Dyrektywa NIS2 dotyczy także placówek medycznych

Dyrektywa dotyczy średnich i dużych firm z sektora prywatnego i publicznego, między innymi z branży medycznej.

Dyrektywa unijna NIS2 dotyczy cyberbezpieczeństwa i ma na celu dostosowanie przepisów z tego zakresu do nowych zagrożeń cyfrowych. Weszła w życie 16 stycznia 2023 roku, a jej wdrożenie nastąpi 17 października 2024 roku. Przepisy będą obowiązywały we wszystkich krajach Unii Europejskiej i dotyczą także sektora ochrony zdrowia.

Pełna nazwa NIS2 to Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148.

Dyrektywa zakłada podniesienie wymogów związanych z zarządzaniem ryzykiem, usprawnienie reagowania na zdarzenia w zakresie cyberbezpieczeństwa oraz wprowadza obowiązki związane z raportowaniem incydentów z tego zakresu. Dotyczy średnich i dużych firm z sektora prywatnego i publicznego, działających w takich obszarach jak energetyka, bankowość, transport, administracja publiczna czy zdrowie, a także firm należących do łańcucha ich dostaw. Nowe sektory, których obowiązują przepisy, to między innymi zarządzanie odpadami, produkcja urządzeń medycznych oraz farmacja.

Dokument nakłada na poszczególne podmioty obowiązek prowadzenia obowiązkowych szkoleń dla kadry kierowniczej (szkolenia dla pracowników są zalecane) oraz stosowanie certyfikowanych produktów, usług i procesów ICT (zalecane jest korzystanie z kwalifikowanych usług zaufania).

Priorytety dla organizacji w zakresie NIS2 to kopie bezpieczeństwa, bezpieczna poczta, ochrona stacji roboczych, ochrona brzegu sieci, segmentacja sieciowa, zarządzanie dostępami oraz audyt bezpieczeństwa.

Dyrektywa wprowadza kary za naruszenie założeń NIS2 w wysokości nawet 10 mln euro lub 2 procent obrotów dla podmiotów kluczowych, zakłada też odpowiedzialność finansową kadry zarządzającej.

Przewidziano wsparcie finansowe oraz programy mające na celu pomoc w dostosowaniu do wymogów NIS2. Są to zarówno środki zarządzane centralnie na poziomie Komisji Europejskiej jak i krajowe.

W zakresie ochrony zdrowia celami priorytetowymi określonym w perspektywie na lata 2021-2027 w programach regionalnych oraz w programie FENIKS są – ambulatoryjna opieka specjalistyczna (zwiększenie dostępności do badań poprzez wyposażenie w nowy sprzęt), placówki opieki zdrowotnej (diagnostyka, opieka koordynowana, edukacja zdrowotna, opieka dietetyczna, opieka psychiatryczna), dyspozytornie medyczne oraz opieka psychiatryczna. Na ten cel przeznaczone będzie 1,43 mld euro.

W ramach Krajowego Planu Odbudowy przewidziano wsparcie w wysokości 4,09 mld euro, które przeznaczone zostanie na zwiększenie efektywności, dostępności i jakości świadczeń medycznych, rozwój i modernizację infrastruktury centrów opieki wysokospecjalistycznej i innych podmiotów leczniczych, przyspieszenie procesów transformacji cyfrowej ochrony zdrowia, inwestycje związane z modernizacją i doposażeniem obiektów dydaktycznych w związku ze zwiększeniem limitów przyjęć na studia medyczne.

Źródło: Deloitte: Cybersecurity by Digital Health Leaders. Wyzwania sektora ochrony zdrowia w kontekście nadchodzącej regulacji NIS2