NIS2 pro zdravotnické organizace
Zdravotnictví je zařazeno pod přílohu I NIS2, což z nemocnic a zdravotnických zařízení činí zásadní subjekty s nejvyššími požadavky na soulad. Zde je váš praktický průvodce.
Proč se NIS2 vztahuje na zdravotnictví?
Zdravotnictví bylo jedním z nejčastěji napadaných sektorů kyberútoky už před NIS2. Kombinace citlivých dat pacientů, životně důležitých systémů a často zastaralé IT infrastruktury činí z nemocnic a klinik atraktivní cíle. Útok ransomware na Univerzitní kliniku v Düsseldorfu v roce 2020, který vynutil uzavření pohotovosti a odklony pacientů, ukázal, že kyberútoky na zdravotnictví mohou přímo ohrozit lidské životy. NIS2 kodifikuje to, co sektor už ví: bezpečnost IT ve zdravotnictví je bezpečnost pacientů.
EU zařadila zdravotnictví pod přílohu I (sektory vysoké kritičnosti) směrnice NIS2, která pokrývá nemocnice, referenční laboratoře, výrobu léčiv a výrobce zdravotnických prostředků. Velké zdravotnické subjekty (250+ zaměstnanců) jsou podle §28 odst. 1 BSIG zařazeny mezi „zásadní subjekty“. Střední subjekty (50 až 249 zaměstnanců) jsou „wichtige Einrichtungen“ (důležité subjekty). Zásadní subjekty čelí proaktivnímu dozoru BSI: BSI vás může auditovat kdykoli, aniž by nejprve potřebovalo náznak nesouladu.
Zdravotnictví již nyní působí pod přísnými pravidly ochrany dat (GDPR, mlčenlivost o pacientech) a sektorovou regulací (KHZG, BSI KRITIS u větších nemocnic). NIS2 přidává vrstvu systematického řízení kybernetické bezpečnosti: nejde jen o ochranu dat pacientů, ale o zabezpečení celé IT infrastruktury, která zajišťuje péči. Pokud vám vypadne HIS, nedostanete se ke zdravotní dokumentaci. Pokud selže PACS, zastaví se radiologie. Pokud jsou kompromitovány zdravotnické prostředky, je ohrožena bezpečnost pacientů. NIS2 vyžaduje, abyste všechna tato rizika posoudili a řídili.
Nemocniční informační systém (HIS/KIS)
Centrální klinický systém: zdravotní dokumentace, příjmy, plánování, klinická dokumentace, objednávání a fakturace. Systémy jako SAP IS-H, Dedalus ORBIS, Agfa HealthCare ORBIS nebo iMedOne. Jde o jediné nejkritičtější IT aktivum. Pokud je HIS mimo provoz, klinický provoz se vrací k papíru a kvalita péče okamžitě klesá. Jedna položka aktiva.
PACS a zobrazovací systémy
Systémy pro archivaci a komunikaci obrazu (PACS) ukládají a distribuují zdravotnické snímky (rentgen, CT, MRI, ultrazvuk). Těsně integrované s HIS přes DICOM/HL7. Systémy jako Sectra, Agfa Enterprise Imaging nebo Philips IntelliSpace. PACS ukládá obrovské objemy dat a často je propojen se zobrazovacími modalitami po celém zařízení. Kompromitace může zablokovat radiologii a diagnostiku.
Síťové zdravotnické prostředky
Monitory pacientů, infuzní pumpy, ventilátory, chirurgické roboty a diagnostické přístroje připojené k nemocniční síti. Mnohé běží na vestavěných operačních systémech (Windows CE, varianty Linuxu) s omezenými možnostmi aktualizace. Omezení certifikace FDA/MDR mohou bránit záplatování. Seskupujte podle typu prostředku, například „35 monitorů pacientů (Philips IntelliVue)“ je jedna položka. Tyto prostředky vyžadují zvláštní bezpečnostní zacházení kvůli regulatorním omezením.
Laboratorní informační systém (LIS)
Systémy spravující laboratorní procesy: sledování vzorků, objednávání testů, vykazování výsledků a kontrola kvality. Propojené s analyzátory a HIS. LIS přímo ovlivňuje dobu obratu diagnostiky. Pokud je LIS kompromitován, laboratorní výsledky nelze ověřit ani sdělit, což může zdržet rozhodnutí o léčbě.
Síťová infrastruktura
Klinická síť propojující HIS, PACS, zdravotnické prostředky a administrativní systémy. Zahrnuje drátovou i bezdrátovou infrastrukturu, firewally, segmentaci sítě mezi klinickými a administrativními zónami a VPN pro vzdálený přístup. Segmentace sítě je ve zdravotnictví klíčová: zdravotnické prostředky, klinické systémy, hostovská Wi-Fi a administrativní IT by měly být v oddělených síťových segmentech.
Koncové body a administrativní IT
Klinické pracovní stanice, sesterny, kancelářské počítače a mobilní zařízení (tablety pro vizity, chytré telefony). Standardní kancelářské aplikace, e-mail a komunikační nástroje. Grundschutz umožňuje seskupování: „120 klinických pracovních stanic (tencí klienti)“ je jedna položka. Pokud se používá pro klinickou komunikaci, zahrňte správu mobilních zařízení (MDM) jako seskupené aktivum.
1. Zaregistrujte se u BSI
Dokončete registraci podle §33 BSIG. Zdravotnické subjekty zařazené mezi zásadní čelí proaktivnímu dozoru BSI, což znamená, že vás BSI může auditovat kdykoli. Být zaregistrován a prokazovat aktivní práci na souladu vás staví do mnohem lepší pozice, než když vás při auditu objeví jako neregistrovaného.
2. Vybudujte evidenci aktiv
Sepište všechny systémy podporující klinickou péči, diagnostiku a administrativu. Zvláštní pozornost věnujte síťovým zdravotnickým prostředkům: mnoho zdravotnických organizací nemá úplnou evidenci prostředků připojených k jejich síti. Projděte oddělení, ověřte u biomedicínského inženýrství a zdokumentujte, co je připojeno. Nemůžete zabezpečit to, o čem nevíte, že existuje.
3. Zaveďte ohlašování incidentů
Incidenty kybernetické bezpečnosti ve zdravotnictví mohou ohrozit život. Váš plán reakce na incidenty musí počítat s klinickým dopadem: které systémy mohou fungovat v omezeném režimu, jaké existují ruční záložní postupy, kdy odklánět pacienty a kdo o tom rozhoduje. Souběžně zaveďte ohlašovací řetězec BSI (24 h / 72 h / 1 měsíc) i interní klinický eskalační řetězec.
4. Posilte řízení přístupu
Zdravotnictví má jedinečnou výzvu v řízení přístupu: lékaři potřebují v časově kritických situacích rychlý přístup k datům pacientů, ale široký přístup vytváří riziko. Zaveďte řízení přístupu na základě rolí (RBAC) pro HIS, vynucujte MFA pro vzdálený přístup a administrátorské účty, provádějte čtvrtletní revize přístupů a zajistěte, aby odešlým zaměstnancům byl přístup neprodleně odňat. Postupy nouzového přístupu („break glass“) by měly být zdokumentovány a auditovány.
5. Šifrujte data pacientů
Data pacientů patří mezi nejcitlivější kategorie dat podle GDPR i NIS2. Zaveďte šifrování při ukládání u databází obsahujících zdravotní dokumentaci a šifrování při přenosu u všech toků klinických dat. Snímky PACS, zprávy HL7/FHIR a laboratorní výsledky by měly putovat šifrovaně. Zdokumentujte své šifrovací standardy a postupy správy klíčů: jde o konkrétní požadavek §30.
Zdravotnictví čelí napětí mezi bezpečností a klinickým provozem, které žádný jiný sektor nezažívá ve stejné intenzitě. Uzamčený systém vyžadující 30 sekund přihlášení na každé pracovní stanici stojí čas na pohotovosti, kde rozhodují sekundy. Soulad s NIS2 ve zdravotnictví vyžaduje najít správnou rovnováhu: silné zabezpečení pro administrativní a vzdálený přístup, zjednodušený, ale auditovaný přístup pro klinické postupy a postupy nouzového obejití, které jsou zaznamenávány a revidovány.
Síťové zdravotnické prostředky jsou největší nevyřešenou výzvou sektoru. Monitor pacienta z roku 2018 může běžet na vestavěném OS, který výrobce již nezáplatuje. Certifikace FDA/MDR znamená, že nemůžete upravit software prostředku bez recertifikace. Odpovědí jsou kompenzační opatření: segmentace sítě (izolujte zdravotnické prostředky na vlastní VLAN), monitorování provozu, omezená komunikace (prostředky komunikují jen se systémy, které potřebují) a plánování životního cyklu. Vše zdokumentujte. BSI omezení zdravotnických prostředků chápe a kompenzační opatření hodnotí jako platná.
Zdravotnické organizace, které již byly součástí KRITIS (podle původní BSI-KritisV), mají výrazný náskok. Požadavky KRITIS se s NIS2 podstatně překrývají. Pokud máte doklady z auditu KRITIS, použijte je jako základ a rozšiřte je o další požadavky NIS2: formální dokumentaci odpovědnosti vedení (§38), hodnocení bezpečnosti dodavatelského řetězce a konkrétní lhůty pro ohlašování incidentů. Pro zdravotnické organizace mimo KRITIS jsou požadavky NIS2 prvním setkáním se strukturovanou regulací kybernetické bezpečnosti. Začněte čtyřtýdenním plánem a přizpůsobte jej svému klinickému prostředí.
Často kladené otázky
Jsme nemocnice s 200 lůžky. Jsme zásadní, nebo důležitý subjekt?
Zdravotnictví spadá pod přílohu I (sektory vysoké kritičnosti). Pokud má vaše nemocnice 250 nebo více zaměstnanců, jste zařazeni mezi zásadní subjekty. S méně než 250, ale více než 50 zaměstnanci jste důležitý subjekt. Pokud jste již zařazeni jako KRITIS (kritická infrastruktura), jste automaticky zásadní bez ohledu na velikost. Zásadní subjekty čelí proaktivnímu dozoru BSI a vyššímu stupni pokut (až 10 milionů eur).
Nemůžeme záplatovat své zdravotnické prostředky. Jak dosáhneme souladu s NIS2?
NIS2 vyžaduje „vhodná a přiměřená“ opatření, nikoli nemožná. U zdravotnických prostředků, které nelze záplatovat kvůli omezením výrobce nebo regulace: zdokumentujte riziko ve svém hodnocení rizik, zaveďte kompenzační opatření (segmentace sítě, monitorování provozu, omezená komunikace), zahrňte toto omezení do hodnocení dodavatele u výrobce prostředku a veďte plán životního cyklu pro případnou výměnu. BSI výslovně uznává, že prostředí OT a zdravotnických prostředků vyžadují přizpůsobené bezpečnostní přístupy.
Pokrývá soulad s GDPR už nyní naše povinnosti NIS2 ohledně dat pacientů?
GDPR pokrývá ochranu dat (soukromí, souhlas, zákonnost zpracování), zatímco NIS2 pokrývá bezpečnostní infrastrukturu, která tato data chrání. Doplňují se, ale nenahrazují. Váš soulad s GDPR znamená, že rozumíte tokům dat a máte záznamy o zpracování, což pomáhá. NIS2 přidává: systematické řízení rizik pro IT systémy zpracovávající tato data, ohlašování incidentů BSI (nikoli jen úřadu pro ochranu osobních údajů), bezpečnost dodavatelského řetězce u IT dodavatelů a odpovědnost vedení za opatření kybernetické bezpečnosti.
Jak NIS2 souvisí s financováním z KHZG (zákon o budoucnosti nemocnic)?
KHZG financovalo modernizaci IT v německých nemocnicích včetně investic do bezpečnosti IT. Pokud vaše nemocnice obdržela financování z KHZG na projekty kybernetické bezpečnosti, tyto investice pravděpodobně pokrývají některé požadavky NIS2. KHZG však bylo o investicích, nikoli o průběžném řízení souladu. NIS2 vyžaduje nepřetržité řízení rizik, pravidelné revize, procesy ohlašování incidentů a dohled vedení: to jsou provozní postupy, nikoli jednorázové projekty. Použijte investice z KHZG jako technický základ a nad ním vybudujte rámec řízení NIS2.