NIS2: Nová éra kybernetické bezpečnosti ve zdravotnictví
Nová legislativa přinese nárůst odpovědnosti a povinností pro mnoho organizací. Návrh novely zákona o kybernetické bezpečnosti schválila 17. 7. vláda, ten tak nyní míří do parlamentu.
Evropská unie vloni přijala novou směrnici NIS2, která se výrazně promítne mimo jiné také do oblasti zdravotní péče. Směrnice nahrazující původní směrnici o kybernetické bezpečnosti z roku 2016, označovanou jako NIS, významně rozšiřuje okruh povinných subjektů a přináší řadu nových povinností i pro ty stávající.
Tak jako každá evropská směrnice, i NIS2 musí být řádně implementována do českého právního řádu. V Česku má být současný zákon o kybernetické bezpečnosti nahrazen zcela novým zákonem, významně doplněným několika prováděcími vyhláškami. Vláda dne 17. 7. 2024 schválila dlouho připravovaný a hojně připomínkovaný návrh tohoto zákona, který tak nyní míří do parlamentu. S ohledem na mírně zpožděný legislativní proces lze již nyní předpokládat, že se finální přijetí nestihne k povinnému datu implementace, kterým je 17. říjen 2024, ale účinnost lze očekávat spíše v prvním čtvrtletí roku 2025.
V České republice se důsledkem této nové legislativy počet povinných subjektů zvýší z původních několika set na několik tisíc (odhady hovoří o šesti až deseti tisících), což představuje obrovský nárůst povinností a odpovědnosti pro mnoho organizací. Pozornost nová směrnice, resp. nový zákon vyvolávají mimo jiné proto, že jsou postaveny na osobní odpovědnosti statutárních orgánů a vedoucích pracovníků povinných subjektů a na vysokých sankcích.
Přestože může dojít k dílčím změnám návrhu zákona v průběhu jeho projednávání oběma komorami parlamentu, převážná část nové úpravy je pevně dána směrnicí, a tak je načase si připomenout, co nás v nejbližší budoucnosti čeká.
Nové povinné subjekty a vyšší míra odpovědnosti vedení
Nové povinnosti budou dopadat na organizace, které poskytují své služby nebo vykonávají svou činnost v Evropské unii a působí v jednom z definovaných odvětví. Ze zdravotnictví se tam řadí poskytovatelé zdravotní péče, poskytovatelé zdravotnické záchranné služby, referenční laboratoře EU zahrnuté do sítě referenčních laboratoří pro oblast veřejného zdraví, subjekty zabývající se výzkumem a vývojem léčivých přípravků a výrobci léčivých přípravků, léčivých látek a zdravotnických prostředků a IVD.
Kromě relevantního odvětví je dalším kritériem velikost podniku. Povinnosti dopadnou na střední a velké podniky, jejichž parametry jsou přesně definovány počtem zaměstnanců a obratem: půjde tedy o podniky zaměstnávající 50 a více zaměstnanců nebo dosahující ročního obratu nebo bilanční sumy roční rozvahy alespoň 10 mil. eur (zhruba 250 mil. Kč). U poskytovatelů zdravotní péče hraje roli kromě velikosti podniku i počet lůžek (průměrně alespoň 270 lůžek akutní péče v předchozích 3 kalendářních letech) nebo skutečnost, že jde o poskytovatele zdravotní péče zřízené ústředním orgánem státní správy.
Pro některé subjekty naopak není velikost relevantní; jsou to ty, které jsou jediným poskytovatelem služby v EU nebo které mají význam na regionální nebo národní úrovni.
Povinné organizace – terminologií nového zákona poskytovatelé regulované služby – jsou rozděleny na základní subjekty v režimu vyšších povinností, které jsou podrobeny přísnější kontrole ex ante, a důležité subjekty v režimu nižších povinností s kontrolami ex post. Pro obě skupiny jsou stanovena různá bezpečnostní opatření, která jsou upravena ve dvou samostatných vyhláškách, aby odpovídala specifikům každého z režimů.
Nová pravidla zavádějí přímé povinnosti pro vedení organizací podpořené přísnými sankcemi za jejich nedodržení. V případě nedodržení povinností tak mohou být členové statutárních orgánů zbaveni své funkce nejméně na šest měsíců.
Bezpečnostní a technická opatření
Povinné subjekty musejí podniknout konkrétní kroky k zajištění kybernetické bezpečnosti a odolnosti svých systémů. Zcela nezbytné je zavedení analýzy a řízení rizik. Povinná bezpečnostní opatření zahrnují vedení bezpečnostní dokumentace, určení bezpečnostních rolí, řízení ICT dodavatelů, zajištění kontinuity činnosti a školení vrcholového vedení v oblasti kybernetické bezpečnosti. Technická opatření pak spočívají v řízení identit a přístupových oprávnění, detekci nežádoucích aktivit v podnikové síti a zařízeních a zajištění fyzické bezpečnosti podnikových prostor a ICT prostředků.
Důraz bude kladen na bezpečnost na všech úrovních dodavatelských řetězců a vztahů s dodavateli. Nová právní úprava rovněž přináší jasnější a přísnější požadavky na hlášení incidentů, což zahrnuje nejen bezpečnostní incidenty, ale také relevantní provozní události. Zvyšují se sankce za nedodržení předpisů, které mohou dosáhnout až 175 mil. Kč nebo 1,4 % čistého celosvětového ročního obratu pro důležité subjekty, resp. až 250 mil. Kč nebo 2 % obratu pro základní subjekty.
Změny pro zdravotní sektor
Citlivá data pacientů a údaje o léčbě jsou atraktivním cílem pro kybernetické útoky. Zastaralé systémy a technologie zvyšují zranitelnost vůči útokům a propojenost systémů znamená, že narušení jednoho systému může mít negativní důsledky pro ty další. Poskytovatelé zdravotní péče často nemají dostatek zdrojů na investice do kybernetické ochrany, nedostatečné vzdělání v této oblasti představuje další riziko.
Pro mnoho poskytovatelů zdravotní péče nová legislativa znamená změnit způsob myšlení i organizace. Je zcela nutné, aby měli plný přehled o tom, jaká data mají a kde se nacházejí, analyzovali a řídili rizika, zajistili bezpečnost a ochranu dat, vzdělávali své zaměstnance v oblasti bezpečnosti informací, zajišťovali bezpečný nákup ICT služeb a chránili se proti kybernetickým útokům. V případě incidentu musejí být schopni rychle reagovat a obnovit provoz.
Pokud jde o výrobce zdravotnických prostředků a IVD, jsou nové požadavky relevantní pro velké a střední podniky, přičemž velké podniky spadají pod základní subjekty v režimu vyšších povinností, pokud vyrábějí prostředky považované za kriticky důležité v případě mimořádné situace podle nařízení EU 2022/123; střední podniky vyrábějící kritické produkty a výrobci nekritických prostředků a IVD pak spadají do kategorie důležitých subjektů v režimu nižších povinností. Na subjekty v rámci farmaceutického průmyslu, tedy organizace zabývající se výzkumem, vývojem nebo výrobou léčiv či výrobou léčivých látek, povinnosti dopadají v závislosti na jejich velikosti.
Závěrem
Směrnice NIS2 a její implementace do národních právních řádů členských států přináší do oblasti zdravotnictví zásadní změny a nové výzvy. Povinné subjekty budou muset zlepšit své kybernetické zabezpečení a celkovou odolnost proti digitálním hrozbám, věnovat větší pozornost řízení rizik, ochraně dat a zajištění kontinuity poskytovaných služeb. To s sebou samozřejmě nese značnou administrativní, personální a technologickou zátěž. Nutnost investovat do modernizace informačních infrastruktur a bezpečnostních opatření přinese nemalé finanční i časové náklady a možná i zpomalení některých interních procesů. Implementace NIS2 tak sice přispívá k celkové bezpečnosti a stabilitě zdravotnického sektoru, zvyšuje důvěru pacientů a zajišťuje větší odolnost vůči kybernetickým útokům a technickým problémům, ale je nutné se připravit i na nemalé úsilí, které bude k dosažení těchto cílů zapotřebí.
Autorka Mgr. Aneta Dostálová se specializuje na zdravotnické právo v Porta Medica Legal s. r. o., advokátní kanceláři