Szpital, lub inny zakład opieki zdrowotnej, wyznaczony na OUK ma wg rozporządzenia bardzo konkretne obowiązki i wyzwania. Warto je poznać i wdrożyć nie na ostatnią chwilę. Poznaj przepisy prawne dla Operatora Usługi Kluczowej z sektora ochrony zdrowia.
Szpitale i placówki medyczne są kwalifikowane jako Operatorzy Usług Kluczowych na podstawie ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, która określa m.in. wykaz usług kluczowych. Drugim dokumentem poświęconym OUK jest rozporządzenie Ministra Cyfryzacji w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa i wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo. Trzecim dokumentem jest rozporządzenie Ministra Cyfryzacji w sprawie wykazu certyfikatów, które uprawniają do przeprowadzenia audytu dla OUK. Wszystkie powyższe działania może przeprowadzić za Ciebie ESKOM, co zdejmie z Twojego zespołu ciężar wdrożenia wytycznych dla Operatora Usługi Kluczowej. Każdy Operator Usługi Kluczowej posiada obowiązek wdrożenia zarządzania bezpieczeństwem w infrastrukturze informatycznej. W praktyce oznacza to, że dana placówka musi m.in. zorganizować system wewnętrzny, który umożliwi obrót i przepływ danych zgodnie z wymaganiami ustawy.
Nadrzędnym dokumentem dla Operatora Usługi Kluczowej wydanym na szczeblu europejskim jest Dyrektywa NIS, do której przestrzegania są zobligowane wszystkie państwa członkowskie. Każdy z krajów jest zobowiązany do ustanowienia organów właściwych ds. bezpieczeństwa sieci i informacji (National Competent Authorities). Współpraca techniczna powinna opierać się na europejskiej sieci CSIRT, (ang. “Computer Security Incident Response Team”, w tłumaczeniu: “Zespoł Reagowania na Incydenty Bezpieczeństwa Komputerowego”) która polega na wymianie informacji o incydentach transgranicznych pomiędzy CSIRT-ami wyznaczonymi dla operatorów usług kluczowych a dostawcami usług cyfrowych. Wdrożenie postanowień powyższych dokumentów ma za zadanie zapewnić cyberbezpieczeństwo placówkom medycznym, prowadząc do ochrony infrastruktury technicznej.
Dokumentacja, która często jest źródłem problemów każdego Operatora Usługi Kluczowej
Jednym z obowiązków Operatora Usługi Kluczowej jest sporządzanie dokumentacji z zakresu systemu zarządzania bezpieczeństwem. Wymagania w zakresie dokumentacji obejmują ustalenia takie jak: charakterystyka usługi kluczowej i infrastruktury, szacowanie ryzyka dla obiektów infrastruktury czy ocena aktualnego stanu ochrony infrastruktury i opis jej zabezpieczeń. W normie PN-EN ISO/IEC 27001 określone zostały także zasady dotyczące zasad organizacji i wykonywania ochrony fizycznej infrastruktury. Obowiązkiem OUK jest sporządzenie dokumentacji systemu zarządzania ciągłością działania usługi kluczowej, która jest zbieżna z regulacjami zawartymi w normie PN-EN ISO 22301. Od OUK wymaga się również sporządzenia dokumentacji technicznej systemu informacyjnego i dokumentacji wynikającej ze specyfiki świadczonej usługi kluczowej w danym sektorze.
Audyt OUK – działania, które polegają na ocenie bezpieczeństwa IT w szpitalach
Kolejnym obowiązkiem Operatora Usługi Kluczowej z branży ochrony zdrowia, który należy zrealizować w 12 miesięcy od wyznaczenia roli OUK jest przeprowadzenie audytu. Audyt dotyczy cyberbezpieczeństwa i może być wykonany samodzielnie, w oparciu o zasoby własne lub przez doświadczoną firmę IT, znającą zagadnienia cyberbezpieczeństwa.
Audyt jest złożony i kompleksowy: obejmuje analizę dokumentacji z zakresu bezpieczeństwa IT. Audytorzy przeprowadzają też analizę skuteczności funkcjonowania mechanizmów kontrolnych, analizę ryzyka, zajmują się zarządzaniem incydentami i kwestią zabezpieczeń fizycznych i sieciowych. Zwieńczeniem ich pracy jest raport zawierający opis wykrytych niezgodności i obserwacje wraz z rekomendacjami. Firma IT opracowuje harmonogram zalecanych zmian wraz z kosztorysem, a wyniki analizy i wnioski przedstawiane są kierownictwu szpitala. Audyt ma za zadanie zweryfikować gotowość do spełnienia wymagań i obowiązków, zawartych w ustawie o Krajowym Systemie Cyberbezpieczeństwa. Głównym celem działań audytorskich jest wdrożenie skutecznych zabezpieczeń przed zagrożeniami takimi jak: cyberataki, awarie sieci etc. oraz oszacowanie ryzyka związanego z cyberbezpieczeństwem. Rolą audytu jest także przekazywanie informacji o poważnych incydentach do określonych organów.
Audyt może być wykonany przez uprawnioną jednostkę, która jest akredytowana zgodnie z przepisami ustawy o systemach oceny zgodności i nadzoru rynku. Przynajmniej dwóch audytorów powinno posiadać certyfikaty określone w przepisach lub trzyletnią praktykę z zakresu przeprowadzania audytów bezpieczeństwa systemów IT. oraz co najmniej dwa lata doświadczenia w zakresie audytu bezpieczeństwa i dyplom ukończenia studiów podyplomowych z tego zakresu.
Do przeprowadzenia audytu warto zaangażować rzetelną firmę IT, która posiada niezbędne certyfikaty, wieloletnie doświadczenie w zakresie cyberbezpieczeństwa oraz zapewniania ciągłości działania systemów IT i sztab ekspertów. Akredytowana firma IT zajmie się sprawdzeniem czy wdrożone systemy są zbieżne z ustawą i normami PN-EN ISO/IEC 27001 oraz PN-EN ISO/IEC 22301. W razie braku dopełnienia tego obowiązku należy się liczyć z możliwością nałożenia kary, które sięgają kwot w wysokości 200 tys. zł.
Umów się na bezpłatną konsultację w sprawie obowiązkowego wdrożenia wynikającego z ustawy dla OUK z branży ochrony zdrowia.