Ustawa o krajowym systemie cyberbezpieczeństwa wprowadza nowe obowiązki dla kadry kierowniczej i personelu zatrudnionego w placówkach ochrony zdrowia.
Ustawa obejmuje swym działaniem kluczowe z punktu widzenia bezpieczeństwa państwa sektory, w tym ochronę zdrowia. Ministerstwo Cyfryzacji przewiduje, że około 250 podmiotów medycznych działających na terenie kraju może zostać uznanych za operatorów usług kluczowych. W żadnym innym sektorze nie będzie to nawet zbliżona liczba.
To oznacza nowe obowiązki dla kierowników i personelu, m.in. opracowanie dokumentacji i procedur, wyznaczenie osób odpowiedzialnych za cyberbezpieczeństwo, szkolenie personelu oraz podjęcie działań organizacyjno-technicznych.
Jakie jeszcze są skutki nowego prawa dla personelu medycznego? Ustawodawca wstępnie przewidział, że może ona dotyczyć 130 szpitali. Decyzja o uznaniu za operatora usług kluczowych wydawana będzie przez Ministra Zdrowia do dnia 9 listopada 2018 roku na podstawie określonych w odpowiednim rozporządzeniu progów istotności. W części przypadków próg może być uzależniony m.in. od liczby refundowanych w ciągu roku produktów leczniczych.
Podmioty uznane za operatorów usług kluczowych będą zobowiązane do wdrożenia odpowiednich rozwiązań organizacyjnych i technicznych. Operatorzy będą mieli 3 miesiące, 6 miesięcy bądź rok na dostosowanie się do licznych obowiązków wynikających z ustawy, w tym przeprowadzanie regularnych audytów cyberbezpieczeństwa.
Obowiązki operatorów zostały bardzo szczegółowo określone w rozporządzeniach wykonawczych do ustawy. W konsekwencji trzeba będzie wdrożyć odpowiednie normy ISO czy nawet stosować odpowiednie systemy przeciwwłamaniowe i przeciwpożarowe. Obowiązki wynikające z ustawy będzie można realizować samodzielnie – wewnątrz organizacji – bądź zawierając odpowiednią umowę z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa.
Niezależnie od tego, czy świadczenie takich usług zostanie powierzone podmiotowi trzeciemu, czy zostaną one wykonane samodzielnie, należy się spodziewać dodatkowej kontroli ze strony Ministra Zdrowia lub Ministra Cyfryzacji. Podmioty te mogą przeprowadzać kontrole z zakresu cyberbezpieczeństwa i przekazywać zalecenia dotyczące usunięcia stwierdzonych nieprawidłowości. Niestosowanie się do przepisów ustawy czy niewykonanie zaleceń pokontrolnych może mieć poważne konsekwencje finansowe. Katalog kar przewiduje nałożenie administracyjnej kary pieniężnej w wysokości od 15 000 zł do nawet 1 000 000 zł w zależności od rodzaju i wagi naruszenia przepisów.