutaj>>

 

Resort chce, by lista była krótsza

Ustawodawca wstępnie przewidział w uzasadnieniu projektu ustawy, że może ona dotyczyć 130 szpitali, 50 największych podmiotów prowadzących hurtownie farmaceutyczne, 50 największych podmiotów prowadzących apteki oraz 20 największych wytwórców, importerów lub dystrybutorów substancji czynnych. Przypomnijmy, że ministerstwo zdrowia chce, by część szpitali została wyłączona z krajowego systemu cyberbezpieczeństwa.

- Krajowy System Cyberbezpieczeństwa w chwili obecnej pod względem stopnia skomplikowania, kosztów i działań przewyższa niedawne dostosowanie szpitali do wymagań RODO – podkreśla Piotr Welenc, zastępca dyrektora ds. rozwoju rynku GRC w Dziale Strategii i Rozwoju Rynku Wolters Kluwer. -  Podobnie jak w tamtym przypadku, szpitale stają przed koniecznością integracji systemowej cyberbezpieczeństwa z dotychczas istniejącymi systemami zarządczymi w jednostce.

 


Trzeba będzie szybko reagować na incydenty

Piotr Welenc podkreśla, że Krajowy System Cyberbezpieczeństwa zakłada model, który będzie dynamicznie reagował na zmiany przepisów prawa, wewnętrznych procedur oraz wymagania regulatorów.

- Operator usługi kluczowej będzie zobowiązany dynamicznie reagować na incydenty bezpieczeństwa, przeprowadzając systematyczne analizy ryzyka w tym zakresie, budować świadomość pracowników i informować pacjentów o zasadach cyberbezpieczeństwa obowiązujących w szpitalu – podkreśla Welenc. - Nie tylko zaprojektowanie, wdrożenie lub oprocedurowanie systemu oczekiwane jest od operatora usługi kluczowej.

 

Ochrona danych osobowych w chmurze obliczeniowej w zakresie cyberbezpieczeństwa - czytaj tutaj>>

Według eksperta krytycznymi elementami jest wewnętrzna spójność systemu, rozliczalność podmiotu oraz utrzymywanie go w takim stanie, aby skutecznie mógł sprostać wymaganiom nakładanym na niego przez ustawodawcę.

Operator musi nie tylko uwzględnić zasady i procedury nadzoru kierownictwa nad działaniem systemu cyberbezpieczeństwa, ale także budować świadomość poprzez szkolenia i regularnie przeprowadzać audyty cyberbezpieczeństwa.

- Sprowadzanie systemu cyberbezpieczeństwa do problemu wyłącznie dokumentacyjnego spowoduje z pewnością liczne reperkusje, które okażą się w konsekwencji droższe niż prawidłowe - od początku – wdrożenie systemu – podkreśla Welenc. - Cyberbezpieczeństwo jest procesem stanowiącym w cyfryzowanej medycynie, połączonej z zarządzaniem placówkami ochrony zdrowia, wyzwanie dla wszystkich szczebli zarządczych szpitala.