Jak wdrożyć NIS 2 w szpitalu? 4-etapowa mapa drogowa dla placówek medycznych

Jak wdrożyć nis 2 w szpitalu? Coongi

Wdrożenie dyrektywy NIS 2 w szpitalu to jedno z największych wyzwań, przed jakimi stają polskie placówki medyczne.
Wielu zarządzających wciąż wpada w pułapkę myślenia, że wdrożenie dyrektywy można „kupić” wraz z nowym firewallem czy oprogramowaniem antywirusowym. To jednak niebezpieczne uproszczenie.
Dla sektora ochrony zdrowia unijna dyrektywa NIS 2 to nie tylko biurokracja, ale konieczność połączenia dwóch, często odseparowanych światów: klasycznego IT (administracja, poczta, HIS) z wrażliwym światem aparatury medycznej (OT/IoMT).
Tomograf czy rezonans podpięty do sieci staje się nagle elementem infrastruktury krytycznej, którego nie można po prostu „zrestartować” po aktualizacji zabezpieczeń.

Wdrożenie dyrektywy wymaga więc przyjęcia 4-etapowej strategii – swoistej mapy drogowej. Celem nie jest tu jedynie uniknięcie kar, ale zmiana priorytetów: w szpitalu cyberbezpieczeństwo przestaje chronić tylko dane (jak w RODO), a zaczyna chronić procesy leczenia i życie pacjentów przed paraliżem cyfrowym.”

Spis treści

Jak wdrożyć NIS 2 w szpitalu i zapewnić cyberbezpieczeństwo

Zarządzanie ryzykiem w ochronie zdrowia, a cyberbezpieczeństwo

Dotychczasowe podejście wielu placówek opierało się na formalnym spełnianiu wymogów (np. RODO). Takie podejście zakładało opracowanie procedur, które często znajdowały się w segregatorach, a praktyka codziennego działania nie zawsze pokrywała się ze stworzonymi normami. Dyrektywa NIS 2 całkowicie zmienia takie podejście i niejako wymusza bardziej realne i praktyczne działanie na co dzień. Nowe przepisy nie dają gotowej instrukcji obsługi, bo każdy szpital posiada inne potrzeby, możliwości techniczne i personalne oraz ma własną praktykę działania. Zarządzanie ryzykiem w szpitalach powiatowych będzie różnić się od tego jak to powinno przebiegać w szpitalach wojewódzkich lub też dużych jednostkach akademickich.

Dlatego kluczem jest przejście na ciągłe zarządzanie ryzykiem cyberbezpieczeństwa. Oznacza to zamianę podejścia „czy mamy firewall?” na pytanie „co się stanie, jeśli firewall zawiedzie?”. Takie podejście do kwestii wdrożenia NIS 2 w placówkach zdrowia przynosi konkretne korzyści:

  • Optymalizacja budżetu: nie musisz wdrażać wszystkich dostępnych na rynku zabezpieczeń. Inwestujesz tylko w to, co realnie obniża ryzyko w Twojej konkretnej placówce.
  • Adekwatność: środki bezpieczeństwa dobierasz do wagi procesu. Inaczej chronisz ogólnodostępną stronę www szpitala, a inaczej bazę danych pacjentów czy sieć sterującą blokiem operacyjnym.
  • Dynamika: analiza ryzyka to proces żywy. Każdy nowy tomograf czy zmiana dostawcy oprogramowania laboratoryjnego wymaga aktualizacji mapy zagrożeń.

To właśnie wynik indywidualnego podejścia do potrzeb i możliwości każdej jednostki medycznej wpływa na to, jakie systemy bezpieczeństwa muszą zostać wdrożone w szpitalu. Daje to zarządowi potężny argument, każda wydana złotówka ma swoje uzasadnienie w konkretnym ryzyku. Dzięki temu unikamy „przepalania” budżetu na rozwiązania modne, ale nieadekwatne do potrzeb, a jednocześnie budujemy solidną argumentację prawną (dowód należytej staranności) na wypadek ewentualnej kontroli lub incydentu.

Jak wdrożyć NIS 2 w szpitalu? Zarządzanie ryzykiem

Krok 1: Fundamenty organizacyjne: zespół i identyfikacja aktywów

Pierwszym krokiem w procesie odpowiedzi na pytanie, jak wdrożyć NIS 2 w szpitalu, jest uporządkowanie struktur. Dyrektywa NIS 2 jasno komunikuje: odpowiedzialność za cyberbezpieczeństwo spoczywa bezpośrednio na Zarządzie i nie może zostać scedowana. Jednak Zarząd nie działa w próżni – potrzebuje kompetentnych wykonawców.
Choć przepisy nie narzucają sztywnej struktury kadrowej, rekomendowaną praktyką jest formalne wyznaczenie pełnomocnika lub zespołu ds. cyberbezpieczeństwa. Taka struktura jest fundamentalna dla skutecznego wdrożenia, ponieważ pełni rolę łącznika między zarządem (odpowiedzialność strategiczna) a podziałami operacyjnymi (wykonanie techniczne). Zapewnia to właściwy przepływ informacji i zdejmuje z dyrekcji ciężar bieżącego nadzoru nad detalami technicznymi.

W nowoczesnym szpitalu, gdzie granica między IT a medycyną zaciera się, taki zespół powinien być interdyscyplinarny. Aby uniknąć silosowości, przy jednym stole powinni usiąść:

  • Dział IT: (odpowiedzialny za infrastrukturę, sieć, systemy HIS).
  • Dział aparatury medycznej: (odpowiedzialny za tomografy, rezonanse i urządzenia IoT wpięte do sieci).
  • Inspektor ochrony danych (IOD): (zapewniający spójność z RODO).
  • Dyrektor ds. medycznych: (niezbędny, aby ocenić wpływ ewentualnej awarii na proces leczenia).

Podstawą skutecznego zarządzania ryzykiem w ochronie zdrowia jest precyzyjna wiedza na temat chronionych aktywów. Nie da się chronić czegoś, o czym nie wiemy, że istnieje. Dlatego niezbędne jest przeprowadzenie szczegółowej inwentaryzacji nie tylko sprzętu, ale przede wszystkim procesów.
Zespół musi zidentyfikować kluczowe procesy medyczne (np. rejestracja pacjentów, diagnostyka laboratoryjna, działanie SOR) i przypisać do nich zasoby niezbędne do ich realizacji:

  1. Kluczowe systemy IT: (HIS, RIS, LIS, systemy apteczne).
  2. Infrastruktura sieciowa: (serwery, macierze, punkty dostępowe).
  3. Technologia operacyjna (OT/IoMT): (angiografy, pompy infuzyjne, systemy monitorowania funkcji życiowych).

Posiadając taką „mapę”, placówka może ocenić, które usługi są krytyczne dla ciągłości działania. Pozwala to również wykryć tzw. shadow IT (np. prywatne urządzenia pracowników podpięte do sieci), które często stanowią najsłabsze ogniwo systemu bezpieczeństwa.

Krok 2: Diagnoza stanu obecnego jako wstęp do zapewnienia bezpieczeństwa

Podstawą racjonalnych decyzji inwestycyjnych i wdrożeniowych jest precyzyjne określenie stanu faktycznego infrastruktury oraz procesów. Kluczowym narzędziem w tej fazie jest analiza luki. Proces ten polega na systematycznym porównaniu obecnego poziomu zabezpieczeń placówki z wymaganiami określonymi w dyrektywie NIS 2. Celem jest wskazanie obszarów niezgodności (luk), które wymagają podjęcia działań korygujących. Wynik tej analizy stanowi niezbędny wstęp do procesu szacowania ryzyka.

Specyfika audytu bezpieczeństwa w środowisku szpitalnym

Audyt bezpieczeństwa w podmiocie leczniczym jest procesem złożonym, który musi obejmować dwa uzupełniające się obszary:

  • Audyt zgodności: weryfikacja dokumentacji, polityk i procedur pod kątem ich kompletności oraz zgodności z wymogami prawnymi (KSC, RODO).
  • Audyt techniczny: weryfikacja konfiguracji systemów i infrastruktury sieciowej. W tym obszarze kluczowe jest uwzględnienie specyfiki infrastruktury medycznej. O ile systemy administracyjne mogą być poddawane standardowym testom penetracyjnym, o tyle testowanie sieci, do której podłączona jest aparatura medyczna, wymaga zastosowania dedykowanych, nieinwazyjnych metod. Niewłaściwie przeprowadzone, agresywne skanowanie podatności może doprowadzić do zakłócenia pracy urządzeń medycznych. Dodatkowym wyzwaniem jest fakt, że wiele urządzeń medycznych pracuje na przestarzałych systemach operacyjnych, których aktualizacja jest często niemożliwa. W takich przypadkach audyt nie może ograniczać się jedynie do wskazania luki, lecz musi rekomendować realne zabezpieczenia kompensacyjne, takie jak mikrosegmentacja sieci. Audytor musi zatem posiadać kompetencje inżynieryjne, aby prawidłowo ocenić ryzyko w środowisku specyficznych protokołów medycznych (np. DICOM, HL7).
Wdrożenie NIS 2 w szpitalu - Audyt bezpieczeństwa

Ocena zagrożeń i zarządzanie ryzykiem cyberbezpieczeństwa

Zidentyfikowane podczas audytu luki i podatności muszą zostać poddane formalnej ocenie ryzyka. Samo wykrycie nieprawidłowości jest niewystarczające, konieczne jest określenie ich wpływu na organizację. Proces ten polega na oszacowaniu prawdopodobieństwa wystąpienia incydentu oraz jego potencjalnych skutków (finansowych, operacyjnych, wizerunkowych) dla ciągłości udzielania świadczeń zdrowotnych.
Rzetelna ocena ryzyka pozwala na nadanie priorytetów działaniom naprawczym. Zgodnie z zasadą proporcjonalności, placówka powinna w pierwszej kolejności mitygować ryzyka krytyczne, zagrażające bezpieczeństwu pacjentów i kluczowym procesom, optymalizując tym samym alokację budżetu na cyberbezpieczeństwo.

ZOBACZ RÓWNIEŻ:

Krok 3: Stworzenie polityk i systemu zarządzania

Wyniki diagnozy i analizy luki są punktem wyjścia do budowy systemu odporności placówki. Na tym etapie surowe dane o podatnościach muszą zostać przekute w strategiczny plan działania, którego formalnym ramy nadaje System Zarządzania Bezpieczeństwem Informacji (SZBI). Nie należy traktować go jako kolejnego zbioru dokumentów do odłożenia na półkę. SZBI powinien być postrzegany jako żywy mechanizm regulujący sposób, w jaki szpital przetwarza i chroni dane w każdym procesie medycznym i administracyjnym. Fundamentem tego systemu jest polityka bezpieczeństwa, która, zatwierdzona bezpośrednio przez Zarząd, wyznacza nieprzekraczalne ramy działania dla personelu i partnerów zewnętrznych.

Prawdziwym sprawdzianem skuteczności SZBI są jednak procedury wykonawcze, a w szczególności plan ciągłości działania (BCP). W realiach szpitalnych dokument ten nie może ograniczać się do technicznych instrukcji przywracania serwerów. Musi on definiować precyzyjne scenariusze postępowania klinicznego w warunkach niedostępności systemów IT. Kluczowe jest opracowanie i przećwiczenie procedur pracy w „trybie awaryjnym” (często papierowym), które pozwolą SOR-owi czy blokowi operacyjnemu funkcjonować bezpiecznie w momencie, gdy ekrany systemów HIS/RIS zgasną. BCP staje się więc dokumentem medycznym, a nie informatycznym, gwarantującym, że incydent cyfrowy nie przerodzi się w zagrożenie dla życia pacjentów.
Równie krytycznym elementem jest procedura zarządzania incydentami, która musi uwzględniać specyfikę pracy w trybie 24/7. Procedura ta musi jednoznacznie rozstrzygać dylematy decyzyjne, na przykład: kto posiada uprawnienia do podjęcia decyzji o całkowitym odcięciu szpitala od Internetu w środku nocy, jeśli wykryty zostanie gwałtowny atak ransomware. Jasne zdefiniowanie ścieżki eskalacji i decyzyjności pozwala uniknąć paraliżu decyzyjnego w pierwszych, kluczowych minutach ataku, a także zapewnia terminowe raportowanie incydentów do właściwych organów (CSIRT), co jest rygorystycznie wymagane przez przepisy.

Krok 4: Implementacja. Technologie, procedury i weryfikacja partnerów

Czwarty i ostatni etap przyczyniający się do efektywnego dostosowania poziomu bezpieczeństwa w sektorze ochrony zdrowia, to faza implementacji. Przekłada ona opracowany w Kroku 3 system zarządzania (SZBI) oraz zdefiniowaną politykę bezpieczeństwa na konkretne, realne działania. Jest to proces wielowymiarowy, który obejmuje trzy główne filary: wdrożenie odpowiednich środków bezpieczeństwa (technologii), implementację kluczowych procedur organizacyjnych (jak szkolenia personelu, zgłaszanie incydentów, monitorowanie i detekcja zagrożeń) oraz strategiczną weryfikację i zarządzanie ryzykiem związanym z zewnętrznymi dostawcami usług cyfrowych. Wprowadzenie NIS 2 w placówkach zdrowia jest wyzwaniem wielowymiarowym i długotrwałym. Dlatego należy pracę związane z wdrożeniem dyrektywy podzielić na etapy, które powinny być sukcesywnie realizowany.

Wdrożenie technicznych środków zarządzania ryzykiem (MFA, EDR, szyfrowanie)

Na podstawie wcześniejszej oceny ryzyka, szpital powinien przystąpić do wdrożenia barier technicznych, które zwiększą bezpieczeństwo danych. Absolutnym priorytetem, wymaganym przez dyrektywę NIS 2, jest powszechne wdrożenie uwierzytelniania wieloskładnikowego (czytaj więcej dyrektywa NIS 2 w szpitalu i MFA). W środowisku medycznym, gdzie hasła są często współdzielone lub zapisywane na kartkach, MFA staje się pierwszą linią obrony przed nieautoryzowanym dostępem. Jednocześnie obowiązek ten dowodzi, że bezpieczeństwo systemów informatycznych wykorzystywanych przez szpital może być zwiększone poprzez tak proste rozwiązania jak podwójna weryfikacja podczas logowania np. do systemu HIS. Uwierzytelnianie wieloskładnikowe jest stosunkowo prostym i tanim we wdrożeniu rozwiązaniem, którego restrykcyjne przestrzeganie przez personel szpitala znacząco podnosi bezpieczeństwo danych i ryzyku zainfekowania systemu.
W kontekście zapewnienia bezpieczeństwa danych medycznych warto zwrócić uwagę na fakt, że wspomniana dyrektywa wymaga wdrożenia szyfrowania danych (zarówno w spoczynku, jak i w tranzycie) oraz systemów klasy EDR (Endpoint Detection and Response) na stacjach końcowych. Te ostatnie, wspierane przez usługę monitoringu SOC, pełnią rolę cyfrowego monitoringu, pozwalając wykryć atak w jego wczesnej fazie.
Na podstawie powyższych przykładów dobrych praktyk można stwierdzić, że postawione w tytule pytanie: jak wdrożyć NIS 2 w szpitalu, odpowiedź jest wielowymiarowa. Gdyż dyrektywa wymaga wykorzystania zarówno nowoczesnych i skomplikowanych narzędzi wpisujących się w system cyberbezpieczeństwa jednostki medycznej, jak i prostych i powszechnie znanych rozwiązań wpływających na poziom bezpieczeństwa.

Cyberhigiena jako środek bezpieczeństwa sektora ochrony zdrowia

Równolegle do inwestycji w technologię, kluczowa jest praca u podstaw, czyli budowanie świadomości personelu. Nawet najdroższy system bezpieczeństwa okaże się nieskuteczny, jeśli najsłabszym ogniwem pozostanie człowiek. Cyberhigiena w szpitalu musi wykraczać poza standardowe, jednorazowe szkolenia. Chodzi o wyeliminowanie ryzykownych nawyków, które w sektorze ochrony zdrowia są niestety wciąż powszechne, takich jak współdzielenie kont (np. logowanie na ogólne konto „lekarz_dyzurny”), zapisywanie haseł na kartkach przyklejonych do monitora czy korzystanie z prywatnych, niesprawdzonych nośników USB do przenoszenia dokumentacji medycznej.
Dyrektywa NIS 2 nakłada obowiązek prowadzenia regularnych, cyklicznych szkoleń, które muszą być dostosowane do specyfiki pracy medyków. Personel musi potrafić rozpoznać ataki socjotechniczne (np. phishing podszywający się pod komunikaty z NFZ lub laboratorium) oraz wiedzieć, jak bezpiecznie i bez obaw o konsekwencje zgłosić podejrzany incydent. Celem tych działań jest przekształcenie personelu z potencjalnego punktu wejścia dla ataku w świadomą „ludzką zaporę”, która potrafi zidentyfikować zagrożenie i odpowiednio zareagować, chroniąc tym samym dane pacjentów.

Zarządzanie łańcuchem dostaw. Dostawcy usług cyfrowych pod lupą

Często niedocenianym elementem związanym z wprowadzeniem NIS 2 w placówkach zdrowia, jest zmiana podejścia do łańcucha dostaw. Szpitale są uzależnione od zewnętrznych firm, takich jak dostawcy systemów HIS/RIS, firm serwisujących tomografy czy obsługujących infrastrukturę sieciową. Dyrektywa NIS 2 kończy z erą bezgranicznego zaufania. Placówka medyczna ponosi teraz odpowiedzialność za to, kogo „wpuszcza” do swojej sieci. W praktyce oznacza to konieczność przeprowadzenia audytu kluczowych partnerów i renegocjacji umów. Nowe kontrakty muszą zawierać precyzyjne klauzule bezpieczeństwa (SLA), które zobowiązują dostawcę nie tylko do zachowania standardów cyberbezpieczeństwa, ale przede wszystkim do natychmiastowego informowania szpitala o wykrytych u siebie incydentach. Szczególny nadzór musi objąć kwestię dostępu zdalnego (serwisowego) do aparatury medycznej. „Otwarte okna” serwisowe dla zewnętrznych techników są częstym wektorem ataku, dlatego procedury muszą wymuszać ścisłą kontrolę, monitorowanie i autoryzację każdego takiego połączenia.
Wprowadzenie odpowiednich środków bezpieczeństwa przez zewnętrzne firmy IT dostarczające swoje rozwiązania dla sektora ochrony zdrowia, to kolejny czynnik wpływający na zarządzanie ryzykiem w ochronie zdrowia i niwelujący ewentualne niebezpieczeństwa oraz ich niekorzystny wpływ na funkcjonowanie placówki medycznej.

Wdrożenie NIS 2 w placówkach zdrowia jako proces ciągłego doskonalenia

Przedstawiona 4-etapowa mapa nie odpowiada w stopniu szczegółowym na pytanie, jak wdrożyć NIS 2 w szpitalu? Mimo to powyższy tekst systematyzuje odpowiedzi na najważniejsze pytania i wskazuje elementy kluczowe z perspektywy cyberbezpieczeństwa w ochronie zdrowia. Wymagania dyrektywy w połączeniu z krajową ustawą są drogowskazem dla osób zarządzających placówkami zdrowia uznanymi za kluczowe w kontekście bezpieczeństwa państwa. Wobec czego ich polityka bezpieczeństwa powinna być potraktowana z należytą uwagą zarówno przez osoby zarządzające jednostkami medycznymi, jak i przez wszystkich pracowników (personel medyczny i personel administracyjny). Współczesna ochrona cybernetyczna, to nie tylko ochrona danych przed dostępem osób nieupoważnionych.
Aktualne zagrożenia w sferze cybernetycznej muszą uwzględniać także, raportowanie incydentów, których zamiarem był nieupoważniony dostęp do infrastruktury teleinformatycznej szpitala, kontrola i audytowanie dostawców usług cyfrowych, szkolenie oraz większa świadomość wszystkich pracowników w zakresie cyberhigieny i zwracania uwagi na zjawiska niepożądane.


Każdy podmiot medyczny to indywidualne potrzeby, zasoby oraz metody i dlatego wdrożenie NIS 2 w placówkach zdrowia powinno być poprzedzone wnikliwą analizą potrzeb i audytem aktualnych, zaimplementowanych już rozwiązań.
Zarządzanie ryzykiem w placówkach zdrowia w wymiarze cyberzpieczeństwa nie jest ani proste, ani tanie. Mimo to 4 opisane powyżej kroki można potraktować, jako fundament organizacyjny i przełamanie silosów między IT a medycyną (Krok 1), przez rzetelną diagnozę (Krok 2) i budowę procedur (Krok 3), aż po twardą implementację technologii i cyberhigieny (Krok 4).
Należy jednak z całą mocą podkreślić: wdrożenie NIS 2 w placówkach zdrowia nie jest projektem, który można „zamknąć i odhaczyć”. Szpital to dynamiczny ekosystem. Każdego miesiąca pojawia się nowa aparatura medyczna, zmieniają się dostawcy leków, rotuje personel, a cyberprzestępcy doskonalą metody ataków na sektor zdrowia.
System bezpieczeństwa, który jest skuteczny dzisiaj, za pół roku może okazać się dziurawy. Dlatego NIS 2 w placówkach zdrowia wymusza filozofię ciągłego doskonalenia, poprzez kontrole, szkolenia, czy wspomniane już raportowanie incydentów. Zapewnienie bezpieczeństwa wymaga stałej gotowości: regularnego testowania procedur BCP, aktualizacji mapy ryzyka przy każdym zakupie nowego sprzętu (kontrolę łańcucha dostaw).

Od czego zacząć, by nie sparaliżować wdrożenia NIS 2 w szpitalu?

Patrząc na skalę wyzwań finansowych, prawnych, organizacyjnych i technologicznych, wielu dyrektorów zadaje sobie pytanie: „Jak wykonać pierwszy krok, nie wydając fortuny na rozwiązania, które mogą okazać się nieadekwatne?”. Kluczem jest uniknięcie chaosu inwestycyjnego. Zanim zatrudnisz sztab informatyków lub kupisz drogie systemy, potrzebujesz „mapy” dopasowanej do Twojej unikalnej sytuacji.
Dlatego w Coongi proponujemy „Audyt zero”. Jest to nasza autorska usługa wstępnej analizy, która stanowi bezpieczny, niskoprogowy start do osiągnięcia zgodności z dyrektywą NIS 2. „Audyt zero” nie jest inwazyjnym testem technicznym, który ryzykuje zatrzymanie pracy szpitala. To strategiczna konsultacja i przegląd procesów, którego celem jest:

  1. Wstępna identyfikacja największych luk w bezpieczeństwie (gap analysis).
  2. Określenie priorytetów inwestycyjnych zgodnie z zasadą proporcjonalności (żeby nie przepłacać).
  3. Zbudowanie konkretnego planu działania pod specyfikę Twojej placówki.

Dopiero z tym planem w ręku możesz świadomie zarządzać budżetem i bezpieczeństwem. Nie zgaduj, jak wdrożyć NIS 2? Zacznij od analizy aktualnej sytuacji.

Sprawdź Audyt zero
Sprawdź Audyt zero