Ministerstwo Zdrowia planuje zwolnić część szpitali z obowiązków cyberbezpieczeństwa

4 stycznia 2019, 14:44
surgery-1822458_960_720
Fot. sasint/Pixabay

Ministerstwo Zdrowia planuje wyłączenie części szpitali z krajowego systemu cyberbezpieczeństwa. W ten sposób placówki medyczne nie byłyby zaliczane do operatorów usług kluczowych, a przez to nie ponosiłyby dodatkowych kosztów związanych ze specjalistycznymi wymaganiami.

Obecnie nie podjęto jeszcze decyzji o zmianie przepisów, co oznacza, że szpitale funkcjonujące jako instytuty badawcze muszą przystosować się nowych obowiązków i wytycznych. Dyrektorzy wielu placówek podkreślają, iż często dochodzi do sytuacji, w których hakerzy próbują wykraść dane lub pieniądze za pomocą cyberataków.

Zgodnie z zapisami ustawy o cyberbezpieczeństwe, każdy szpital, który posiada oddział ratunkowy i należy do tzw. sieci, będzie zakwalifikowany jako operator usług kluczowych. Dla wielu placówek oznacza to dodatkowe koszty oraz obowiązki, ponieważ zostaną zobligowane do wdrażania regulacji związanych z cyberbezpieczeństwem, a także przeprowadzanie co dwa lata specjalistycznych audytów, których koszt może wynosić nawet 100 tysięcy złotych.

Jak podaje Krzysztof Jakubiak, rzecznik Ministerstwa Zdrowia, obecnie w resorcie analizowane są kwestie wyłączenia części podmiotów z krajowego systemu cyberbezpieczeństwa. W ten sposób nie byłyby one zaliczane do operatorów usług kluczowych. Jak tłumaczy przedstawiciel ministerstwa dla Prawo.pl – „Na dzień dzisiejszy nie została dokonana zmiana przepisów prawa, skutkująca wyłączeniem części potencjalnych operatorów usług kluczowych”.

Sprawę wyjaśnia Piotr Najbuk, prawnik Kancelarii Domański i Zakrzewski Palinka, stwierdzając, że aby zostać operatorem usług kluczowych niezbędne jest uzyskanie specjalnej decyzji administracyjnej. Zgodnie z procedurą, do 9 listopada 2018 roku minister zdrowia powinien zgłosić do resortu cyfryzacji listę placówek medycznych, które mają zostać wpisane do wykazu „operatorów usług kluczowych”.

Jak mówi Piotr Najbuk dla Prawo.pl – „Mimo, że w przypadku szpitali takich decyzji nie wydano, to i tak część z nich, ponieważ należy do krajowej sieci cyberbezpieczeństwa, będzie musiała spełnić wymagania określone w ustawie o cyberbezpieczeństwie. Niezależnie bowiem od kwalifikacji podmiotu, podstawowe obowiązki będą musiały spełniać instytuty badawcze, czyli m.in. Instytut Matki i Dziecka, Centrum Zdrowia Matki w Łodzi czy Instytut Fizjologii i Patologii Słuchu czy Centrum Onkologii”.

Dyrektorzy szpitali wyrażają niepokój związany z dodatkowymi obowiązkami. Dla Prawo.pl sprawę komentuje Artur Zawolski, partner i doradca prawny w Kancelarii Prawnej Michalak Kosicka Zawolski i Partnerzy Radcowie, zajmujący się placówkami medycznymi i szpitalami – „Wdrożenie przepisów o cyberbezpieczeństwie dla lecznic to nowe obciążenia pod względem finansowym (…) Przecież większość szpitali nie bilansuje kosztów z przychodami, a jednocześnie ciągnie się za nimi zadłużenie z poprzednich lat. Sytuację tą zapewne zauważył minister, i słusznie, planuje zmiany”.

W Instytucie Centrum Zdrowia Matki Polki w Łodzi prowadzona jest obecnie analiza zmian, jakie muszą zostać wdrożone w zakresie przepisów ustawy o cyberbezpieczeństwie. Prof. Maciej Banach, dyrektor placówki, podkreśla, że jego szpital jest narażony na incydenty i w związku z tym zagrożeniem pochwala rozwiązania, jakie mają zostać wprowadzone.

„Nasi informatycy co chwilę blokują kolejne strony, bo ktoś podszywa się pod adres mailowy kogoś z dyrekcji naszego szpitala i próbuje w ten sposób wyłudzić pieniądze (…) Jesteśmy na etapie liczenia kosztów związanych z wprowadzeniem tych przepisów (przyp. red. ustawy o cyberbezpieczeństwie). Nie patrzymy na to tylko jak na koszty, ponieważ te zmiany mogą pomóc nam ułatwić pracę i uchronić nas przed błędami i zaniedbaniami” – wyjaśnia dla Prawo.pl prof. Maciej Banach.

Obowiązki placówek medycznych

Ustawa o cyberbezpieczeństwie nakłada nowe oraz kosztowane obowiązki na szpitale. Mowa tutaj m.in. o obowiązku wdrożenia zarządzania bezpieczeństwem w infrastrukturze informatycznej. Jeśli dana lecznica znajdzie się na „liście operatorów usług kluczowych”, zostanie zobligowana do opracowania specjalistycznego dokumentu, odnoszącego się do zarządzania ryzykiem cyberbezpieczeństwa.

Zmiany dotyczą również kwestii organizacyjnych. W tym zakresie na placówki medyczne zostanie nałożony obowiązek wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z przedstawicielami krajowego systemu cyberbezpieczeństwa. Co więcej, będzie ona również zobligowana do zgłaszania oraz informowania o incydentach.

Dodatkowo, szpitale muszą poinformować pacjentów o zasadach cyberbezpieczeństwa, jakie zostały wdrożone w określonej placówce bez względu na miejsce, w jakim się znajduje (przychodnia czy oddział). Tego typu informacja ma zostać przekazana w przystępnej i zrozumiałej formie, jednak nie jest wymagana pisemna akceptacja przekazanych treści przez pacjenta.

Ustawa o cyberbezpieczeństwie precyzuje również konkretne terminy na wdrożenie poszczególnych zadań i procedur. Szpitale mają np. trzy miesiące od uzyskania decyzji o zakwalifikowaniu placówki jako operatora usług kluczowych na zagwarantowanie dostępu do wiedzy na temat cyberbezpieczeństwa. Ten sam okres został przewidziany na wprowadzenie systemu zarządzania bezpieczeństwem, a także wyznaczenie osoby odpowiedzialnej za informowanie o incydentach. Zgodnie z zapisami ustawy, placówki medyczne mają rok na przeprowadzenie specjalistycznego audytu.

Źródło: Prawo.pl 

KomentarzeLiczba komentarzy: 4
Darek
niedziela, 6 stycznia 2019, 00:27

aż któregoś dnia pacjenci zaczną umierać, bo ktoś zmienił dawkowania leków, wyniki badań, historie choroby itd. skutkiem jednego takiego incydentu, będzie całkowity powrót do dokumentacji papierowej, gdyż wszyscy będą się obawiać, że dane są zafałszowane. banalnie prosta strategia "antydostępowa"

lekarz
sobota, 5 stycznia 2019, 10:26

Jak zwykle sejm i ministerstwo zdrowia nakłada czasochłonne i kosztowne zupełnie zbędne w leczeniu obowiązki informatyzacyjne nie dając na nie pieniędzy. Zabrać dyrektor placówki może tylko z płac i leczenia. Czy naprawdę nie można zrozumieć że w Polsce jest coraz mniej lekarzy na tysiąc pacjentów a zajmuje się im coraz więcej czasu zbędnymi obowiązkami. Musi się to odbić na jakości leczenia czyli zwiększonej śmiertelności wśród pacjentów.

Lekarz
sobota, 5 stycznia 2019, 10:09

Oczywiście nikt nie dostrzega, że tzw. informatyzacja służby zdrowia to tylko po prostu robota cwaniaków z firm informatycznych wymuszających poprzez ustawy sejmowe i zarządzenia Ministerstwa Zdrowia ( tzw. lobbing - każdy wie o co chodzi ) korzystanie z zupełnie niepotrzebnego oprogramowania. To co rzeczywiście pomaga w pracy ( np. sprzęt specjalistyczny skomputeryzowany nie wymaga połączenia z internetem ). Przed erą informatyzacji rozmawiałem z pacjentem, badałem go, informowałem jak ma postępować. Teraz sprawdzam ewuś, PESEL, i stukam w klawiaturę wpatrzony w ekran a w nie w pacjenta. Oczywiście na takie drobiazgi, wobec "niezbędnej" informatyzacji, jak porządnie zebrany wywiad, badanie pacjenta czy zwyczajne ludzkie porozmawianie nie ma czasu.

wiek
piątek, 4 stycznia 2019, 17:44

Tjaa, jak zwykle myślenie doraźne; TERAZ najtaniej wyjdzie zwolnić - a potem wielki płacz, gdy koszty likwidacji incydentu przewyższą prognozowane nakłady na security. I twierdzenia typu "tego nie dało się przewidzieć" (po zignorowaniu uwag od osób, które bez trudu to przewidziały).