Evropská komise v polovině ledna představila akční plán na posílení kybernetické bezpečnosti nemocnic a poskytovatelů zdravotní péče. Ten mimo jiné počítá se zřízením celoevropského centra podpory kybernetické bezpečnosti. České nemocnice i ministerstvo zdravotnictví to hodnotí jako přínosný krok. Nemocnice ale vidí jako podmínku užitečnosti plánu i finanční podporu kyberbezpečnosti a to, aby nedošlo ke zvýšení administrativy.

Očekávání nemocnic jsou vesměs opatrná. „Záleží na tom, jak se plán na národní úrovni přetaví v možnosti aditivního financování kyberbezpečnosti, případně jaké budou konkrétní implikace pro různé regulatorní povinnosti a reporting,“ zhodnotil pro Zdravotnický deník náměstek ICT pražské fakultní nemocnice Bulovka Jan Alexa. Dodal, že jakákoli iniciativa k posílení kyberbezpečnosti je vítána a že na strategické úrovni jsou cíle zvoleny dobře. Podtrhl ale, že klíčové bude, jak se podaří praktické kroky vedoucí k naplnění těchto cílů stanovit tak, aby nevyžadovaly zásadní zvýšení administrativy.

„Ačkoliv jsme trochu skeptičtí k vytváření nových institucí, myslíme si, že záměr Evropské unie posilovat prevenci v této oblasti, pomáhat s lepším odhalováním a identifikací hrozeb a s reakcí na kybernetické útoky, je krok správným směrem,“ uvedl pro Zdravotnický deník manažer kybernetické bezpečnosti Nemocnice Prachatice Marek Blažejovský. „Kybernetické útoky mohou reálně zapříčinit odklad lékařských zákroků, ochromit urgentní příjmy a narušit zcela zásadní služby, což by v závažných případech mohlo mít přímý dopad na životy a zdraví našich pacientů. Vítáme proto každou iniciativu v oblasti posilování kyberbezpečnosti, tudíž i iniciativu Evropské komise v podobě akčního plánu na ochranu zdravotnictví před kybernetickými útoky,“ dodal Blažejovský.

A vysvětlil, proč je intenzivní péče o kybernetickou bezpečnost podle něj tak důležitá. „V souvislosti s digitalizací, která prostupuje poskytováním zdravotní péče skutečně dochází k ‚malé revoluci‘. Digitalizace ve zdravotnictví rozšiřuje možnosti moderního přístupu v léčbě, umožňuje přesnější diagnostiku díky moderním přístrojům, z nichž některé využívají i umělou inteligenci, zavádí elektronické zdravotní záznamy, které lze sdílet napříč obory a přenést na velkou vzdálenost během okamžiku, realizuje se díky ní telemedicína a podobně,“ shrnul Blažejovský.

Mohlo by vás zajímat

Pozitivně se k plánu staví ministerstvo zdravotnictví. „Akční plán je velmi vítán, protože projekty digitalizace zdravotnictví jsou v realizační fázi a bude absolutně nezbytné zajistit spolu s možností globálního přístupu a sdílení zdravotnické dokumentace i odpovídající úroveň bezpečnosti,“ zhodnotil pro Zdravotnický deník přínos plánu mluvčí ministerstva zdravotnictví Ondřej Jakob. „Poskytovatelé mohou těžit z výstupů centrálních projektů v oblasti kybernetické bezpečnosti. Předpokládáme ale také vytvoření metodických a projektových kapacit, které zejména menším poskytovatelům mohou poskytnout velmi potřebnou odbornou konzultační a edukační pomoc. Pro pacienty a širokou veřejnost bude touto iniciativou zajištěna vyšší garance z bezpečnosti dat ve zdravotnictví,“ dodal Jakob.

Prevence a „hašení požárů“

Agentura Evropské unie pro kybernetickou bezpečnost (ENISA) by podle akčního plánu měla zřídit celoevropské Centrum podpory kybernetické bezpečnosti pro nemocnice a poskytovatele zdravotní péče. Prvním cílem akčního plánu je posílení prevence, v jehož rámci mohou členské státy například zavést poukázky na kybernetickou bezpečnost a pomáhat tak mikropodnikům, malým a středním nemocnicím a poskytovatelům zdravotní péče. Prevenci má zvýšit i celounijní služba včasného varování před potenciálními kybernetickými hrozbami. Zavedena by měla být i centrální služba rychlé reakce na kybernetické útoky.

Co bude znamenat implementace akčního plánu pro nemocnice? „Evropská směrnice pro kybernetickou bezpečnost NIS2 zavádí pro jednotlivé organizace členských států EU nová pravidla pro zajištění kybernetické bezpečnosti. Po implementaci této směrnice do národní legislativy – v podobě zákona o kybernetické bezpečnosti a na něj navazující prováděcí vyhlášky – bude naše nemocnice spadat do režimu takzvaných „vyšších povinností“ v této oblasti. To znamená povinnost zavést určité organizační postupy a pravidla a důležitá technická opatření,“ popisuje Blažejovský z Nemocnice Prachatice.

A podotýká, že prachatická nemocnice již se zaváděním organizačních a technických opatření pro naplnění směrnice NIS2 začala, ačkoliv podle české legislativy tato povinnost ještě neexistuje. „Myslíme si, že akční plán Evropské komise nebude nijak zásadně vybočovat z požadavků stanovených ve směrnici NIS2, a tak jeho naplnění nebude mít zásadní význam pro nastavená pravidla v naší nemocnici. Co však bude mít pozitivní vliv, je sdílení informací napříč všech zdravotnických zařízení v EU týkajících se kybernetických hrozeb a tím i posílení prevence,“ uzavírá Blažejovský. 

A jaká bude role českého ministerstva zdravotnictví? „Akční plán předpokládá mimo jiné velmi potřebnou koordinaci v procesu zajištění kybernetické bezpečnosti v rezortu zdravotnictví. Cílem je mimo metodické podpory a součinnosti ministerstva zdravotnictví při realizaci projektů také dohled na naplnění základních opatření kybernetické bezpečnosti. Aktuálně v rámci centrálních projektů digitalizace připravujeme i realizaci komponent v oblasti kybernetické bezpečnosti, které pomohou poskytovatelům například poskytnutím generické dokumentace,“ vysvětluje mluvčí ministerstva Ondřej Jakob.