Każdy szpital, który ma oddział ratunkowy i należy do tzw. sieci, zgodnie z ustawą z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa powinien zostać zakwalifikowany jak operator usług kluczowych. Dla 250 szpitali oznacza to nowe wydatki i obowiązki.
Zgodnie z ustawą, zdecydowana większość szpitali w Polsce powinna być zaliczona do operatorów usług kluczowych. Operatorem usług kluczowych w świetle art. 5 ustawy jest podmiot o którym mowa w załączniku 1 do ustawy. Załącznik ten w dziele poświęconym ochronie zdrowia wymienia między innymi: podmioty lecznicze wskazane w art. 4 ust. 1 ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej, NFZ, podmiot leczniczy, w przedsiębiorstwie którego funkcjonuje dział farmacji szpitalnej, podmiot leczniczy, w przedsiębiorstwie którego funkcjonuje apteka szpitalna oraz przedsiębiorcę prowadzącego działalność w formie apteki ogólnodostępnej, ( i inne).
Zgodnie z szacunkami Ministerstwa Cyfryzacji, sektor ochrony zdrowia będzie objęty regulacjami ustawy w bardzo szerokim zakresie. Ministerstwo przewiduje, że około 250 podmiotów działających w sektorze zdrowia może zostać uznanych za operatorów kluczowych.
Ustawa, wprowadza kilka nowych i kosztownych obowiązków dla szpitali, które zostaną uznane za operatorów kluczowych. Artykuł 8 ustawy wprowadza obowiązek wdrożenia systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej. W praktyce obowiązek ten oznacza zorganizowanie systemu wewnętrznego, w sposób pozwalający na obrót i przepływ danych odpowiadający wymaganiom ustawy, zorganizowanie środków finansowych oraz przetargów mających na celu wyłonienie podmiotu, który wyceni, zaprojektuje, wykona i wdroży system zapewniający odpowiedni poziom ochrony cyberbezpieczeństwa.
Artykuł 9 ustawy wprowadza obowiązek wyznaczenia osoby odpowiedzialnej za utrzymanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa oraz obowiązek zapewniania użytkownikowi usługi kluczowej dostępu do wiedzy w zakresie zagrożeń cyberbezpieczeństwa. Podmioty zobowiązane będą musiały wyznaczyć a niejednokrotnie zatrudnić osobę odpowiedzialną za wyżej wskazane zadania. Do obowiązków osoby odpowiedzialnej za cyberbezpieczeństwa będzie należało utrzymywanie kontaktów z podmiotami krajowego systemu bezpieczeństwa, która będzie jednocześnie zgłaszała incydenty naruszeń.
Dodatkowo, zgodnie z art. 15, szpital jako operator usługi kluczowej będzie musiał zapewnić co najmniej raz na dwa lata przeprowadzenie audytu bezpieczeństwa informatycznego. Obowiązek ten zapewne wygeneruje dodatkowe koszty po stronie szpitali.
Szpitale będą musiały także poinformować pacjentów o zasadach cyberbezpieczeństwa, które obowiązują w ich placówce, bez względu na to czy pacjent trafia do szpitalnej poradni czy na oddział.
Źródło: www.sip.lex.pl, www.prawo.pl