Ministerstwo Zdrowia planuje zwolnić część szpitali z obowiązków cyberbezpieczeństwa

Obecnie nie podjęto jeszcze decyzji o zmianie przepisów, co oznacza, że szpitale funkcjonujące jako instytuty badawcze muszą przystosować się nowych obowiązków i wytycznych. Dyrektorzy wielu placówek podkreślają, iż często dochodzi do sytuacji, w których hakerzy próbują wykraść dane lub pieniądze za pomocą cyberataków.

Zgodnie z zapisami ustawy o cyberbezpieczeństwe, każdy szpital, który posiada oddział ratunkowy i należy do tzw. sieci, będzie zakwalifikowany jako operator usług kluczowych. Dla wielu placówek oznacza to dodatkowe koszty oraz obowiązki, ponieważ zostaną zobligowane do wdrażania regulacji związanych z cyberbezpieczeństwem, a także przeprowadzanie co dwa lata specjalistycznych audytów, których koszt może wynosić nawet 100 tysięcy złotych.

Jak podaje Krzysztof Jakubiak, rzecznik Ministerstwa Zdrowia, obecnie w resorcie analizowane są kwestie wyłączenia części podmiotów z krajowego systemu cyberbezpieczeństwa. W ten sposób nie byłyby one zaliczane do operatorów usług kluczowych. Jak tłumaczy przedstawiciel ministerstwa dla Prawo.pl – „Na dzień dzisiejszy nie została dokonana zmiana przepisów prawa, skutkująca wyłączeniem części potencjalnych operatorów usług kluczowych”.

Sprawę wyjaśnia Piotr Najbuk, prawnik Kancelarii Domański i Zakrzewski Palinka, stwierdzając, że aby zostać operatorem usług kluczowych niezbędne jest uzyskanie specjalnej decyzji administracyjnej. Zgodnie z procedurą, do 9 listopada 2018 roku minister zdrowia powinien zgłosić do resortu cyfryzacji listę placówek medycznych, które mają zostać wpisane do wykazu „operatorów usług kluczowych”.

Jak mówi Piotr Najbuk dla Prawo.pl – „Mimo, że w przypadku szpitali takich decyzji nie wydano, to i tak część z nich, ponieważ należy do krajowej sieci cyberbezpieczeństwa, będzie musiała spełnić wymagania określone w ustawie o cyberbezpieczeństwie. Niezależnie bowiem od kwalifikacji podmiotu, podstawowe obowiązki będą musiały spełniać instytuty badawcze, czyli m.in. Instytut Matki i Dziecka, Centrum Zdrowia Matki w Łodzi czy Instytut Fizjologii i Patologii Słuchu czy Centrum Onkologii”.

Dyrektorzy szpitali wyrażają niepokój związany z dodatkowymi obowiązkami. Dla Prawo.pl sprawę komentuje Artur Zawolski, partner i doradca prawny w Kancelarii Prawnej Michalak Kosicka Zawolski i Partnerzy Radcowie, zajmujący się placówkami medycznymi i szpitalami – „Wdrożenie przepisów o cyberbezpieczeństwie dla lecznic to nowe obciążenia pod względem finansowym (…) Przecież większość szpitali nie bilansuje kosztów z przychodami, a jednocześnie ciągnie się za nimi zadłużenie z poprzednich lat. Sytuację tą zapewne zauważył minister, i słusznie, planuje zmiany”.

W Instytucie Centrum Zdrowia Matki Polki w Łodzi prowadzona jest obecnie analiza zmian, jakie muszą zostać wdrożone w zakresie przepisów ustawy o cyberbezpieczeństwie. Prof. Maciej Banach, dyrektor placówki, podkreśla, że jego szpital jest narażony na incydenty i w związku z tym zagrożeniem pochwala rozwiązania, jakie mają zostać wprowadzone.

„Nasi informatycy co chwilę blokują kolejne strony, bo ktoś podszywa się pod adres mailowy kogoś z dyrekcji naszego szpitala i próbuje w ten sposób wyłudzić pieniądze (…) Jesteśmy na etapie liczenia kosztów związanych z wprowadzeniem tych przepisów (przyp. red. ustawy o cyberbezpieczeństwie). Nie patrzymy na to tylko jak na koszty, ponieważ te zmiany mogą pomóc nam ułatwić pracę i uchronić nas przed błędami i zaniedbaniami” – wyjaśnia dla Prawo.pl prof. Maciej Banach.

Obowiązki placówek medycznych

Ustawa o cyberbezpieczeństwie nakłada nowe oraz kosztowane obowiązki na szpitale. Mowa tutaj m.in. o obowiązku wdrożenia zarządzania bezpieczeństwem w infrastrukturze informatycznej. Jeśli dana lecznica znajdzie się na „liście operatorów usług kluczowych”, zostanie zobligowana do opracowania specjalistycznego dokumentu, odnoszącego się do zarządzania ryzykiem cyberbezpieczeństwa.

Zmiany dotyczą również kwestii organizacyjnych. W tym zakresie na placówki medyczne zostanie nałożony obowiązek wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z przedstawicielami krajowego systemu cyberbezpieczeństwa. Co więcej, będzie ona również zobligowana do zgłaszania oraz informowania o incydentach.

Dodatkowo, szpitale muszą poinformować pacjentów o zasadach cyberbezpieczeństwa, jakie zostały wdrożone w określonej placówce bez względu na miejsce, w jakim się znajduje (przychodnia czy oddział). Tego typu informacja ma zostać przekazana w przystępnej i zrozumiałej formie, jednak nie jest wymagana pisemna akceptacja przekazanych treści przez pacjenta.

Ustawa o cyberbezpieczeństwie precyzuje również konkretne terminy na wdrożenie poszczególnych zadań i procedur. Szpitale mają np. trzy miesiące od uzyskania decyzji o zakwalifikowaniu placówki jako operatora usług kluczowych na zagwarantowanie dostępu do wiedzy na temat cyberbezpieczeństwa. Ten sam okres został przewidziany na wprowadzenie systemu zarządzania bezpieczeństwem, a także wyznaczenie osoby odpowiedzialnej za informowanie o incydentach. Zgodnie z zapisami ustawy, placówki medyczne mają rok na przeprowadzenie specjalistycznego audytu.

Źródło: Prawo.pl