Do konsultacji publicznych trafił projekt ustawy o krajowym systemie cyberbezpieczeństwa. Nowa regulacja ma obejmować m.in. podmioty lecznicze.
Dyrektywa Parlamentu Europejskiego i Rady (UE)2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (tzw. dyrektywa NIS) zobowiązuje wszystkie państwa członkowskie UE do zagwarantowania minimalnego poziomu zdolności krajowych w dziedzinie cyberbezpieczeństwa. Do tej pory Polska przyjęła w kwietniu br. dokument strategiczny „Krajowe Ramy Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017– 2022„, w którym wskazywano na konieczność dostosowania krajowego otoczenia prawnego do potrzeb i wyzwań w obszarze cyberbezpieczeństwa.
Skierowany do konsultacji publicznych projekt ustawy ustanawia krajowy system cyberbezpieczeństwa, którego zadaniem jest zapewnienie niezakłóconego świadczenia usług kluczowych i usług cyfrowych oraz osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług.
Co szczególnie istotne w kontekście planów związanych z wprowadzeniem e-zdrowia w Polsce, do usług kluczowych zakwalifikowano usługi związane z ochroną zdrowia – regulacja obejmować będzie więc m.in. świadczeniodawców (w projektowanym załączniku wyodrębniono sektor „służba zdrowia”, w skład którego zaliczono podmioty lecznicze, o których mowa w art. 4 ust. 1 ustawy o działalności leczniczej).
Co to oznacza w praktyce?
Konieczność spełnienia przez podmioty lecznicze wszystkich obowiązków wynikających z nowej ustawy np. wdrożenia systemu zarządzania bezpieczeństwem czy przeprowadzania co najmniej raz na dwa lata audytu bezpieczeństwa teleinformatycznego.
Za brak realizacji obowiązków wynikających z ustawy przewidziano administracyjne kary pieniężne, których wysokość zależy od skali zaniedbań – do 1 tys. lub do 100 tys. zł. Uporczywe naruszanie przepisów ustawy, które powoduje bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla m.in. życia i zdrowia ludzi zagrożone jest karą 200 tys. zł.
O tym, jak ważne jest cyberbezpieczeństwo w ochronie zdrowia wskazywaliśmy w raporcie „Cyberbezpieczeństwo w ochronie zdrowia” przygotowanym we współpracy z firmą Microsoft. Nasz materiał na ten temat ukazał się także w dzisiejszym wydaniu Tygodnika Gazety Prawnej.