NIS2 para Organizações de Saúde
A saúde está classificada no Anexo I do NIS2, tornando hospitais e estabelecimentos médicos entidades essenciais com os requisitos de conformidade mais exigentes. Este é o seu guia prático.
Porque É Que o NIS2 Se Aplica à Saúde?
A saúde já era um dos setores mais visados por ciberataques antes do NIS2. A combinação de dados sensíveis de doentes, sistemas críticos para a vida e infraestrutura de TI muitas vezes desatualizada torna hospitais e clínicas alvos atrativos. O ataque de ransomware ao Hospital Universitário de Düsseldorf em 2020, que forçou o encerramento de urgências e o desvio de doentes, demonstrou que os ciberataques à saúde podem ameaçar diretamente vidas. O NIS2 codifica o que o setor já sabe: a segurança das TI na saúde é segurança do doente.
A UE classificou a saúde no Anexo I (setores de elevada criticidade) da Diretiva NIS2, abrangendo hospitais, laboratórios de referência, fabrico farmacêutico e fabricantes de dispositivos médicos. As grandes entidades de saúde (250 ou mais trabalhadores) são classificadas como entidades essenciais nos termos da Secção 28(1) BSIG. As entidades médias (50 a 249 trabalhadores) são wichtige Einrichtungen (entidades importantes). As entidades essenciais enfrentam supervisão proativa do BSI: o BSI pode auditá-lo a qualquer momento, sem necessitar primeiro de prova de incumprimento.
A saúde já opera sob regras rigorosas de proteção de dados (GDPR, confidencialidade do doente) e regulação específica do setor (KHZG, BSI KRITIS para hospitais maiores). O NIS2 acrescenta uma camada sistemática de gestão da cibersegurança: não apenas proteger os dados dos doentes, mas garantir a segurança de toda a infraestrutura de TI que presta os cuidados. Se o seu HIS cair, não consegue aceder aos registos dos doentes. Se o seu PACS falhar, a radiologia para. Se os seus dispositivos médicos forem comprometidos, a segurança do doente fica em risco. O NIS2 exige que avalie e faça a gestão de todos estes riscos.
Sistema de Informação Hospitalar (HIS/KIS)
O sistema clínico central: registos de doentes, admissões, agendamento, documentação clínica, prescrição e faturação. Sistemas como SAP IS-H, Dedalus ORBIS, Agfa HealthCare ORBIS ou iMedOne. Este é o ativo de TI mais crítico de todos: se o HIS estiver em baixo, as operações clínicas regressam ao papel e a qualidade dos cuidados cai de imediato. Uma entrada de ativo.
PACS e sistemas de imagem
Os Picture Archiving and Communication Systems armazenam e distribuem imagens médicas (raio-X, TC, RM, ecografia). Estreitamente integrados com o HIS através de DICOM/HL7. Sistemas como Sectra, Agfa Enterprise Imaging ou Philips IntelliSpace. O PACS armazena enormes quantidades de dados e está frequentemente ligado a modalidades de imagem por todo o estabelecimento. O seu comprometimento pode bloquear a radiologia e o diagnóstico.
Dispositivos médicos em rede
Monitores de doentes, bombas de perfusão, ventiladores, robôs cirúrgicos e equipamento de diagnóstico ligados à rede hospitalar. Muitos executam sistemas operativos embutidos (Windows CE, variantes de Linux) com capacidades de atualização limitadas. As restrições de certificação FDA/MDR podem impedir a aplicação de patches. Agrupe por tipo de dispositivo: por exemplo, '35 monitores de doentes (Philips IntelliVue)' é uma entrada. Estes exigem tratamento de segurança especial devido a restrições regulatórias.
Sistema de informação laboratorial (LIS)
Sistemas que gerem os fluxos de trabalho laboratoriais: rastreio de amostras, prescrição de análises, comunicação de resultados e controlo de qualidade. Ligados aos analisadores e ao HIS. O LIS afeta diretamente os tempos de resposta do diagnóstico. Se o LIS for comprometido, os resultados laboratoriais não podem ser verificados nem comunicados, podendo atrasar decisões de tratamento.
Infraestrutura de rede
A rede clínica que liga o HIS, o PACS, os dispositivos médicos e os sistemas administrativos. Inclui infraestrutura com e sem fios, firewalls, segmentação de rede entre zonas clínicas e administrativas, e VPN para acesso remoto. A segmentação de rede é crítica na saúde: dispositivos médicos, sistemas clínicos, Wi-Fi de visitantes e TI administrativa devem estar em segmentos de rede separados.
Postos de trabalho e TI administrativa
Postos de trabalho clínicos, estações de enfermagem, PC de escritório e dispositivos móveis (tablets para visitas às enfermarias, smartphones). Aplicações de escritório padrão, correio eletrónico e ferramentas de comunicação. O Grundschutz permite agrupar: '120 postos de trabalho clínicos (thin clients)' é uma entrada. Inclua a gestão de dispositivos móveis (MDM) como ativo agrupado se for usada para comunicação clínica.
1. Registe-se junto do BSI
Complete o seu registo nos termos da Secção 33 BSIG. As entidades de saúde classificadas como essenciais enfrentam supervisão proativa do BSI, o que significa que o BSI pode auditá-lo a qualquer momento. Estar registado e demonstrar trabalho ativo de conformidade coloca-o numa posição muito melhor do que ser descoberto como não registado durante uma auditoria.
2. Construa o seu inventário de ativos
Liste todos os sistemas que suportam os cuidados clínicos, o diagnóstico e a administração. Preste especial atenção aos dispositivos médicos em rede: muitas organizações de saúde não têm um inventário completo dos dispositivos ligados à sua rede. Percorra os pisos, verifique com a engenharia biomédica e documente o que está ligado. Não consegue proteger o que não sabe que existe.
3. Estabeleça o reporte de incidentes
Os incidentes de cibersegurança na saúde podem pôr vidas em risco. O seu plano de resposta a incidentes tem de ter em conta o impacto clínico: que sistemas podem operar em modo degradado, que procedimentos manuais de recurso existem, quando desviar doentes e quem toma essas decisões. Estabeleça a cadeia de reporte ao BSI (24h/72h/1 mês) e a cadeia interna de escalonamento clínico em paralelo.
4. Reforce os controlos de acesso
A saúde tem um desafio singular de controlo de acesso: os clínicos precisam de acesso rápido aos dados dos doentes em situações críticas, mas o acesso alargado cria risco. Implemente controlos de acesso baseados em funções (RBAC) para o HIS, imponha MFA para acesso remoto e contas administrativas, realize revisões de acesso trimestrais e assegure que o pessoal que sai tem o acesso revogado prontamente. Os procedimentos de acesso de emergência ('break glass') devem ser documentados e auditados.
5. Cifre os dados dos doentes
Os dados dos doentes estão entre as categorias de dados mais sensíveis tanto ao abrigo do GDPR como do NIS2. Implemente a cifragem em repouso para as bases de dados que contêm registos de doentes e a cifragem em trânsito para todos os fluxos de dados clínicos. As imagens do PACS, as mensagens HL7/FHIR e os resultados laboratoriais devem viajar todos cifrados. Documente os seus padrões de cifragem e os procedimentos de gestão de chaves: este é um requisito específico da Secção 30.
A saúde enfrenta uma tensão entre segurança e fluxo de trabalho clínico que nenhum outro setor experimenta com a mesma intensidade. Um sistema bloqueado que exige 30 segundos de autenticação em cada posto de trabalho custa tempo num serviço de urgência onde os segundos contam. A conformidade com o NIS2 na saúde exige encontrar o equilíbrio certo: segurança forte para o acesso administrativo e remoto, acesso simplificado mas auditado para os fluxos de trabalho clínicos, e procedimentos de sobreposição de emergência que sejam registados e revistos.
Os dispositivos médicos em rede são o maior desafio por resolver do setor. Um monitor de doente de 2018 pode executar um SO embutido que o fabricante já não atualiza. A certificação FDA/MDR significa que não pode modificar o software do dispositivo sem recertificação. A resposta são controlos compensatórios: segmentação de rede (isolar os dispositivos médicos na sua própria VLAN), monitorização do tráfego, comunicação restrita (os dispositivos só falam com os sistemas de que precisam) e planeamento do ciclo de vida. Documente tudo: o BSI compreende a restrição dos dispositivos médicos e avalia os controlos compensatórios como válidos.
As organizações de saúde que já participaram no KRITIS (ao abrigo da original BSI-KritisV) têm um avanço significativo. Os requisitos do KRITIS sobrepõem-se substancialmente aos do NIS2. Se tiver prova de auditoria KRITIS, use-a como base e estenda-a para cobrir os requisitos adicionais do NIS2: documentação formal da responsabilidade da gestão (Secção 38), avaliação da segurança da cadeia de abastecimento e os prazos específicos de reporte de incidentes. Para as organizações de saúde não KRITIS, os requisitos do NIS2 são a primeira vez que enfrentam regulação estruturada de cibersegurança. Comece pelo plano de 4 semanas e adapte-o ao seu ambiente clínico.
Perguntas Frequentes
Somos um hospital com 200 camas. Somos essenciais ou importantes?
A saúde enquadra-se no Anexo I (setores de elevada criticidade). Se o seu hospital tiver 250 ou mais trabalhadores, é classificado como entidade essencial. Com menos de 250 trabalhadores mas mais de 50, é uma entidade importante. Se já estiver classificado como KRITIS (infraestrutura crítica), é automaticamente essencial independentemente da dimensão. As entidades essenciais enfrentam supervisão proativa do BSI e o escalão sancionatório mais elevado (até 10 milhões de euros).
Não conseguimos aplicar patches aos nossos dispositivos médicos. Como cumprimos o NIS2?
O NIS2 exige medidas 'adequadas e proporcionadas', não medidas impossíveis. Para dispositivos médicos que não podem receber patches devido a restrições do fabricante ou regulatórias: documente o risco na sua avaliação de risco, implemente controlos compensatórios (segmentação de rede, monitorização do tráfego, comunicação restrita), inclua a limitação na sua avaliação do fornecedor para o fabricante do dispositivo e mantenha um plano de ciclo de vida para a eventual substituição. O BSI reconhece expressamente que os ambientes de OT e de dispositivos médicos exigem abordagens de segurança adaptadas.
A conformidade com o GDPR já cobre as nossas obrigações do NIS2 quanto aos dados dos doentes?
O GDPR cobre a proteção de dados (privacidade, consentimento, licitude do tratamento), ao passo que o NIS2 cobre a infraestrutura de segurança que protege esses dados. Complementam-se mas não se substituem. A sua conformidade com o GDPR significa que compreende os fluxos de dados e tem registos de tratamento, o que ajuda. O NIS2 acrescenta: gestão sistemática de risco para os sistemas de TI que tratam esses dados, reporte de incidentes ao BSI (não apenas à autoridade de proteção de dados), segurança da cadeia de abastecimento para os fornecedores de TI e responsabilidade da gestão pelas medidas de cibersegurança.
Como se relaciona o NIS2 com o financiamento do KHZG (Lei do Futuro Hospitalar)?
O KHZG financiou a modernização das TI nos hospitais alemães, incluindo investimentos em segurança das TI. Se o seu hospital recebeu financiamento do KHZG para projetos de cibersegurança, esses investimentos abordam provavelmente alguns requisitos do NIS2. Contudo, o KHZG era sobre investimento, não sobre gestão contínua da conformidade. O NIS2 exige gestão de risco contínua, revisões regulares, processos de reporte de incidentes e fiscalização da gestão: estas são práticas operacionais, não projetos pontuais. Use os seus investimentos do KHZG como base técnica e construa o quadro de gestão do NIS2 por cima.