System raportowania incydentów – tego wymaga dyrektywa NIS2 ►

termedia.pl 4 dni temu
Zdjęcie: Polska Federacja Szpitali


– Dane medyczne są łakomym kąskiem dla hakerów: imiona, nazwiska, historie chorób muszą być odpowiednio zabezpieczone, a to wymaga zwiększonych nakładów finansowych i osobowych – podkreślił Michał Sosinka, ekspert firmy Deloitte.



Specjalista przekazał, iż Deloitte nawiązała współpracę z Agencją Unii Europejskiej do spraw Cyberbezpieczeństwa (ENISA) w zakresie realizacji programu, który wspiera między innymi polskie szpitale we wdrożeniu dyrektywy NIS2. Chodzi o ogólnounijne przepisy dotyczące cyberbezpieczeństwa, które weszły w życie 16 stycznia 2023 r.

E-rozwiązania w szpitalach – potrzebne wsparcie regulatorów

Jak podkreślił Michał Sosinka, informatyzacja w polskich szpitalach jest zaawansowana, jednak są obszary, które wymagają wzmocnienia ze strony regulatorów – Ministerstwa Zdrowia oraz Centrum e-Zdrowia.

– CeZ dostarcza dużo usług informatycznych, ale chodzi także o usługi dostarczane wewnętrznie, jak na przykład testy penetracyjne, czy zapewnienie odpowiedniej ilości zasobów ludzkich i technologicznych, aby usługi dostarczane pacjentom były odpowiednio zabezpieczone i dostępne na wypadek różnych incydentów związanych z utrzymaniem bezpieczeństwa – tłumaczył ekspert.

KPO impulsem dla rozwoju e-zdrowia

Państwa Unii Europejskiej są zobowiązane do wdrożenia regulacji NIS2 do krajowego porządku prawnego. Jak tłumaczył ekspert, szpitale publiczne, jak również prywatne, w zależności, czy są to placówki wojewódzkie, czy miejskie, mają różne poziomy gotowości we wdrożeniu dyrektywy.

– Wymagane są duże nakłady finansowe w celu dostarczenia odpowiedniego poziomu bezpieczeństwa zgodnego z unijną dyrektywą. Na szczęście mamy teraz fundusze z Krajowego Planu Odbudowy – mają one wpłynąć do wielu szpitali i zapewnić większe inwestycje w zasoby cyberbezpieczeństwa, w tym zasoby IT, których szpitale potrzebują – powiedział ekspert.

Wyzwaniem jest natomiast brak standaryzacji.

– Jest sporo jednostek NGO, które dostarczają podobne rozwiązania. Pomocna jest także europejska agencja ds. cyberbezpieczeństwa, która wspiera sektor ochrony zdrowia w ujednoliceniu procedur, które zabezpieczą szpitale przed potencjalnymi atakami – tłumaczył ekspert.

Konieczne raportowanie incydentów

Zaznaczył, iż dużych nakładów wymaga także ochrona danych medycznych w placówkach ochrony zdrowia.

– Dane medyczne są łakomym kąskiem dla hakerów: imiona, nazwiska, historie chorób muszą być odpowiednio zabezpieczone, a to wymaga zwiększonych nakładów finansowych i osobowych – mówił Sosinka, dodając, iż w ramach unijnych regulacji szpitale muszą wdrożyć także system raportowania incydentów.

Jak wyjaśnił Michał Sosinka, dyrektywa NIS2 wymaga, aby incydenty były raportowane i dzielone pomiędzy jednostkami w sektorze ochrony zdrowia.

– Centrum e-Zdrowia oraz budowane przez Ministerstwo Cyfryzacji CSIRT-y sektorowe, które mają wzmocnić krajowy system cyberbezpieczeństwa, będą pełniły funkcję takiego „single point of contact” i w odpowiedni sposób będą koordynowały przepływ informacji – powiedział ekspert.

Wypowiedź Michała Sosinki – zarejestrowana podczas jesiennej konwencji programowej Polskiej Federacji Szpitali 28 listopada w Warszawie – poniżej.

Idź do oryginalnego materiału