Szpital wyznaczony na Operatora Usługi Kluczowej (OUK) – jakie wymagania musi spełniać?

Szpital, lub inny zakład opieki zdrowotnej, wyznaczony na OUK ma wg rozporządzenia bardzo konkretne obowiązki i wyzwania. Warto je poznać i wdrożyć nie na ostatnią chwilę. Poznaj przepisy prawne dla Operatora Usługi Kluczowej z sektora ochrony zdrowia.

Szpitale i placówki medyczne są kwalifikowane jako Operatorzy Usług Kluczowych na podstawie ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, która określa m.in. wykaz usług kluczowych. Drugim dokumentem poświęconym OUK jest rozporządzenie Ministra Cyfryzacji w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa i wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo.  Trzecim dokumentem jest rozporządzenie Ministra Cyfryzacji w sprawie wykazu certyfikatów, które uprawniają do przeprowadzenia audytu dla OUK.  Wszystkie powyższe działania może przeprowadzić za Ciebie ESKOM, co zdejmie z Twojego zespołu ciężar wdrożenia wytycznych dla Operatora Usługi Kluczowej.  Każdy Operator Usługi Kluczowej posiada obowiązek wdrożenia zarządzania bezpieczeństwem w infrastrukturze informatycznej. W praktyce oznacza to, że dana placówka musi m.in. zorganizować system wewnętrzny, który umożliwi obrót i przepływ danych zgodnie z wymaganiami ustawy. 

Nadrzędnym dokumentem dla Operatora Usługi Kluczowej wydanym na szczeblu europejskim jest Dyrektywa NIS, do której przestrzegania są zobligowane wszystkie państwa członkowskie. Każdy z krajów jest zobowiązany do ustanowienia organów właściwych ds. bezpieczeństwa sieci i informacji (National Competent Authorities). Współpraca techniczna powinna opierać się na europejskiej sieci CSIRT, (ang. “Computer Security Incident Response Team”, w tłumaczeniu: “Zespoł Reagowania na Incydenty Bezpieczeństwa Komputerowego”) która polega na wymianie informacji o incydentach transgranicznych pomiędzy CSIRT-ami wyznaczonymi dla operatorów usług kluczowych a dostawcami usług cyfrowych. Wdrożenie postanowień powyższych dokumentów ma za zadanie zapewnić cyberbezpieczeństwo placówkom medycznym, prowadząc do ochrony infrastruktury technicznej. 

Operator Usługi Kluczowej (OUK) Szpital

Dokumentacja, która często jest źródłem problemów każdego Operatora Usługi Kluczowej

Jednym z obowiązków Operatora Usługi Kluczowej jest sporządzanie dokumentacji z zakresu systemu zarządzania bezpieczeństwem. Wymagania w zakresie dokumentacji obejmują ustalenia takie jak: charakterystyka usługi kluczowej i infrastruktury, szacowanie ryzyka dla obiektów infrastruktury czy ocena aktualnego stanu ochrony infrastruktury i opis jej zabezpieczeń. W normie  PN-EN ISO/IEC 27001 określone zostały także zasady dotyczące zasad organizacji i wykonywania ochrony fizycznej infrastruktury. Obowiązkiem OUK jest sporządzenie dokumentacji systemu zarządzania ciągłością działania usługi kluczowej, która jest zbieżna z regulacjami zawartymi w normie PN-EN ISO 22301. Od OUK wymaga się również sporządzenia dokumentacji technicznej systemu informacyjnego i  dokumentacji wynikającej ze specyfiki świadczonej usługi kluczowej w danym sektorze.

Audyt OUK – działania, które polegają na ocenie bezpieczeństwa IT w szpitalach

Kolejnym obowiązkiem Operatora Usługi Kluczowej z branży ochrony zdrowia, który należy zrealizować w 12 miesięcy od wyznaczenia roli OUK jest przeprowadzenie audytu. Audyt dotyczy cyberbezpieczeństwa i może być wykonany samodzielnie, w oparciu o zasoby własne lub przez doświadczoną firmę IT, znającą zagadnienia cyberbezpieczeństwa.

Audyt jest złożony i kompleksowy: obejmuje analizę dokumentacji z zakresu bezpieczeństwa IT. Audytorzy przeprowadzają też analizę skuteczności funkcjonowania mechanizmów kontrolnych, analizę ryzyka, zajmują się zarządzaniem incydentami i kwestią zabezpieczeń fizycznych i sieciowych. Zwieńczeniem ich pracy jest raport zawierający opis wykrytych niezgodności i obserwacje wraz z rekomendacjami.  Firma IT opracowuje harmonogram zalecanych zmian wraz z kosztorysem, a wyniki analizy i wnioski przedstawiane są kierownictwu szpitala. Audyt ma za zadanie zweryfikować gotowość do spełnienia wymagań i obowiązków, zawartych w ustawie o Krajowym Systemie Cyberbezpieczeństwa. Głównym celem działań audytorskich jest wdrożenie skutecznych zabezpieczeń przed zagrożeniami takimi jak: cyberataki, awarie sieci etc. oraz oszacowanie ryzyka związanego z cyberbezpieczeństwem. Rolą audytu jest także przekazywanie informacji o poważnych incydentach do określonych organów.

Audyt może być wykonany przez uprawnioną jednostkę, która jest akredytowana zgodnie z przepisami ustawy o systemach oceny zgodności i nadzoru rynku. Przynajmniej dwóch audytorów powinno posiadać certyfikaty określone w przepisach lub trzyletnią praktykę z zakresu przeprowadzania audytów bezpieczeństwa systemów IT.  oraz co najmniej dwa lata doświadczenia w zakresie audytu bezpieczeństwa i dyplom ukończenia studiów podyplomowych z tego zakresu.

Do przeprowadzenia audytu warto zaangażować rzetelną firmę IT, która posiada niezbędne certyfikaty, wieloletnie doświadczenie w zakresie cyberbezpieczeństwa oraz zapewniania ciągłości działania systemów IT i sztab ekspertów. Akredytowana firma IT zajmie się sprawdzeniem czy wdrożone systemy są zbieżne z ustawą i normami PN-EN ISO/IEC 27001 oraz PN-EN ISO/IEC 22301. W razie braku dopełnienia tego obowiązku należy się liczyć z możliwością nałożenia kary, które sięgają kwot w wysokości 200 tys. zł.

Umów się na bezpłatną konsultację w sprawie obowiązkowego wdrożenia wynikającego z ustawy dla OUK z branży ochrony zdrowia.