Obowiązki i rozwiązania z zakresu bezpieczeństwa IT dla Operatorów Usług Kluczowych z sektora Ochrony Zdrowia

Przedstawiamy treść ustawy KSC oraz wynikające z niej obowiązki dla Operatorów Usług Kluczowych z sektora Ochrony Zdrowia. Dotyczą one m.in. podmiotów leczniczych posiadających Szpitalny Oddział Ratunkowy i będących w systemie Podstawowego Szpitalnego Zabezpieczenia świadczeń opieki zdrowotnej tzw. „sieci szpitali”. Szacuje się, że ustawa obejmie w Polsce ok. 250 podmiotów medycznych, w tym 130 szpitali.

Ustawa o krajowym systemie cyberbezpieczeństwa

Ustawa o krajowym systemie cyberbezpieczeństwa jest implementacją porządku krajowego tzw. Dyrektywy NIS, która obowiązuje od sierpnia 2018 roku. Ustawa KSC obejmuje Operatorów Usług Kluczowych, czyli firmy i instytucje, które świadczą usługi o dużym znaczeniu w celu utrzymania krytycznej działalności społecznej lub gospodarczej. Operatorami usług kluczowych w myśl dyrektywy NIS są: sektor energetyczny, transportowy, bankowy i infrastruktury rynków finansowych, ochrony zdrowia, zaopatrzenia w wodę pitną (wraz z dystrybucją) i infrastruktury cyfrowej. 

operatorzy usług kluczowych

Wymagania dla Operatorów Usług Kluczowych 

Ustawa KSC i NIS nakładają na każdego Operatora Usług Kluczowych liczne obowiązki w zakresie wdrożenia systemu zarządzania bezpieczeństwem. Operator Usługi Kluczowej ma obowiązek szacowania ryzyka, dostosowując do niego środki bezpieczeństwa. OUK musi zapewnić bezpieczną eksploatację systemu i bezpieczeństwo fizyczne systemu oraz ciągłość dostaw usług. Do innych obowiązków Operatora Usługi Kluczowej zgodnie z dyrektywą NIS należy stałe monitorowanie systemu, który zapewnia świadczenie usługi. 

Ustawa KSC i Dyrektywa NIS obligują podległe podmioty do zbierania informacji o zagrożeniach z zakresu cyberbezpieczeństwa. Operator Usługi Kluczowej ma za zadanie przeprowadzać działania obejmujące wykrywanie, rejestrowanie, analizowanie oraz odpowiednie klasyfikowanie incydentów. W razie wystąpienia incydentu podmiot ma obowiązek zgłosić go nie później niż w ciągu 24 godzin do właściwego CSIRT (ang. Computer Security Incident Response Team). CSIRT jest to zespół ekspertów do spraw bezpieczeństwa komputerowego, który wspiera podmioty i firmy w zakresie bezpieczeństwa komputerowego. OUK powinien zapewnić dostęp do informacji właściwemu CSIRT w szczególności w zakresie incydentów zakwalifikowanych jako krytyczne. OUK mogą powoływać sektorowe zespoły cyberbezpieczeństwa, które zajmują się zapewnieniem bezpieczeństwa i obsługą incydentów z zakresu usług kluczowych. W ramach obowiązków OUK powinien sporządzać dokumentację z dziedziny cyberbezpieczeństwa systemu informacyjnego, która powinna być uaktualniana i przechowywana przez co najmniej 2 lata. 

Problemy Służby Zdrowia w zakresie IT

Szpitale w obliczu nałożenia na nie obowiązków wynikających z ustawy o krajowym systemie cyberbezpieczeństwa i usług kluczowych (zgodnie z NIS) borykają się w wieloma problemami, które utrudniają im wdrożenie procedur informatycznych. Głównym problemem jest brak dedykowanych narzędzi software’owych i krótki czas dostosowania do wymogów ustawy. Szpitalom dostosowanie się do ustawy utrudniają niedostateczne fundusze w dobie pandemii COVID-19. Problemem jest też brak rzetelnej wiedzy kadry pracowniczej szpitala dotyczącej świadczenia usług Operatorów Usług Kluczowych. 

Oferta ESKOMdla OUK z sektora Służby Zdrowia

Rozsądnym rozwiązaniem problemów szpitali i innych podmiotów leczniczych w związku z ustawą o krajowym systemie cyberbezpieczeństwa jest zatrudnienie naszej firmy – ESKOM, która zajmuje się kompleksowym outsourcingiem IT. Oferta dedykowana podmiotom Ochrony Zdrowia zawiera 3 Fazy wdrożenia, istotnie wspomagające  działania z zakresu cyberbezpieczeństwa. 

Faza I (do 3 miesięcy od wskazania) składa się z przeprowadzenia analizy ryzyka w szpitalu i ustalenia kompetentnej osoby kontaktowej dla CSIRT, która będzie zajmować się identyfikacją i zgłaszaniem oraz reagowaniem na incydenty. W Fazie I przeprowadzamy cykl szkoleń uświadamiających pracowników szpitali. 

Faza II (do 6 miesięcy od wskazania) polega na wdrożeniu zmian wynikających z ryzyka zidentyfikowanego w Fazie I, monitorowaniu podatności i przygotowaniu dokumentacji systemu zarządzania bezpieczeństwem IT. 

Faza III (do 12 miesięcy od wskazania) to przeprowadzenie audytu bezpieczeństwa, którego zadaniem jest ilościowa i jakościowa ocena systemu bezpieczeństwa wdrożonego w szpitalu. Wykonywany przez nas audyt zakończony jest raportem, które należy przedstawić stosownemu CSIRT. Należy go przeprowadzać raz na dwa lata.