Kiedy europejskie organy regulacyjne mówią o cyberbezpieczeństwie, lekarze i dyrektorzy szpitali nie zawsze czują się pilnie. Ich dni wypełnione są obłożeniem łóżek, brakami kadrowymi i wściekłymi drukarkami, a nie zagrożeniami. Jednak nowa dyrektywa Unii Europejskiej - NIS2 - ma zamiar wciągnąć ponad tysiąc podmiotów opieki zdrowotnej w samej Polsce w bardziej rygorystyczny, wysoce sformalizowany system bezpieczeństwa cyfrowego.
Podczas niedawnego spotkania zorganizowanego przez Medical Innovation Institute i BioForum, prawnicy, specjaliści IT i liderzy opieki zdrowotnej próbowali odpowiedzieć na proste pytanie o skomplikowanych konsekwencjach: czy sektor jest gotowy?
Krótka odpowiedź: jeszcze nie.
Nowa dyrektywa, stary problem
NIS2 to zaktualizowane unijne ramy ochrony infrastruktury krytycznej przed cyberzagrożeniami. W Polsce jego wdrożenie nastąpi poprzez zmiany w ustawie o Krajowym Systemie Cyberbezpieczeństwa, rozszerzające jego zasięg na 18 sektorów, w tym szeroki zakres podmiotów świadczących opiekę zdrowotną. Dla wielu szpitali i klinik będzie to moment, w którym cyberbezpieczeństwo przestanie być “miłym dodatkiem”, a stanie się prawnym obowiązkiem.
Jednak, jak Monika Woźniak-Cichuta KRK Legal, świadomość w placówkach medycznych jest wciąż niska. Cyberbezpieczeństwo jest często postrzegane jako kwestia działu IT, a nie kwestia strategiczna. Argumentowała, że to musi się zmienić. NIS2 wymaga nie tylko nowych zapór ogniowych; wymaga innego sposobu myślenia o ryzyku, odpowiedzialności i raportowaniu.
Zmiana ta nie będzie tania. Będzie wymagać inwestycji w szkolenie, w wyspecjalizowany personel IT i, co najważniejsze, czasu - zasobu, którego wielu szpitalom już brakuje.
Od polityki do praktyki
Gdyby NIS2 pozostała na papierze, rozmowa byłaby prostsza. Ale dyrektywa ląduje w świecie starych systemów, złożonych przepływów pracy i napiętych budżetów.
Marta Chalimoniuk-Nowak z Europejskiej Fundacji Innowacji podkreślił, że szpitale potrzebują czegoś więcej niż jednorazowych poprawek. To, co jest wymagane, to długoterminowa strategia cyberbezpieczeństwaUwierzytelnianie wieloskładnikowe jako standard, regularne aktualizacje krytycznego oprogramowania i kultura, w której łatanie nie jest opcjonalnym “projektem IT”, ale rutynową konserwacją dla całej organizacji.
Na froncie technicznym, Rafał Dunal CloudiMed wskazał na zbliżającą się falę audyty i aktualizacje oprogramowania. Wiele placówek odkryje, że ich systemy są nie tylko podatne na zagrożenia, ale także trudne do zmodernizowania bez zakłócania pracy klinicznej. Aktualizacja może oznaczać negocjacje z dostawcami, planowanie przestojów i znalezienie pieniędzy na licencje i sprzęt - wszystko na raz.
Zanim do tego dojdzie, jak Michał Czarnuch Kancelaria Czarnuch przypomniała uczestnikom, że każda organizacja musi odpowiedzieć sobie na podstawowe pytanie: Czy faktycznie podlegamy nowym zasadom? A jeśli tak, to co dokładnie musimy zrobić? Dla wielu menedżerów pierwszym wyzwaniem jest po prostu zrozumienie mapy.
RODO Déjà Vu - z niespodzianką
Dla tych, którzy przeszli przez wprowadzenie unijnego prawa o ochronie danych (RODO/GDPR), wszystko to wydaje się znajome. Michał Bieńkowski STOMOZ otwarcie porównał: po raz kolejny szpitale są proszone o dostosowanie się do nowego reżimu regulacyjnego opartego na analizie ryzyka i dokumentacji.
Tym razem jednak nacisk jest szerszy. NIS2 dotyczy nie tylko danych osobowych; dotyka również dostępność systemów, w ciągłość usług i odporność całych organizacji.
Kilku mówców stwierdziło, że sektor potrzebuje kodeks dobrych praktykWspólne, praktyczne odniesienie, które przekształca abstrakcyjne wymogi prawne w konkretne kroki, które szpital może faktycznie wykonać. Dr hab. Bogdan Księżopolski z Akademii Leona Koźmińskiego zasugerował, że przy odpowiednim podejściu NIS2 może stać się szansą - dźwignią do podniesienia ogólnego standardu cyberbezpieczeństwa w polskiej służbie zdrowia, a nie tylko kolejnym obciążeniem administracyjnym.
Sprzedawcy, finansowanie i szerszy ekosystem
Dostawcy usług opieki zdrowotnej nie będą wdrażać NIS2 samodzielnie.
Po stronie branży, Patryk Kozłowski z Comarch Healthcare wyraził ostrożny optymizm, że finansowanie publiczne może pomóc szpitalom zapłacić za narzędzia i procesy, których będą teraz potrzebować. Ostrzegł jednak, że pieniądze nie rozwiążą wszystkich problemów. Prawdziwym wyzwaniem jest dostosowanie technologii, procesów i ludzi.
Z perspektywy firmy zajmującej się cyfrową opieką zdrowotną, Paweł Paczuski z Upmedic wskazał na trudności związane z dostosowaniem wewnętrznych procesów do rygorystycznych standardów bezpieczeństwa przy jednoczesnym dostarczaniu produktów z prędkością startupu.
Sprzedawcy systemów medycznych i informatycznych sami znajdują się pod presją. Wojciech Komnata z Nivalit przypomniał publiczności, że producenci muszą dostosować swoje produkty w celu zapewnienia zgodności z nowymi przepisami. Innymi słowy, NIS2 to nie tylko historia szpitala - zmienia ona cały łańcuch dostaw technologii opieki zdrowotnej.
Po stronie doradztwa, Michał Sosinka z Deloitte podkreślił rosnące znaczenie zintegrowane systemy zgłaszania incydentów i lepsza koordynacja informacji dotyczących cyberbezpieczeństwa. Fragmentaryczne raportowanie i silosowe reakcje nie wystarczą w środowisku, w którym atakujący przemieszczają się szybko i ponad granicami.
Kierownictwo nie może już dłużej odwracać wzroku
Być może najbardziej niepokojąca wiadomość dla wielu organizacji pochodziła od Dariusz Piaścik Sagenso.com. NIS2 wyraźnie wymaga zaangażowanie na poziomie kierownictwa w cyberbezpieczeństwie. Zarządy i kadra kierownicza nie będą w stanie całkowicie zlecić odpowiedzialności działom IT lub zewnętrznym dostawcom.
Dla niektórych instytucji będzie to szok kulturowy. Cyberbezpieczeństwo stanie się teraz obok finansów i jakości medycznej tematem wymagającym regularnego raportowania, podejmowania decyzji i odpowiedzialności na najwyższym szczeblu.
Na poziomie polityki, Jakub Kulesza z Forum na rzecz Prawa i Rozwoju wezwał zainteresowane strony do wzięcia udziału w konsultacje społeczne. Sposób, w jaki dyrektywa zostanie zapisana w prawie krajowym, wpłynie na to, jak duże lub wykonalne będzie obciążenie dla szpitali i sprzedawców.
Wreszcie, Jakub Betka Conexus Law & Consulting przypomniał wszystkim, że podobnie jak RODO, NIS2 jest zbudowany wokół analiza ryzyka. Różnica polega na zakresie: soczewka obejmuje teraz nie tylko ochronę danych, ale także bezpieczeństwo informacji i ciągłość działania.
NIS2 nie sprawi, że szpitale w magiczny sposób staną się bezpieczne przed cyberatakami. Żadna dyrektywa tego nie zrobi. To, co może zrobić, to wymusić rozmowę, którą wiele organizacji odkładało zbyt długo: Jak chronić systemy, które obecnie stanowią podstawę niemal każdego aspektu opieki? Kto ponosi odpowiedzialność, gdy coś pójdzie nie tak? I jak zapewnić, że bezpieczeństwo stanie się rutynową częścią prowadzenia szpitala, a nie tylko projektem “kiedy będziemy mieli czas”?
Odpowiedzi nie będą łatwe ani tanie. Jednak w miarę jak coraz większa część opieki zdrowotnej przenosi się do Internetu, koszty ignorowania tych pytań będą prawdopodobnie znacznie wyższe.