28 sierpnia 2018 r. wejdzie w życie Ustawa o krajowym systemie cyberbezpieczeństwa. Jest to implementacja do polskiego systemu prawnego Dyrektywy NIS (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii), czyli pierwszego unijnego aktu prawnego kompleksowo regulującego kwestie bezpieczeństwa informatycznego państw członkowskich. Ustawa obejmuje swym działaniem kluczowe z punktu widzenia bezpieczeństwa państwa sektory, w tym ochronę zdrowia.
Jakie są skutki ustawy dla sektora medycznego?
Zgodnie z szacunkami Ministerstwa Cyfryzacji, sektor ochrony zdrowia będzie objęty regulacjami ustawy w bardzo szerokim zakresie. Ministerstwo przewiduje, że około 250 podmiotów medycznych działających na terenie całego kraju może zostać uznanych za operatorów usług kluczowych.
W żadnym innym sektorze nie będzie to nawet zbliżona liczba.
Załącznik do ustawy precyzuje, że tzw. „operatorem usług kluczowych” – czyli podmiotem zobowiązanym do stosowania ustawy – mogą być w sektorze ochrony zdrowia m.in. szpitale, hurtownie farmaceutyczne, producenci leków, a także dystrybutorzy i importerzy substancji czynnych. Ustawodawca wstępnie przewidział w uzasadnieniu projektu ustawy, że może ona dotyczyć 130 szpitali, 50 największych podmiotów prowadzących hurtownie farmaceutyczne, 50 największych podmiotów prowadzących apteki oraz 20 największych wytwórców, importerów lub dystrybutorów substancji czynnych.
Uznanie za operatora usług kluczowych będzie zależało od tego czy:
– podmiot świadczy usługę kluczową;
– świadczenie tej usługi zależy od systemów informacyjnych;
– incydent miałby istotny skutek zakłócający dla świadczenia usługi kluczowej przez tego operatora.
Decyzja o uznaniu za operatora usług kluczowych wydawana będzie przez Ministra Zdrowia do dnia 9 listopada 2018 r., na podstawie określonych w odpowiednim rozporządzeniu progów istotności.
Z projektu rozporządzenia wynika m.in, że np. w przypadku hurtowni farmaceutycznej decyzja będzie zależna od liczby posiadanych zezwoleń na prowadzenie hurtowni. W innych przypadkach próg może być uzależniony np. od liczby refundowanych w ciągu roku produktów leczniczych.
Zostałem uznany za operatora usług kluczowych – co teraz?
Podmioty uznane za operatorów usług kluczowych będą zobowiązane do wdrożenia odpowiednich rozwiązań organizacyjnych i technicznych. Operatorzy będą mieli odpowiednio – trzy miesiące, sześć miesięcy bądź rok na dostosowanie się do licznych obowiązków wynikających z ustawy. Obowiązki te będą obejmować m.in. mapowanie procesów, opracowanie dokumentacji i procedur, wyznaczenie osób odpowiedzialnych za cyberbezpieczeństwo, szkolenie personelu oraz podjęcie działań organizacyjno – technicznych. Oprócz tego konieczne będzie przeprowadzanie regularnych audytów cyberbezpieczeństwa.
Obowiązki operatorów zostały określone w rozporządzeniach wykonawczych do ustawy bardzo szczegółowo. W konsekwencji przedsiębiorcy będą musieli wdrożyć odpowiednie normy ISO, czy nawet stosować odpowiednie systemy przeciwwłamaniowe i przeciwpożarowe. Ponadto dodatkowe obowiązki mogą wiązać się również z działaniem sektorowych zespołów cyberbezpieczeństwa.
Obowiązki wynikające z ustawy będzie można realizować samodzielnie – wewnątrz organizacji, bądź zawierając odpowiednią umowę z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa.
Co mi grozi?
Niezależnie, czy powierzymy świadczenie usług z zakresu cyberbezpieczeństwa podmiotowi trzeciemu, czy podejmiemy się wykonania obowiązków samodzielnie, możemy spodziewać się dodatkowej kontroli ze strony Ministra Zdrowia lub Ministra Cyfryzacji. Podmioty te mogą przeprowadzać kontrole z zakresu cyberbezpieczeństwa i przekazywać zalecenia dotyczące usunięcia stwierdzonych nieprawidłowości.
Niestosowanie się do przepisów ustawy czy niewykonanie zaleceń pokontrolnych może mieć poważne konsekwencje finansowe. Katalog kar przewiduje nałożenie administracyjnej kary pieniężnej w wysokości od 15 000 zł do nawet 1 000 000 zł w zależności od rodzaju i wagi naruszenia przepisów. Karę taką będzie nakładać w drodze decyzji Minister Zdrowia.
Należy zwrócić uwagę, że odpowiedzialność ponosić mogą również kierownicy operatorów usług kluczowych. Kara taka może zostać wymierzona w wysokości do 200% miesięcznego wynagrodzenia takiej osoby.
Jak się przygotować?
W celu odpowiedniego przygotowania się do wejścia w życie ustawy warto już dziś zidentyfikować, czy istnieje możliwość, że moja organizacja zostanie uznana za operatora usługi kluczowej. Następnie warto dokonać przeglądu istniejących w przedsiębiorstwie systemów i procedur oraz przeanalizować stan cyberbezpieczeństwa.
Mapowanie ryzyk oraz weryfikacja istniejących zabezpieczeń i procedur pomoże przygotować się na wejście w życie ustawy, a w dalszej kolejności może uchronić firmę przed wysokimi karami.
Dziękuje bardzo za fajny wpis nie wiedziałem o takich wymaganiach w sektorze medycznym