System raportowania incydentów – tego wymaga dyrektywa NIS2 ►
| Tagi: | informatyzacja szpitali, cyberbezpieczeństwo, Michał Sosinka, szpital, szpitale, Centrum e-Zdrowia, NIS2, dyrektywa NIS2, ochrona danych osobowych |
– Dane medyczne są łakomym kąskiem dla hakerów: imiona, nazwiska, historie chorób muszą być odpowiednio zabezpieczone, a to wymaga zwiększonych nakładów finansowych i osobowych – podkreślił Michał Sosinka, ekspert firmy Deloitte.
Specjalista przekazał, że Deloitte nawiązała współpracę z Agencją Unii Europejskiej do spraw Cyberbezpieczeństwa (ENISA) w zakresie realizacji programu, który wspiera między innymi polskie szpitale we wdrożeniu dyrektywy NIS2. Chodzi o ogólnounijne przepisy dotyczące cyberbezpieczeństwa, które weszły w życie 16 stycznia 2023 r.
E-rozwiązania w szpitalach – potrzebne wsparcie regulatorów
Jak podkreślił Michał Sosinka, informatyzacja w polskich szpitalach jest zaawansowana, jednak są obszary, które wymagają wzmocnienia ze strony regulatorów – Ministerstwa Zdrowia oraz Centrum e-Zdrowia.
– CeZ dostarcza dużo usług informatycznych, ale chodzi także o usługi dostarczane wewnętrznie, jak na przykład testy penetracyjne, czy zapewnienie odpowiedniej ilości zasobów ludzkich i technologicznych, aby usługi dostarczane pacjentom były odpowiednio zabezpieczone i dostępne na wypadek różnych incydentów związanych z utrzymaniem bezpieczeństwa – tłumaczył ekspert.
KPO impulsem dla rozwoju e-zdrowia
Państwa Unii Europejskiej są zobowiązane do wdrożenia regulacji NIS2 do krajowego porządku prawnego. Jak tłumaczył ekspert, szpitale publiczne, jak również prywatne, w zależności, czy są to placówki wojewódzkie, czy miejskie, mają różne poziomy gotowości we wdrożeniu dyrektywy.
– Wymagane są duże nakłady finansowe w celu dostarczenia odpowiedniego poziomu bezpieczeństwa zgodnego z unijną dyrektywą. Na szczęście mamy teraz fundusze z Krajowego Planu Odbudowy – mają one wpłynąć do wielu szpitali i zapewnić większe inwestycje w zasoby cyberbezpieczeństwa, w tym zasoby IT, których szpitale potrzebują – powiedział ekspert.
Wyzwaniem jest natomiast brak standaryzacji.
– Jest sporo jednostek NGO, które dostarczają podobne rozwiązania. Pomocna jest także europejska agencja ds. cyberbezpieczeństwa, która wspiera sektor ochrony zdrowia w ujednoliceniu procedur, które zabezpieczą szpitale przed potencjalnymi atakami – tłumaczył ekspert.
Konieczne raportowanie incydentów
Zaznaczył, że dużych nakładów wymaga także ochrona danych medycznych w placówkach ochrony zdrowia.
– Dane medyczne są łakomym kąskiem dla hakerów: imiona, nazwiska, historie chorób muszą być odpowiednio zabezpieczone, a to wymaga zwiększonych nakładów finansowych i osobowych – mówił Sosinka, dodając, że w ramach unijnych regulacji szpitale muszą wdrożyć także system raportowania incydentów.
Jak wyjaśnił Michał Sosinka, dyrektywa NIS2 wymaga, aby incydenty były raportowane i dzielone pomiędzy jednostkami w sektorze ochrony zdrowia.
– Centrum e-Zdrowia oraz budowane przez Ministerstwo Cyfryzacji CSIRT-y sektorowe, które mają wzmocnić krajowy system cyberbezpieczeństwa, będą pełniły funkcję takiego „single point of contact” i w odpowiedni sposób będą koordynowały przepływ informacji – powiedział ekspert.
Wypowiedź Michała Sosinki – zarejestrowana podczas jesiennej konwencji programowej Polskiej Federacji Szpitali 28 listopada w Warszawie – poniżej.
Przeczytaj także: „Zielona transformacja dla szpitali”.
