...
logo nodeit
logo nodeit

Single Blog

Cyberbezpieczeństwo
NIS2 dla placówek medycznych — dyrektor przychodni sprawdza bezpieczeństwo IT, backup, MFA i monitoring.
_

NIS2 dla placówek medycznych: czy Twoja przychodnia, klinika lub centrum diagnostyczne musi się przygotować?

Placówki medyczne coraz mocniej zależą od systemów IT. Rejestracja pacjentów, dokumentacja medyczna, EDM, system gabinetowy, poczta e-mail, wyniki badań, systemy laboratoryjne, diagnostyka obrazowa, backup, internet, komputery w gabinetach i integracje z zewnętrznymi dostawcami — to wszystko musi działać.

Problem polega na tym, że dla wielu przychodni, klinik i centrów diagnostycznych cyberbezpieczeństwo nadal jest traktowane jak temat „dla informatyka”. To błąd.

W kontekście NIS2 i nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa placówki medyczne powinny przestać patrzeć na IT jak na koszt techniczny. To element ciągłości działania, bezpieczeństwa pacjentów, ochrony danych i odpowiedzialności organizacyjnej.

Czy każda przychodnia automatycznie podlega NIS2? Nie zawsze.
Czy każda placówka medyczna powinna sprawdzić swoje przygotowanie? Zdecydowanie tak.

Czym jest NIS2?

NIS2 to unijna dyrektywa dotycząca cyberbezpieczeństwa, której celem jest podniesienie odporności organizacji działających w sektorach istotnych dla państwa, gospodarki i społeczeństwa.

W Polsce wymagania NIS2 są wdrażane przez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa, czyli KSC.

Nowe przepisy rozszerzają katalog organizacji, które muszą podejść do cyberbezpieczeństwa w sposób bardziej uporządkowany. Chodzi nie tylko o wdrożenie narzędzi technicznych, ale również o zarządzanie ryzykiem, procedury, dokumentację, reakcję na incydenty i odpowiedzialność osób zarządzających.

Dla sektora medycznego ma to szczególne znaczenie, ponieważ awaria IT w placówce zdrowia to nie tylko problem z komputerem. To może być paraliż rejestracji, brak dostępu do dokumentacji pacjenta, opóźnienie diagnostyki, chaos organizacyjny i ryzyko naruszenia danych medycznych.

Dlaczego NIS2 dotyczy ochrony zdrowia?

Ochrona zdrowia jest jednym z sektorów szczególnie istotnych z punktu widzenia cyberbezpieczeństwa.

Placówki medyczne przetwarzają dane szczególnej kategorii, obsługują pacjentów, korzystają z systemów medycznych, wymieniają dane z zewnętrznymi podmiotami i często działają w warunkach, w których przestój jest bardzo kosztowny organizacyjnie.

W praktyce problem nie dotyczy tylko dużych szpitali. Ryzyko cyberataków, awarii i utraty dostępu do danych dotyczy również:

  • przychodni,
  • prywatnych klinik,
  • centrów diagnostycznych,
  • laboratoriów,
  • poradni specjalistycznych,
  • placówek stomatologicznych,
  • gabinetów wielospecjalistycznych,
  • podmiotów współpracujących z większymi jednostkami medycznymi,
  • dostawców usług IT dla sektora medycznego.

Nie każda taka organizacja musi automatycznie spełniać wszystkie obowiązki jako podmiot kluczowy lub ważny. Ale każda powinna wykonać analizę, czy podlega pod nowe wymagania i czy jej IT jest przygotowane na realny incydent.

Czy mała przychodnia też musi przejmować się NIS2?

To zależy.

I właśnie dlatego najgorsze, co może zrobić właściciel placówki, to założyć z góry: „nas to nie dotyczy”.

O kwalifikacji mogą decydować między innymi:

  • rodzaj prowadzonej działalności,
  • wielkość podmiotu,
  • rola placówki w systemie świadczenia usług,
  • powiązania z innymi podmiotami,
  • świadczenie usług na rzecz podmiotów kluczowych lub ważnych,
  • znaczenie działalności dla pacjentów i ciągłości usług,
  • faktyczny zakres przetwarzanych danych i wykorzystywanych systemów.

Mały gabinet może nie mieć takich samych obowiązków jak duży szpital. Ale to nie oznacza, że może ignorować cyberbezpieczeństwo.

Dane medyczne, dostęp do systemów, poczta, hasła, backup i rejestracja pacjentów nadal wymagają ochrony. Nawet jeśli placówka nie zostanie zakwalifikowana jako podmiot kluczowy lub ważny, może podlegać innym wymaganiom wynikającym z RODO, umów z kontrahentami, zasad należytej staranności i oczekiwań pacjentów.

Co oznacza przygotowanie placówki medycznej do NIS2/KSC?

Przygotowanie do NIS2 nie polega na zakupie jednego programu albo podpisaniu jednej umowy z informatykiem.

To uporządkowanie kilku obszarów:

  • zarządzania ryzykiem,
  • bezpieczeństwa systemów IT,
  • kontroli dostępu,
  • backupu,
  • monitoringu,
  • procedur reagowania na incydenty,
  • dokumentacji,
  • współpracy z dostawcami,
  • świadomości personelu,
  • ciągłości działania.

Inaczej mówiąc: placówka musi wiedzieć, jakie systemy są krytyczne, kto ma do nich dostęp, jak są zabezpieczone, co zrobić w czasie awarii i jak udowodnić, że bezpieczeństwo nie istnieje tylko „na słowo”.

10 rzeczy, które powinna sprawdzić placówka medyczna

1. Czy placówka wie, czy podlega pod KSC/NIS2?

Pierwszy krok to samoidentyfikacja.

Właściciel, zarząd albo dyrekcja placówki powinni sprawdzić, czy działalność organizacji mieści się w zakresie nowych przepisów oraz czy placówka może być uznana za podmiot kluczowy lub ważny.

To nie jest zadanie wyłącznie dla informatyka. To decyzja organizacyjna, która wymaga spojrzenia prawnego, biznesowego i technicznego.

W praktyce warto odpowiedzieć na pytania:

  • jaki jest profil działalności placówki?
  • czy placówka świadczy usługi zdrowotne?
  • czy obsługuje większe podmioty medyczne?
  • czy jest częścią większej grupy?
  • ilu pracowników zatrudnia?
  • jakie systemy są krytyczne dla działania?
  • jakie dane są przetwarzane?
  • czy przestój może zagrozić ciągłości świadczeń?

Jeżeli placówka nie wie, czy podlega pod KSC/NIS2, powinna to ustalić jak najszybciej. Zgadywanie w tym obszarze jest słabą strategią.

2. Czy wiadomo, które systemy są krytyczne?

W placówce medycznej krytycznym systemem nie jest tylko serwer.

Krytyczne mogą być:

  • system gabinetowy,
  • system EDM,
  • rejestracja pacjentów,
  • terminarz wizyt,
  • system laboratoryjny,
  • system RIS/PACS,
  • poczta e-mail,
  • dostęp do Internetu,
  • integracje z zewnętrznymi dostawcami,
  • systemy rozliczeniowe,
  • systemy kolejkowe,
  • komputery w gabinetach,
  • drukarki recept, skierowań i dokumentacji,
  • systemy do obsługi wyników badań.

Placówka powinna wiedzieć, które systemy są najważniejsze i w jakiej kolejności trzeba je przywracać po awarii.

Bez tej wiedzy każdy incydent zamienia się w chaos.

3. Czy backup obejmuje dane medyczne i systemy krytyczne?

Backup w placówce medycznej musi być traktowany poważniej niż zwykła kopia plików.

Trzeba sprawdzić:

  • czy backup obejmuje EDM,
  • czy obejmuje bazy danych,
  • czy obejmuje konfiguracje systemów,
  • czy obejmuje serwery i maszyny wirtualne,
  • czy obejmuje pocztę,
  • czy obejmuje pliki użytkowników,
  • czy jest odseparowany od głównego środowiska,
  • czy jest odporny na ransomware,
  • czy był testowany,
  • ile potrwa odtworzenie danych.

Najgorszy scenariusz? Placówka dowiaduje się po awarii, że backup „się robił”, ale nikt nigdy nie sprawdził, czy da się z niego odtworzyć system.

Backup bez testów to nie zabezpieczenie. To nadzieja.

Więcej: Backup danych dla firm.

4. Czy dostęp do systemów jest kontrolowany?

W placówkach medycznych bardzo często problemem nie jest brak systemu, tylko brak kontroli nad dostępami.

Trzeba wiedzieć:

  • kto ma dostęp do systemu medycznego,
  • kto ma dostęp do danych pacjentów,
  • kto ma konto administratora,
  • kto ma dostęp do Microsoft 365 lub poczty,
  • kto może logować się zdalnie,
  • czy byli pracownicy nadal mają aktywne konta,
  • czy dostawcy zewnętrzni mają stały dostęp,
  • czy konta administratorów są zabezpieczone MFA,
  • czy istnieje procedura nadawania i odbierania dostępów.

Jeżeli personel rotuje, a konta nie są regularnie przeglądane, placówka traci kontrolę nad własnymi danymi.

5. Czy placówka używa MFA?

MFA, czyli uwierzytelnianie wieloskładnikowe, powinno być standardem dla poczty, Microsoft 365, VPN, kont administratorów i dostępu zdalnego.

Brak MFA to jeden z najprostszych sposobów na przejęcie konta po phishingu.

W placówce medycznej przejęcie konta pocztowego może oznaczać:

  • dostęp do korespondencji z pacjentami,
  • dostęp do danych medycznych,
  • wysyłkę fałszywych wiadomości,
  • próbę wyłudzenia pieniędzy,
  • przejęcie dalszych kont,
  • atak na dostawców lub pacjentów.

MFA nie rozwiązuje wszystkich problemów, ale jego brak jest dzisiaj poważnym zaniedbaniem.

6. Czy działa monitoring IT?

Jeżeli placówka dowiaduje się o awarii od rejestracji, lekarza albo pacjenta, to nie ma prawdziwego monitoringu. Ma reakcję po fakcie.

Monitoring powinien obejmować między innymi:

  • serwery,
  • systemy medyczne,
  • bazy danych,
  • backup,
  • miejsce na dyskach,
  • urządzenia sieciowe,
  • łącza internetowe,
  • certyfikaty,
  • usługi krytyczne,
  • podstawowe zdarzenia bezpieczeństwa.

W medycynie awaria wykryta wcześniej może oznaczać mniej odwołanych wizyt, mniej chaosu i mniejsze ryzyko utraty danych.

Więcej: Monitoring infrastruktury IT.

7. Czy istnieje procedura reagowania na incydent?

Procedura reagowania na incydent nie jest dokumentem dla audytora. To instrukcja działania w momencie, kiedy coś przestaje działać.

Placówka powinna wiedzieć:

  • kto podejmuje decyzje,
  • kto kontaktuje się z dostawcą IT,
  • kto kontaktuje się z dostawcą systemu medycznego,
  • kto informuje kierownictwo,
  • kto zabezpiecza dowody,
  • kto decyduje o odłączeniu systemów,
  • kto komunikuje się z personelem,
  • jak działać, gdy nie ma dostępu do EDM,
  • jak prowadzić rejestrację awaryjnie,
  • jak przywracać systemy po kolei.

Bez procedury ludzie improwizują. W czasie cyberataku improwizacja zwykle zwiększa straty.

8. Czy dostawcy IT i systemów medycznych mają jasno określoną odpowiedzialność?

W placówkach medycznych często występuje chaos dostawców.

Jeden podmiot odpowiada za system medyczny. Inny za komputery. Jeszcze inny za sieć. Ktoś inny za hosting. Informatyk „od wszystkiego” zna hasła. Dostawca oprogramowania ma zdalny dostęp. Backup niby jest, ale nie wiadomo, kto go testuje.

To jest ryzyko.

Placówka powinna wiedzieć:

  • kto odpowiada za system medyczny,
  • kto odpowiada za serwer,
  • kto odpowiada za backup,
  • kto odpowiada za firewall,
  • kto odpowiada za monitoring,
  • kto odpowiada za aktualizacje,
  • kto ma zdalny dostęp,
  • jakie są czasy reakcji,
  • kto bierze odpowiedzialność w czasie awarii.

Jeżeli odpowiedzialność jest rozmyta, po incydencie wszyscy będą tłumaczyć, że „to nie było po naszej stronie”.

9. Czy personel jest przygotowany na phishing i incydenty?

Cyberbezpieczeństwo w placówce medycznej nie kończy się na serwerze.

Pracownicy rejestracji, lekarze, pielęgniarki, administracja i managerowie codziennie korzystają z poczty, załączników, linków, systemów medycznych i danych pacjentów.

Najczęstsze problemy to:

  • kliknięcie fałszywego linku,
  • pobranie zainfekowanego załącznika,
  • podanie hasła na fałszywej stronie,
  • przesłanie danych pacjenta niewłaściwym kanałem,
  • używanie słabych haseł,
  • współdzielenie kont,
  • brak zgłoszenia podejrzanej wiadomości.

Placówka powinna regularnie szkolić personel i jasno określić, co robić w przypadku podejrzanej wiadomości lub incydentu.

10. Czy istnieje plan ciągłości działania?

NIS2 i KSC to nie tylko cyberbezpieczeństwo rozumiane jako ochrona przed hakerami. To również odporność organizacji.

Placówka powinna mieć odpowiedź na pytania:

  • co robimy, gdy padnie internet?
  • co robimy, gdy nie działa system medyczny?
  • co robimy, gdy nie ma dostępu do EDM?
  • co robimy, gdy ransomware zaszyfruje dane?
  • jak obsłużymy pacjentów bez systemu?
  • jak odtworzymy harmonogram wizyt?
  • kto kontaktuje się z dostawcami?
  • które systemy przywracamy jako pierwsze?
  • ile godzin lub dni możemy działać awaryjnie?

Jeżeli nie ma planu, to w praktyce planem jest chaos.

NIS2 a RODO — czy to jest to samo?

Nie.

RODO dotyczy ochrony danych osobowych, w tym danych medycznych. NIS2/KSC dotyczy cyberbezpieczeństwa, odporności systemów i zarządzania ryzykiem w organizacjach działających w istotnych sektorach.

Te obszary się łączą, ale nie są tym samym.

Placówka medyczna może mieć dokumentację RODO, ale jednocześnie nie mieć:

  • testowanego backupu,
  • monitoringu,
  • procedury reagowania na incydent IT,
  • kontroli kont administratorów,
  • MFA,
  • planu odtworzenia systemów,
  • dokumentacji infrastruktury,
  • przeglądu dostawców IT.

Sama dokumentacja RODO nie zabezpiecza placówki przed ransomware, awarią serwera czy przejęciem konta pocztowego.

Czy ISO 27001 pomaga w przygotowaniu do NIS2?

Tak, może pomóc.

ISO 27001 porządkuje zarządzanie bezpieczeństwem informacji. Nie jest automatycznym „spełnieniem NIS2”, ale może być bardzo dobrym fundamentem do budowy Systemu Zarządzania Bezpieczeństwem Informacji, analizy ryzyka, procedur, kontroli dostępu, obsługi incydentów i dokumentacji.

Dla placówki medycznej podejście oparte na ISO 27001 może być praktycznym sposobem uporządkowania bezpieczeństwa, nawet jeśli pełna certyfikacja nie jest na danym etapie konieczna.

Więcej: Doradztwo IT i audyty ISO 27001.

Od czego zacząć?

Najgorsze podejście to czekać, aż ktoś „przyjdzie i każe”. W cyberbezpieczeństwie czekanie zwykle kończy się gaszeniem pożaru.

Rozsądny plan dla placówki medycznej wygląda tak:

  1. Sprawdzić, czy placówka może podlegać pod KSC/NIS2.
  2. Wykonać wstępny audyt IT i bezpieczeństwa.
  3. Zidentyfikować systemy krytyczne.
  4. Zweryfikować backup i testy odtworzenia.
  5. Sprawdzić konta administratorów i dostęp dostawców.
  6. Wdrożyć MFA tam, gdzie jest potrzebne.
  7. Uporządkować dokumentację IT.
  8. Wdrożyć monitoring kluczowych systemów.
  9. Przygotować procedurę reagowania na incydent.
  10. Przeszkolić personel.
  11. Ustalić odpowiedzialność dostawców.
  12. Przygotować plan ciągłości działania.

To nie musi być rewolucja. Ale musi być plan.

Podsumowanie

NIS2 dla placówek medycznych nie powinno być traktowane jako kolejny formalny obowiązek „do odhaczenia”. To dobry moment, żeby sprawdzić, czy przychodnia, klinika lub centrum diagnostyczne rzeczywiście kontroluje swoje IT.

Najważniejsze pytanie brzmi nie tylko: „czy podlegamy pod NIS2?”.

Równie ważne pytania to:

  • czy wiemy, które systemy są krytyczne?
  • czy mamy działający i testowany backup?
  • czy mamy MFA?
  • czy kontrolujemy dostęp dostawców?
  • czy mamy monitoring?
  • czy personel wie, jak reagować na phishing?
  • czy mamy procedurę incydentu?
  • czy potrafimy działać, gdy system medyczny przestanie działać?

Jeżeli odpowiedź na większość tych pytań brzmi „nie wiem”, to placówka nie jest przygotowana — niezależnie od tego, czy formalnie podlega pod wszystkie obowiązki KSC/NIS2.

W NodeIT pomagamy placówkom medycznym uporządkować infrastrukturę IT, backup, monitoring, bezpieczeństwo, dokumentację i przygotowanie do wymagań regulacyjnych.

Sprawdź:

FAQ

Czy każda placówka medyczna podlega pod NIS2?

Nie każda placówka medyczna musi automatycznie podlegać wszystkim obowiązkom jako podmiot kluczowy lub ważny. Każda powinna jednak przeprowadzić analizę, czy jej działalność, wielkość, rola w sektorze zdrowia i powiązania z innymi podmiotami powodują objęcie nowymi przepisami KSC/NIS2.

Czy mała przychodnia musi interesować się NIS2?

Tak, powinna przynajmniej sprawdzić swój status. Nawet jeśli mała przychodnia nie zostanie objęta pełnym zakresem obowiązków, nadal przetwarza dane medyczne, korzysta z systemów IT i powinna dbać o backup, dostęp, MFA, monitoring oraz procedury awaryjne.

Co placówka medyczna powinna sprawdzić w pierwszej kolejności?

Najpierw warto sprawdzić status pod KSC/NIS2, listę systemów krytycznych, backup, dostęp administratorów, MFA, monitoring, dokumentację IT, odpowiedzialność dostawców oraz procedurę reagowania na incydent.

Czy RODO wystarczy, żeby spełnić wymagania NIS2?

Nie. RODO dotyczy ochrony danych osobowych, a NIS2/KSC dotyczy cyberbezpieczeństwa, zarządzania ryzykiem, odporności systemów i reagowania na incydenty. Te obszary się uzupełniają, ale nie są tym samym.

Czy backup EDM jest obowiązkowy?

Placówka medyczna powinna zapewnić bezpieczeństwo i dostępność dokumentacji medycznej. W praktyce oznacza to konieczność posiadania sprawdzonego backupu oraz procedury odtworzenia danych po awarii, błędzie lub ataku ransomware.

Czy dostawca systemu medycznego odpowiada za całe cyberbezpieczeństwo placówki?

Zwykle nie. Dostawca systemu medycznego odpowiada za określony zakres swojej usługi, ale niekoniecznie za sieć, komputery, pocztę, backup, firewall, MFA, monitoring i procedury placówki. Odpowiedzialność powinna być jasno określona w umowach i dokumentacji.

Czy ISO 27001 pomaga w przygotowaniu do NIS2?

Tak. ISO 27001 może być dobrym fundamentem do uporządkowania bezpieczeństwa informacji, analizy ryzyka, procedur, dokumentacji, obsługi incydentów i kontroli dostępu. Nie zastępuje analizy prawnej NIS2, ale pomaga technicznie i organizacyjnie przygotować placówkę.

Czy placówka medyczna powinna zrobić audyt IT przed NIS2?

Tak. Audyt IT pozwala sprawdzić faktyczny stan infrastruktury, backupu, dostępu, monitoringu, dokumentacji i bezpieczeństwa. Bez audytu placówka często nie wie, czy jest przygotowana, czy tylko zakłada, że „informatyk to ogarnia”.