Podniesienie świadomości sektora ochrony zdrowia dotyczącej planowanych przepisów w obszarze cyberbezpieczeństwa, wprowadzanie odpowiednich zmian organizacyjnych w placówkach oraz wzmocnienie ich obszarów IT – to najważniejsze wyzwania dla sektora w związku z implementacją dyrektywy NiS2, podkreślają eksperci i przedstawiciele branży medycznej.
Unijna dyrektywa NIS2, która ma niebawem zostać wdrożona w Polsce, nakłada na wiele sektorów, w tym na sektor opieki zdrowotnej, nowe, rygorystyczne obowiązki związane z cyberbezpieczeństwem. Na spotkaniu branżowym zorganizowanym przez Medical Innovation Institute oraz Związek Firm Biotechnologicznych BioForum, z udziałem ekspertów ds. cyberbepieczeństwa i przedstawicieli branży medycznej, rozmawiano o wyzwaniach i szansach związanych z tym procesem, a także o gotowości polskich placówek medycznych do spełnienia nowych wymogów.
Wdrożenie dyrektywy NIS2 wiąże się z długo oczekiwaną nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Projekt rozszerza stosowanie ustawy na kilkadziesiąt tysięcy podmiotów z 18 branż, w tym na sektor ochrony zdrowia. Nowe regulacje obejmą 1248 podmiotów w tym obszarze. w tej chwili realizowane są konsultacje nowelizacji ustawy.
W dyskusji wzięli udział przedstawiciele branży medycznej i eksperci w obszarze cyberbezpieczeństwa. Wśród nich m.in.: Monika Woźniak-Cichuta (KRK Legal), Marta Chalimoniuk-Nowak (Head of Innovations in Medicine w Europejskiej Fundacji Innowacji), Rafał Dunal (prezes zarządu CloudiMed Sp. z o.o. , wiceprezes zarządu Polskiej Izby Informatyki Medycznej), Michał Czarnuch (adwokat, partner w departamencie korporacyjnym kancelarii Rymarz Zdort Maruta oraz szef praktyki Life Sciences) , Michał Bieńkowski (wiceprezes zarządu warszawskiego oddziału Stowarzyszenia Menedżerów Opieki Zdrowotnej STOMOZ), dr hab. Bogdan Księżopolski (kierownik Katedry Cyberbezpieczeństwa Akademii Leona Koźmińskiego), Patryk Kozłowski (IT Security Specialist w Comarch Healthcare), Paweł Paczuski (CEO Upmedic), Wojciech Komnata, (współzałożyciel i wiceprezes spółki Nivalit), Michał Sosinka (Partner Associate i Cyber Cloud and Strategy Lead w Deloitte), Dariusz Piaścik (Sales & Development Director w Sagenso.com), Jakub Kulesza (ekspert ds. IT w Forum Prawo dla Rozwoju), Jakub Betka (prawnik, audytor i trener w Conexus Law & Consulting).
Niska świadomość branży
Monika Woźniak-Cichuta z KRK Legal podkreślała, iż świadomość dotycząca cyberbezpieczeństwa w wielu publicznych placówkach medycznych jest niska. – Placówki te będą musiały zainwestować w szkolenia i zatrudnienie personelu odpowiedzialnego za wprowadzenie wymaganych systemów – mówiła, dodając, iż wzrost wydatków związanych z ochroną danych w placówkach, które nie były dotąd objęte dyrektywą, może wynieść aż 22%.
Marta Chalimoniuk-Nowak z Europejskiej Fundacji Innowacji zwróciła uwagę na liczne wyzwania związane z wdrażaniem strategii cyberbezpieczeństwa w placówkach medycznych, które często nie dysponują dedykowanymi zespołami IT. Wskazała na konieczność budowania długoterminowej strategii wdrażania nowych reguł, wyznaczenia odpowiedzialnych osób do jej realizacji, a także konieczność zaplanowania kosztów i zmiany kultury organizacyjnej. Podkreślała, iż dla zapewnienia bezpieczeństwa danych najważniejsze jest wprowadzenie w placówkach wieloskładnikowego uwierzytelniania użytkownika i bieżąca aktualizacja oprogramowania. Przypomniała, iż każdy system jest tak bezpieczny, jak jego najsłabsze ogniwo. Zwróciła również uwagę, iż cyberataki na podmioty ochrony zdrowia często są przeprowadzane poprzez systemy dostawców i osób trzecich.
Konieczna aktualizacja oprogramowania
Rafał Dunal, prezes zarządu CloudiMed Sp. z o.o, zwrócił uwagę, iż wiele podmiotów z branży medycznej będzie musiało w krótkim czasie przeprowadzić audyty i aktualizacje oprogramowania. Zauważył, iż dla wielu placówek będzie to ogromne wyzwanie logistyczne i finansowe, zwłaszcza iż obszar IT jest często pomijany w budżetach na rzecz personelu medycznego. Wskazał na potrzebę zabezpieczenia środków finansowych na te działania. – w tej chwili większość włamań dotyczy uzyskania uprawnień administratora w systemach operacyjnych, a nie zdalnych ataków – podkreślił. Za najważniejsze uznał budowanie świadomości i dzielenie się informacjami o incydentach. Porównał obecną sytuację do czasu wprowadzenia RODO, sugerując, iż stworzy to duże pole do popisu dla kancelarii prawnych przygotowujących dokumentację. Zaznaczył, iż – w przypadku RODO – jeżeli podczas audytu udowodni się dochowanie wszystkich starań, kary mogą być łagodniejsze. Jego zdaniem może mieć to zastosowanie również w przypadku nowych regulacji dotyczących cyberbezpieczeństwa.
Należy ustalić, czy podmiot podlega nowym przepisom
Adwokat Michał Czarnuch, zwracał uwagę, iż kluczowym krokiem dla szpitali, podmiotów leczniczych, producentów wyrobów medycznych i systemów medycznych jest ustalenie, czy są one objęte nowymi przepisami. Jego zdaniem konieczna jest dokładna analiza regulacji, aby upewnić się, czy dany podmiot faktycznie musi się do nich dostosować. Kolejnym krokiem powinno być – w jego opinii – zrozumienie wymagań regulacyjnych, które są często skomplikowane i obejmują szereg standardów i obowiązków, takich jak: szacowanie ryzyka, zarządzanie incydentami oraz zgodność z systemami bezpieczeństwa.
Michał Czarnuch przypomniał, iż pojawia się coraz więcej programów pozwalających pozyskać fundusze z Ministerstwa Cyfryzacji, NFZ oraz innych źródeł, które mogą wesprzeć przygotowania i wdrożenie niezbędnych zmian. Szacuje, iż koszty tych działań mogą wynosić od kilkudziesięciu do kilkuset tysięcy złotych, a proces ten będzie trwać co najmniej pół roku. najważniejsze – jego zdaniem – jest wdrożenie systemów zarządzania bezpieczeństwem informacji, obsługi incydentów, szacowania ryzyka oraz przekazywania informacji o incydentach. Ważnym elementem jest także zapewnienie bezpieczeństwa IT i fizycznego, opracowanie planów awaryjnych oraz prowadzenie dokumentacji dotyczącej łańcucha dostaw i usług IT. Czarnuch podkreślał, iż konieczne są ciągłe działania edukacyjne i szkolenia personelu, a także wyznaczenie odpowiedzialnych osób, które będą nadzorować te procesy.
Michał Czarnuch podkreślał, iż najważniejsze dla skutecznego wdrożenia regulacji jest wsparcie ze strony Ministerstwa Cyfryzacji, Ministerstwa Zdrowia oraz innych instytucji, w postaci tworzenia wytycznych przetargowych i standardów. Jego zdaniem kooperacja między podmiotami medycznymi, a instytucjami centralnymi może znacznie ułatwić proces dostosowania się do nowych wymogów.
Czarnuch zwracał uwagę na rosnącą liczbę cyberataków, w tym ataków typu ransomware, co wymaga intensyfikacji działań prewencyjnych i edukacyjnych. W jego opinii, choćby najlepsze systemy zabezpieczeń będą nieskuteczne bez odpowiednio przeszkolonego personelu, co czyni edukację kluczowym elementem strategii cyberbezpieczeństwa.
Potrzeba więcej personelu i edukacji
Michał Bieńkowski, wiceprezes zarządu warszawskiego oddziału Stowarzyszenia Menedżerów Opieki Zdrowotnej STOMOZ zauważył, iż zagrożenia cybernetyczne pochodzące ze Wschodu oraz wynikające z postępu technologicznego wymagają inwestycji w cyberbezpieczeństwo. Także porównał obecną sytuację do wdrożenia przepisów RODO, sugerując, iż adekwatną drogą byłoby stworzenie kodeksu dobrych praktyk dla podmiotów leczniczych. Wskazał na trudności, z jakimi borykają się mniejsze placówki, takie jak: brak finansowania, brak personelu i ograniczony dostęp do specjalistycznej wiedzy.
Dyrektywa NIS-2 to nie tylko obowiązek, ale także szansa na podniesienie poziomu bezpieczeństwa w polskich placówkach medycznych – podkreślał z kolei dr hab. Bogdan Księżopolski Kierownik Katedry Cyberbezpieczeństwa Akademii Leona Koźmińskiego. Jego zdaniem nie możemy sobie pozwolić na to, żeby jej nie wprowadzić. – Musimy działać teraz, aby zapewnić bezpieczną przyszłość dla naszych systemów ochrony zdrowia – podkreślił.
Wskazał również, iż choćby najlepsze systemy zabezpieczeń są bezużyteczne, jeżeli pracownicy nie są odpowiednio przeszkoleni i świadomi zagrożeń. Przytoczył przykład międzynarodowej firmy, w której, po rocznym, solidnym szkoleniu aż 150 z 400 pracowników kliknęło w fałszywy link, a 88 podało swoje dane logowania.
Ważne wsparcie NFZ i Ministerstw
Patryk Kozłowski, IT Security Specialist w Comarch Healthcare, wyraził nadzieję, iż dofinansowania na podniesienie poziomu cyberbezpieczeństwa, dostępne m.in. z NFZ i CEZ, pomogą wielu szpitalom w Polsce wdrożyć niezbędne procedury i zabezpieczenia. Podkreślił, iż wsparcie techniczne i merytoryczne, jakie mogą otrzymać placówki medyczne, jest najważniejsze dla skutecznego podnoszenia poziomu bezpieczeństwa.
Paweł Paczuski, CEO Upmedic, podkreślał, iż już od początku roku start-upy muszą spełniać liczne wymagania związane z cyberbezpieczeństwem, mimo iż jako małe firmy nie są bezpośrednio objęta nowymi regulacjami. Wskazał także, iż współpracując z największymi graczami na rynku, jego firma – Upmedic musi dostosowywać swoje procesy do rygorystycznych standardów bezpieczeństwa. Paczuski zauważył, iż wdrażanie bardziej bezpiecznych procesów w istniejących systemach informatycznych jest ogromnym wyzwaniem, które wiąże się z kosztownymi i skomplikowanymi zmianami organizacyjnymi.
Z perspektywy dostawców oprogramowania, Wojciech Komnata, współzałożyciel i wiceprezes spółki Nivalit podkreślił, iż producenci muszą dostosować swoje produkty do nowych regulacji. – Naszym obowiązkiem jest zapewnienie, iż systemy informatyczne, które dostarczamy, spełniają najwyższe standardy bezpieczeństwa – powiedział Komnata, dodając, iż kooperacja z klientami w zakresie edukacji i świadomości jest równie ważna.
Istotna koordynacja przepływu informacji dotyczących cyberbezpieczeństwa
Michał Sosinka, Partner Associate i Cyber Cloud and Strategy Lead w Deloitte, zwrócił uwagę, iż podejście do cyberbezpieczeństwa jako inwestycji, a nie tylko kosztu, staje się coraz bardziej powszechne. Nowe regulacje, takie jak NIS2 i AI Act, wymuszają konieczność solidnych zabezpieczeń. Podkreślił, iż choć duże firmy mają większe zasoby finansowe na spełnianie wymagań regulacyjnych, mniejsze organizacje także muszą dążyć do integracji systemów raportowania incydentów. – Ważne jest, aby system krajowy był gotowy na przyjmowanie i koordynowanie informacji między różnymi podmiotami, w tym sektorowymi zespołami ds. cyberbezpieczeństwa w ochronie zdrowia – podkreślił.
Dariusz Piaścik, Sales & Development Director w Sagenso.com, zaznaczył, iż dyrektywa NIS2 wymaga zaangażowania kadry zarządzającej w kwestie bezpieczeństwa, co jest często nowością dla wielu firm, które wcześniej cedowały te obowiązki na działy IT. Wprowadzenie bezpośrednich kar dla zarządów firm – jak wskazywał – ma na celu zwiększenie ich odpowiedzialności i świadomości w zakresie zarządzania ryzykiem technologicznym.
Jakub Kulesza, ekspert ds. IT Forum Prawo dla Rozwoju, zwrócił uwagę na istotne aspekty wdrażania dyrektywy NIS2 w Polsce. Podkreślił, iż choć znamy treść dyrektywy NIS2 od grudnia 2022 roku, przez cały czas nie mamy ostatecznej wersji nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Jak mówił, dyrektywa NIS2 wprowadza bardziej proaktywne podejście w obszarze cyberbezpieczeństwa, wymagając zarządzania ryzykiem, planów ciągłości usług oraz odzyskiwania zasobów, a także kładzie większy nacisk na edukację. Jak przypomniał, w nowelizacji ustawy wprowadzono też możliwość uznania dostawców za podmioty wysokiego ryzyka, choćby tych pochodzących z państw członkowskich NATO, co może – jego zdaniem – wymusić na podmiotach leczniczych i producentach wyrobów medycznych wycofanie produktów tych dostawców. Kulesza zachęcił do udziału w trwających konsultacjach publicznych, aby wpłynąć na kształt przepisów, by były lepiej dostosowane do wymagań dyrektywy NIS2.
Jakub Betka, prawnik, audytor i trener w Conexus Law & Consulting, zwrócił uwagę na problem podejmowania decyzji pod wpływem emocji w kwestii implementacji nowych regulacji, co miało miejsce przy wdrażaniu RODO. Betka podkreślił, iż dyrektywa NIS2, podobnie jak RODO, opiera się na analizie ryzyka, ale rozszerza ten proces na bezpieczeństwo informacji i ciągłość działania, obejmując również łańcuch dostaw. Wskazał, iż incydenty w Polsce, takie jak ataki na szpital w Łodzi, podkreślają potrzebę wprowadzania takich regulacji.