Szpitale czeka rewolucja związana z cyberbezpieczeństwem

Ustawa o Krajowym Systemie Cyberbezpieczeństwa jest potrzebna i z punktu widzenia bezpieczeństwa pacjentów – spóźniona. Ale bez osobnego, dobrze zaprojektowanego programu finansowania i wsparcia organizacyjnego dla szpitali ryzykujemy cyberbezpieczeństwo na papierze oraz realne turbulencje w działaniu systemu ochrony zdrowia – mówi dr inż. Ireneusz Wochlik, członek zarządu fundacji AI LAW TECH, autor raportu o skutkach planowanej nowelizacji ustawy o KSC, przygotowanego na zlecenie PTKOZ

Czy nowe przepisy ustawy o krajowym systemie cyberbezpieczeństwa oznaczają rewolucję dla wszystkich szpitali w Polsce?

Tak. Praktycznie dla wszystkich średnich i dużych szpitali to będzie realna rewolucja. Nowelizacja wdrażająca dyrektywę NIS2 zmienia logikę systemu: szpitale staną się podmiotami kluczowymi lub ważnymi w krajowym systemie cyberbezpieczeństwa, z pełnym pakietem obowiązków i nadzoru.

Na czym będzie polegać ta rewolucja?

Szpital przestaje być zwykłym użytkownikiem IT, a staje się formalnym elementem infrastruktury bezpieczeństwa państwa. Konkretnie oznacza to m.in.: obowiązek wdrożenia systemu zarządzania bezpieczeństwem informacji, czyli nie tylko pojedynczych zabezpieczeń, ale całego procesu zarządzania ryzykiem; obowiązek przeprowadzania regularnych audytów bezpieczeństwa – co trzy lata dla podmiotów kluczowych, plus możliwość audytów doraźnych. To także będzie oznaczać sztywne terminy i procedury zgłaszania incydentów. Wstępne zgłoszenie będzie musiało nastąpić w ciągu 24 godzin, pełne – 72 godzin, a raport końcowy będzie musiał powstać w ciągu miesiąca. Pojawi się też osobista odpowiedzialność kierownika podmiotu za realizację zadań z zakresu cyberbezpieczeństwa, wraz z możliwością nakładania na niego kar finansowych i obowiązkiem odbycia szkolenia, obowiązek rejestracji w wykazie podmiotów kluczowych/ważnych oraz ścisła współpraca z CSIRT sektorowym – w ochronie zdrowia będzie to CSIRT Centrum e-Zdrowie. Dodatkowo projekt przewiduje mechanizm dostawcy wysokiego ryzyka (DWR) i możliwość nakazania wymiany sprzętu oraz oprogramowania takich dostawców w całej infrastrukturze szpitala – z kilkuletnim okresem przejściowym. To dla wielu placówek będzie najbardziej odczuwalny, kosztowny i technicznie skomplikowany element zmiany.