Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa wdrażająca dyrektywę NIS 2 stawia przed szpitalami nowe obowiązki organizacyjne i zarządcze. Cyberbezpieczeństwo przestaje być wyłącznie domeną IT, a staje się elementem odpowiedzialności dyrekcji. Jak sprawdzić, czy placówka podlega NIS 2 i od czego realnie zacząć przygotowania?
Cyberbezpieczeństwo jako element zarządzania szpitalem
Cyberbezpieczeństwo w ochronie zdrowia przestało być tematem zarezerwowanym wyłącznie dla działów IT. Po wejściu w życie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC), wdrażającej dyrektywę NIS 2, pytanie nie brzmi już, czy cyberbezpieczeństwo jest ważne, ale raczej, czy nasza placówka rzeczywiście wie, jakie obowiązki na niej ciążą i czy potrafi je wykazać. Dyrektywa NIS 2 ustanawia w Unii Europejskiej wspólne ramy cyberbezpieczeństwa. Nakłada obowiązki w zakresie zarządzania ryzykiem, raportowania incydentów oraz wzmacnia nadzór i odpowiedzialność kierownictwa w sektorach uznanych za szczególnie istotne społecznie i gospodarczo.
Dla sektora medycznego ma to znaczenie szczególne. Szpital nie jest zwykłą organizacją usługową. Awaria systemów takich jak EDM czy PACS, atak na system laboratoryjny albo kompromitacja kont uprzywilejowanych może przełożyć się nie tylko na przestój operacyjny, lecz także na realne ryzyko dla pacjentów. Dlatego nowelizacja ustawy o KSC traktuje ochronę zdrowia nie jako sektor poboczny, ale jako jeden z sektorów kluczowych.
Czy nasza placówka w ogóle znajduje się w katalogu podmiotów objętych KSC/NIS 2?
To pierwsze pytanie i właściwie punkt wyjścia, od którego należy zacząć analizę obowiązków. W znowelizowanej ustawie o KSC sektor ochrony zdrowia został ujęty w załączniku nr 1, czyli w katalogu sektorów kluczowych. Obejmuje on nie tylko szpitale, ale również m.in.:
- podmioty lecznicze;
- laboratoria referencyjne UE;
- jednostki podległe lub nadzorowane przez ministra właściwego do spraw zdrowia odpowiedzialne za systemy informacyjne ochrony zdrowia;
- urzędy obsługujące organy Państwowej Inspekcji Sanitarnej;
- Krajowe Centrum Monitorowania Ratownictwa Medycznego;
- jednostki organizacyjne publicznej służby krwi;
- podmioty udzielające świadczeń opieki zdrowotnej jako podwykonawcy dla podmiotów kluczowych lub ważnych w sektorze ochrony zdrowia;
- świadczeniodawcy posiadający w strukturze Szpitalny Oddział Ratunkowy (SOR), Centrum Urazowe lub Centrum Urazowe dla Dzieci.
W praktyce oznacza to, że mapa podmiotów objętych regulacją jest znacznie szersza, niż wynikałoby to z potocznego rozumienia pojęcia „szpital”. Ustawa rozróżnia jednocześnie podmioty kluczowe i podmioty ważne, przy czym podmioty większe niż średnie są kluczowe, a średnie są ważne. Jednocześnie ustawodawca doprecyzował sytuację podmiotów leczniczych, które nie są przedsiębiorcami: jeżeli zatrudniają od 50 do 249 osób, są podmiotami ważnymi, a jeżeli zatrudniają co najmniej 250 osób — stają się podmiotami kluczowymi. Dla wielu publicznych placówek medycznych próg wejścia w reżim NIS 2 jest więc jasno określony.
Czy wiemy, które procesy i systemy naprawdę decydują o ciągłości leczenia?
NIS 2 – podobnie jak jej krajowa implementacja w postaci KSC – nie koncentruje się na „posiadaniu antywirusa” czy „jednorazowym audycie”. Logika regulacji jest znacznie dojrzalsza: podmiot ma zidentyfikować systemy informacyjne wpływające na świadczenie usług, a następnie zarządzać powiązanym z nimi ryzykiem.
Ustawa wprost wymaga wdrożenia systemu zarządzania bezpieczeństwem informacji w systemach wykorzystywanych w procesach wpływających na świadczenie usług wraz z systematycznym szacowaniem ryzyka oraz stosowaniem adekwatnych środków technicznych i organizacyjnych.
Dla dyrektora placówki medycznej oznacza to konieczność udzielenia konkretnych odpowiedzi. Które systemy są krytyczne z perspektywy pacjenta i ciągłości działania? Czy mówimy wyłącznie o HIS i EDM, czy również o RIS, PACS, LIS oraz zdalnym dostępie dostawców serwisowych? NIS 2 premiuje myślenie procesowe, tj. nie chronimy infrastruktury IT jako takiej, lecz zdolność placówki do bezpiecznego i nieprzerwanego leczenia. To podejście znajduje odzwierciedlenie także w wymaganiach dotyczących ciągłości działania, planów awaryjnych, odtwarzania działalności oraz ciągłego monitorowania systemów.
Czy mamy faktyczny SZBI, czy jedynie zbiór rozproszonych procedur?
W wielu placówkach bezpieczeństwo nadal funkcjonuje wyspowo, tj. osobno polityka ochrony danych osobowych, trochę instrukcji z obszaru IT, trochę wymagań z akredytacji i parę wymogów co do zapisów w umowach z dostawcami. Problem polega na tym, że NIS 2 i KSC wymagają podejścia systemowego.
Art. 8 ustawy wprost wskazuje na obowiązek wdrożenia systemu zarządzania bezpieczeństwem informacji (SZBI) opartego na:
- szacowaniu ryzyka;
- środkach organizacyjnych i technicznych;
- zarządzaniu incydentami;
- bezpieczeństwie łańcucha dostaw;
- planach ciągłości działania;
- cyberhigienie;
- politykach kryptograficznych;
- monitoringu ciągłym;
- zarządzaniu aktywami;
- politykach kontroli dostępu.
To już nie jest wyłącznie compliance, lecz pełnoprawny model zarządzania bezpieczeństwem.
Dobrze zbudowany SZBI nie jest papierologią. W szpitalu powinien odpowiadać na pytania o to, kto zatwierdza ryzyko, jak klasyfikowane są zasoby i dane, jak wygląda zarządzanie podatnościami, kto akceptuje odstępstwa, jak dokumentowane są wyjątki, jak działa zgłaszanie incydentów i w jaki sposób bezpieczeństwo wpisano w zakup, rozwój i utrzymanie systemów. Bez takiego porządku organizacyjnego placówka zwykle reaguje dopiero wtedy, gdy incydent już wystąpi.
NIS 2 wymaga, aby bezpieczeństwo było zarządzane wcześniej, świadomie i w sposób możliwy do wykazania. Szczególnie istotne jest to w jednostkach publicznych. Załącznik nr 4 do ustawy określa minimalne wymagania dla SZBI u podmiotu ważnego będącego podmiotem publicznym. To czytelny sygnał ustawodawcy: system bezpieczeństwa ma być żywy, przeglądany i udokumentowany, a nie odłożony do segregatora.
Czy rzeczywiście panujemy nad dostępami?
Zarządzanie dostępami to jeden z najczęściej niedoszacowanych obszarów ryzyka w szpitalach. Personel rotuje, role się zmieniają, uprawnienia bywają nadawane doraźnie, a dostępy techniczne dostawców potrafią funkcjonować latami bez weryfikacji.
Tymczasem ustawa wyraźnie wskazuje polityki kontroli dostępu jako element SZBI, a wobec podmiotów ważnych będących podmiotami publicznymi precyzuje wymagania jeszcze bardziej. Dostęp do informacji powinni mieć wyłącznie uprawnieni użytkownicy, należy stosować zasadę minimalnych uprawnień, bezzwłocznie cofać lub zawieszać dostęp w przypadku utraty podstaw oraz aktualizować uprawnienia przy zmianie zakresu obowiązków.
W praktyce dyrektor powinien pytać nie tylko, czy mamy Active Directory. Powinien postawić więcej pytań, m.in. czy mamy formalny model nadawania, zmiany i odbierania uprawnień? Czy konta uprzywilejowane są wydzielone i monitorowane? Czy dostęp serwisowy dostawców jest ograniczony czasowo, rejestrowany i rozliczalny? Czy dla systemów krytycznych stosujemy uwierzytelnianie wieloskładnikowe tam, gdzie jest to zasadne? Czy ktoś regularnie weryfikuje, kto nadal ma dostęp do danych i systemów, których już nie powinien widzieć?
Dobrze ułożony plan zarządzania tożsamością i dostępem (IAM) i zarządzania uprzywilejowanym dostępem (PAM) bywa jednym z najtańszych sposobów na obniżenie ryzyka.
Czy odpowiedzialność za cyberbezpieczeństwo jest osadzona na poziomie kierownictwa?
Jedna z największych zmian, jakie niesie NIS 2, dotyczy zarządzania. Cyberbezpieczeństwo nie może już być delegowane wyłącznie do działu IT lub zewnętrznego dostawcy. Znowelizowana ustawa wskazuje, że kierownik podmiotu kluczowego lub ważnego ponosi odpowiedzialność za realizację obowiązków z zakresu cyberbezpieczeństwa. W przypadku kierownictwa wieloosobowego (kolegialnego) odpowiedzialność mogą ponosić wszyscy członkowie zarządu, a samo przekazanie zadań nie zwalnia z tej odpowiedzialności. Co więcej, kierownik podmiotu odpowiada za przygotowanie, wdrożenie, stosowanie, przegląd i nadzór nad SZBI oraz ma obowiązek corocznego szkolenia w tym zakresie.
To bardzo ważna zmiana kulturowa dla ochrony zdrowia. Dyrektor szpitala nie musi być specjalistą od firewalli czy ekspertem technicznym, ale powinien rozumieć ryzyko cyfrowe w takim stopniu, w jakim rozumie ryzyko finansowe, kadrowe czy prawne. Powinien też oczekiwać od organizacji nie ogólnych deklaracji, tylko mierzalnych informacji:
NIS 2 premiuje organizacje, w których zarząd realnie zarządza cyberbezpieczeństwem.
Co z tego wynika dla szpitala już teraz?
Największym błędem byłoby uznanie NIS 2 za temat wyłącznie formalny lub odległy. Przepisy przejściowe nowelizacji KSC przewidują 12 miesięcy na realizację obowiązków z rozdziału 3 ustawy oraz 24 miesiące na przeprowadzenie pierwszego audytu dla podmiotów kluczowych. Równolegle budowany jest wykaz podmiotów kluczowych i ważnych. To nie jest moment na oczekiwanie na oficjalne zawiadomienie, lecz na uporządkowanie stanu faktycznego.
Dla dyrektora placówki medycznej racjonalna kolejność działań jest dość prosta. Najpierw trzeba ustalić status podmiotu i jego miejsce w katalogu KSC. Następnie zidentyfikować procesy krytyczne oraz systemy, które na nie wpływają. Potem ocenić, czy obecne polityki i procedury rzeczywiście składają się na SZBI, czy tylko udają system. Równolegle warto zrobić przegląd zarządzania dostępem, uprawnień uprzywilejowanych, dostępu dostawców i dojrzałości monitoringu. Na końcu — ale nie odkładając w czasie — trzeba przypisać odpowiedzialność na poziomie kierownictwa i ustalić stały rytm nadzoru.
Zamiast podsumowania
Najważniejsze pytanie nie brzmi dziś, czy NIS 2 dotyczy ochrony zdrowia, bo odpowiedź na nie już znamy. Znacznie ważniejsze jest inne, a mianowicie: czy kierownictwo placówki potrafi wykazać, że rozumie swój status, zna swoje ryzyka, panuje nad dostępami i ma wdrożony system zarządzania bezpieczeństwem informacji, który działa również wtedy, gdy pojawi się realny incydent?
W świecie medycyny cyberbezpieczeństwo coraz rzadziej jest tematem technicznym. Coraz częściej jest po prostu warunkiem ciągłości leczenia.
Materiał Partnera.
