Ciągłość działania szpitala. Jak spełnić wymogi NIS 2?

Ciągłość działania w szpitalu NIS 2 - Coongi

Jeszcze dekadę temu awaria systemów informatycznych w szpitalu była uciążliwością administracyjną. Personel wracał do papieru,
a praca zwalniała, lecz trwała. Dziś, w dobie pełnej transformacji cyfrowej w sektorze ochrony zdrowia, sytuacja wygląda radykalnie inaczej. Niedostępność systemu HIS, awaria sieci przesyłającej obrazy z tomografu czy atak ransomware na laboratorium oznaczają paraliż diagnostyczny i terapeutyczny. W tym kontekście cyberbezpieczeństwo szpitali przestaje być zagadnieniem technicznym,
a staje się fundamentem bezpieczeństwa pacjenta.

Wdrożenie dyrektywy NIS 2 w szpitalu wymusza na zarządach radykalną zmianę podejścia do kwestii bezpieczeństwa. Przez lata uwaga skupiona była głównie na poufności danych (RODO), czyli na tym, aby dane nie wyciekły. Nowe regulacje przesuwają ten akcent na dostępność i odporność.
Unijna dyrektywa wskazuję także na konieczność analizy ryzyka w innych obszarach, które do tej pory nie były priorytetem lub nawet niedostrzegane w kontekście zapewnienia ciągłości działania szpitala. Szybko postępująca transformacja cyfrowa i digitalizacja kolejnych obszarów działania jednostek ochrony zdrowia sprawia, że funkcjonowanie placówki medycznej może być zagrożone na wielu polach. Ryzyko kryzysu dotyczy zarówno podstawowych usług medycznych, jak i specjalistycznej diagnozy oraz hospitalizacji.
Dla sektora ochrony zdrowia kluczowym wyzwaniem staje się teraz zapewnienie ciągłości działania szpitala. Nie chodzi już tylko o to, by systemy były szczelne, ale przede wszystkim o to, by działały a w przypadku ataku, by placówka potrafiła przetrwać kryzys i realizować swoją misję.
Nowe przepisy stawiają sprawę jasno, podmioty lecznicze muszą posiadać zdolność do nieprzerwanego świadczenia usług kluczowych, nawet w warunkach skrajnie niesprzyjających. Zapewnienie ciągłości działania to proces, który wykracza daleko poza backup danych w serwerowni. To całościowe podejście do wielowymiarowej kwestii cyberbezpieczeństwa, które musi odpowiedzieć na pytanie: jak, krok po kroku, ratować życie i zdrowie pacjentów, gdy ekrany komputerów zgasną? Odpowiedź na to pytanie jest dziś jednym z najważniejszych obowiązków zarządu szpitali wobec nowych obowiązków wynikających z NIS 2.

Spis treści

Ciągłość funkcjonowania szpitala zgodnie z dyrektywą NIS 2

NIS 2 a ciągłość świadczenia usług w szpitalu

Dyrektywa NIS 2 wymusza zmianę perspektywy z „technicznej” na „procesową”. Kluczowa różnica polega na tym, że dla działu IT sukcesem jest przywrócenie sprawności serwera (co może trwać wiele godzin), podczas gdy dla medycyny takie opóźnienie może być krytyczne. Co więcej, w dobie agresywnych cyberataków paraliżującego ransomwaru, aż po ataki łańcuch dostaw tradycyjne podejście jest zawodne.
Wystąpienie sytuacji kryzysowej, w której to jedynym zabezpieczeniem jest hasło „mamy backup, więc jesteśmy bezpieczni” stało się niebezpieczną iluzją nad dla podstawowych usług medycznych, które w pełni wykorzystują dobrodziejstwo, jakie niesie ze sobą transformacja cyfrowa. Dlatego też dyrektywa NIS 2 z jednej strony zobowiązuje do podjęcia wielu środków zaradczych mających poprawić kwestię cyberbezpieczeństwa, a z drugiej strony wskazuje na konieczność przygotowania szpitali na zarządzanie procesami krytycznymi – czytaj więcej: Kluczowe obowiązki szpitala w ramach NIS 2 – co musisz wdrożyć?

 

Ciągłość świadczenia usług w rozumieniu dyrektywy nie oznacza wiary w niezawodność technologii, ale posiadanie procedur pozwalających realizować proces leczenia mimo jej braku. Funkcjonowanie placówki medycznej musi opierać się na systemie dwutorowym. Pierwszy tor to standardowa praca cyfrowa. Drugi tor to w pełni opracowane, alternatywne ścieżki postępowania (często analogowe), które są uruchamiane natychmiast po wykryciu incydentu. Skutecznie wdrożony system zarządzania ciągłością sprawia, że szpital potrafi płynnie przejść na „tryb awaryjny”, gwarantując pacjentom bezpieczeństwo niezależnie od tego, czy systemy IT zostaną przywrócone za godzinę, czy za tydzień.

Jak określić, co jest ważne dla funkcjonowania szpitala?

Zanim powstanie jakikolwiek plan, niezbędna jest rzetelna inwentaryzacja. W dużym szpitalu nie da się chronić wszystkiego z tą samą intensywnością, dlatego istotne jest przeprowadzenie analizy ryzyka i jego wpływu na pracę jednostki medycznej. Efektem tej analizy powinno być oddzielenie usług kluczowych, takich jak funkcjonowanie SOR, bloku operacyjnego czy laboratorium od procesów wspierających, które w razie awarii nie wpłyną na zasadnicze zadanie, czyli ratowanie ludzkiego życia.
To właśnie na tym etapie następuje kluczowe rozróżnienie kompetencji. O ile dział IT skupia się na odzyskiwaniu danych, które zostały utracone w wyniku cyberataku, to zarząd szpitala powinien skupić się na utrzymaniu procesów związanych ze świadczeniem opieki medycznej. W praktyce analiza odpowiada na pytanie „jak długo dany oddział może bezpiecznie funkcjonować bez komputerów, dostępu do sieci?”. Czy elektroniczna dokumentacja medyczna może być niedostępna przez 4 godziny? A może tylko przez 15 minut, zanim zagrozi to pacjentowi na stole operacyjnym?
Ustalenie tych wskaźników czasowych determinuje sposób zarządzania procesami krytycznymi. Jeśli przywrócenie systemu HIS potrawa 48 godzin, a SOR nie może stanąć ani na chwilę, to właśnie system zarządzania ciągłością musi wypełnić tę lukę procedurami manualnymi i analogowymi. Dopiero wiedząc, co jest absolutnie niezbędne do przetrwania tej „cyfrowej luki”, można efektywnie alokować budżet i zasoby, unikając przepalania środków na ochronę systemów o niskim priorytecie strategicznym.

ZOBACZ RÓWNIEŻ:

Jakie są elementy planu ciągłości działania w podmiocie leczniczym?

Skuteczne planowanie ciągłości działania w szpitalu nie może polegać na stworzeniu opasłego tomu dokumentacji, który w godzinie próby pozostanie na półce w gabinecie dyrektora. W warunkach realnego zagrożenia, gdy liczy się każda minuta, nikt nie ma czasu na analizowanie setek stron teoretycznych rozważań. Dlatego kluczowe elementy planu ciągłości działania muszą przyjąć formę zwięzłych, operacyjnych instrukcji. Dokument ten powinien być swoistym algorytmem postępowania, dostępnym dla personelu również w formie fizycznej (wydrukowanej), który jasno definiuje, kto podejmuje decyzje i jakie konkretnie działania należy wykonać w pierwszych, najbardziej chaotycznych chwilach po wystąpieniu awarii.
Najważniejszym elementem wdrożonego systemu zarządzania powinno być zdefiniowanie struktury decyzyjnej, która powinna gwarantować funkcjonowanie placówki medycznej. Jednak nawet najlepszy sztab (zespół) nie zadziała bez sprawnej wymiany informacji. W sytuacji, gdy atak ransomware paraliżuje szpitalną sieć, pocztę elektroniczną i telefony, plan musi wskazywać ścieżki komunikacji alternatywnej. Czy personel ma korzystać z prywatnych komunikatorów? Czy przygotowano niezależne od sieci szpitalnej telefony komórkowe dla ordynatorów kluczowych oddziałów? Dobry system zarządzania ciągłością musi przewidywać te scenariusze, zanim technologia zawiedzie.

Ostatnim, ale krytycznym filarem są procedury techniczno-organizacyjne. Plan musi zawierać jasne instrukcje przełączania na systemy zapasowe oraz moment kiedy ma to nastąpić. Zapewnienie ciągłości działania podmiotu leczniczego zależy bowiem od tego, jak płynnie personel medyczny potrafi przestawić się z pracy w systemie HIS na ręczne wypisywanie zleceń, opisywanie próbek laboratoryjnych czy prowadzenie papierowej historii choroby. Procedury te nie mogą być ogólne, muszą być dedykowane dla każdego obszaru. Planowanie ciągłości działania bloku operacyjnego będzie zupełnie inaczej wyglądać niż oddziału chirurgi czy też SOR-u lub szpitalnej apteki.

Zarządzanie kryzysowe i zarządzanie incydentami

W momencie wykrycia ataku cybernetycznego czas nie jest sprzymierzeńcem, a pierwsze 24 godziny to tzw. „złota doba”, która determinuje skalę strat. Skuteczne zarządzanie kryzysowe w tym oknie czasowym nie może polegać na improwizacji, lecz na uruchomieniu wyćwiczonych algorytmów. Wyzwaniem dla kadry zarządzającej jest uniknięcie paraliżu decyzyjnego. Dlatego procedury muszą rozstrzygać dylemat, kto posiada uprawnienia do podjęcia decyzji o całkowitym odcięciu szpitala od Internetu, by powstrzymać rozprzestrzenianie się ransomware? Czy decyzję tę musi zatwierdzić dyrektor, czy może to zrobić dyżurny administrator IT w środku nocy? Brak jasności w tym obszarze, w momencie gdy waży się ciągłość działania całej jednostki, to prosta droga do katastrofy.

Ciągłość działania szpitala a zarządzanie kryzysowe - NIS 2

W świetle dyrektywy NIS 2, zarządzanie incydentami zyskuje nowy, rygorystyczny wymiar prawny. Przepisy zobowiązują podmioty kluczowe obowiązek przesłania tzw. wczesnego ostrzeżenia o poważnym incydencie do właściwego Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT) w ciągu zaledwie 24 godzin od jego wykrycia. Aby spełnić ten wymóg, organizacja musi potrafić błyskawicznie odróżnić incydent techniczny od zdarzenia, które generuje realne ryzyko kryzysu dla całej jednostki. Nie każda awaria serwera jest kryzysem, ale każdy nieobsłużony incydent może eskalować do momentu, w którym zagrożone jest życie pacjentów. Różnica jest ogromna, gdyż incydent to zakłócenie w działaniu usługi, natomiast sytuacja kryzysowa to stan, w którym organizacja traci zdolność do realizacji swoich kluczowych celów statutowych.
Sytuacja, w której to incydent przeradza się w kryzys, odpowiedzialność za zarządzanie jednostką i podejmowanie decyzji powinien przejąć odpowiednio przygotowany na tego typu sytuacje zespół. Jego rola nie ogranicza się do wsparcia działu IT w przywracaniu systemów. Głównym zadaniem zespołu będzie zapewnienie ciągłości działania i koordynacja komunikacji (zarówno wewnętrznej, jak i z mediami czy organami nadzoru), zarządzanie logistyką (np. decyzja o ewakuacji pacjentów lub wstrzymaniu przyjęć na SOR) oraz strategiczne decyzje o uruchomieniu procedur awaryjnych. Rolą takiego zespołu jest określenie, które procesy medyczne są utrzymywane za wszelką cenę, a które muszą zostać czasowo zawieszone, biorąc na siebie ciężar odpowiedzialności za funkcjonowanie szpitala w warunkach ograniczonej sprawności.

Elementy planu ciągłości funkcjonowania, a rola technologii

Technologia w procesie zapewnienia ciągłości działania powinna pełnić rolę służebną wobec zdefiniowanych wcześniej procesów. Nie ma jednego uniwersalnego zestawu rozwiązań dla każdej placówki, jednak analiza ryzyka często wskazuje na obszary, gdzie odpowiednie narzędzia mogą znacząco skrócić czas przestoju. W kontekście ochrony przed ransomware, nowoczesne szpitale coraz częściej rozważają wdrożenie mechanizmów backupu niezmienialnego. Jest to rozwiązanie, które może stanowić cyfrowe zabezpieczenie dla najbardziej krytycznych danych (np. bazy HIS). Dzięki technologii WORM (Write Once, Read Many), kopie te są zabezpieczone przed modyfikacją czy szyfrowaniem, co daje zespołom IT pewność, że w razie ataku dysponują czystym materiałem do odtworzenia systemów, choć decyzja o zakresie takich kopii powinna wynikać z indywidualnych potrzeb placówki.

Kolejnym obszarem, w którym wdrażanie nowoczesnych technologii może wesprzeć ciągłość usług, jest budowa nadmiarowości. W zależności od tego, jak krytyczny dla danej jednostki jest dostęp do usług e-Zdrowia (e-Recepty, e-Skierowania), warto przeanalizować dywersyfikację łączy internetowych. Posiadanie zapasowego łącza od niezależnego dostawcy to opcja, która minimalizuje ryzyko odcięcia placówki od systemów centralnych. Podobnie w kwestii zasilania, zabezpieczenia systemowe mogą obejmować nie tylko centralne UPS-y dla serwerowni, ale także podtrzymanie zasilania dla kluczowych punktów dystrybucyjnych na oddziałach, co pozwala utrzymać wewnętrzną komunikację nawet przy awarii sieci energetycznej.
Interesującą alternatywą dla kosztownej rozbudowy własnej infrastruktury jest wykorzystanie modelu hybrydowego. Zarządzanie systemami informatycznymi nie musi ograniczać się do fizycznych serwerów w budynku szpitala. Coraz więcej podmiotów leczniczych dostrzega potencjał w chmurze obliczeniowej, która może pełnić rolę zapasowego centrum danych. Takie podejście pozwala na elastyczne uruchomienie krytycznych usług w zewnętrznym środowisku w sytuacji awaryjnej, bez konieczności ponoszenia ogromnych nakładów na budowę i utrzymanie „bliźniaczej” serwerowni. Jest to jedna z opcji, która pozwala zachować ciągłość działania przy jednoczesnej optymalizacji budżetu inwestycyjnego serwerowni szpitala.

Testowanie i aktualizacja planu ciągłości działania

Kluczowym wyzwaniem w zarządzaniu ciągłością działania jest przejście od teoretycznych założeń do praktycznej weryfikacji. Wiele placówek poprzestaje na opracowaniu dokumentacji zapewniającej ciągłość świadczenia usług wyłącznie w celu spełnienia wymogów formalnych. Takie podejście generuje jednak złudne poczucie bezpieczeństwa. Procedury, które nie zostały poddane weryfikacji w warunkach symulowanych, w sytuacji rzeczywistego kryzysu są obarczone wysokim ryzykiem nieskuteczności. Dlatego dyrektywa NIS 2 obliguje podmioty kluczowe nie tylko do posiadania planów, ale przede wszystkim do ich cyklicznego testowania, uznając gotowość operacyjną za nadrzędną wartość względem samej dokumentacji.

Przykład skutecznego zarządzania w tym obszarze opiera się na dwutorowym podejściu do weryfikacji gotowości:

  • Ćwiczenia stolikowe (Tabletop Exercises): To symulacje decyzyjne, w których wyznaczony zespół odpowiedzialny za skuteczne zarządzanie w sytuacji kryzysowej „na sucho” omawia konkretny scenariusz (np. „mamy zaszyfrowaną bazę HIS, co robimy?”). Pozwalają one wykryć luki w komunikacji i decyzyjności bez zakłócania pracy szpitala.
  • Symulacje techniczne i pełnoskalowe: To testy weryfikujące technologię w warunkach zbliżonych do realnego ataku. Może to być próbne odtworzenie bazy danych z backupu (by sprawdzić, czy zajmie to 2 godziny, czy 2 dni) lub fizyczne odłączenie zasilania serwerowni, by sprawdzić działanie agregatów.

Równie krytyczna co testowanie, jest regularna aktualizacja planu ciągłości. Szpital to żywy organizm, powstają nowe oddziały, kupowana jest nowa aparatura, zmieniają się dostawcy leków. Każda taka zmiana w infrastrukturze lub strukturze szpitala (np. zakup nowego rezonansu czy wdrożenie e-usług) musi automatycznie uruchamiać rewizję procedur bezpieczeństwa. System zarządzania ciągłością, który nie nadąża za rozwojem placówki, staje się bezużyteczny, dając zarządowi złudne poczucie bezpieczeństwa w oparciu o nieaktualne dane.

Szkolenia pracowników a ciągłość działania - przejście od prewencji do reakcji

Wdrożenie dyrektywy NIS 2 wymusza redefinicję celów edukacyjnych w podmiotach leczniczych. Dotychczasowy model szkoleniowy skupiał się niemal wyłącznie na prewencji, ucząc personel, jak unikać zagrożeń (np. „nie klikaj w podejrzane linki”). W obliczu współczesnych cyberataków takie podejście jest niewystarczające. Nowoczesna strategia bezpieczeństwa musi zakładać, że błąd ludzki prędzej czy później wystąpi, dlatego kluczowym celem szkolenia pracowników staje się nauka szybkiej i prawidłowej reakcji na incydent, a nie tylko jego unikanie. Personel musi wiedzieć nie tylko jak nie dopuścić do infekcji, ale przede wszystkim – co zrobić w pierwszych sekundach, gdy do niej dojdzie.
Reakcja na incydent cyfrowy powinna być tak samo instynktowna i wyćwiczona, jak wdrożenie procedury reanimacyjnej czy postępowanie w przypadku ekspozycji na materiał zakaźny. Jest to budowanie swoistej „pamięci mięśniowej” organizacji. W momencie kryzysu pielęgniarka czy pracownik rejestracji nie mogą tracić czasu na szukanie numeru do informatyka. Muszą posiadać wiedzę i uprawnienia, by natychmiast odizolować stację roboczą i przełączyć się na procedury alternatywne. Prawidłowe i niezakłócone funkcjonowanie placówki medycznej w warunkach ataku zależy od szybkości tej oddolnej reakcji, która ogranicza rozprzestrzenianie się zagrożenia w sieci szpitalnej.
Takie podejście bezpośrednio wspiera zarządzanie procesami krytycznymi. Regularne treningi z procedur awaryjnych oswajają zespół ze stresem i eliminują paraliż decyzyjny, który jest największym wrogiem w sytuacjach kryzysowych. Przeszkolony pracownik to taki, który potrafi płynnie przejść z pracy w systemie cyfrowym na tryb manualny („papierowy”), nie powodując zatorów w obsłudze pacjentów. W efekcie ciągłość działania szpitala zostaje zachowana dzięki kompetencjom ludzi, którzy potrafią efektywnie realizować misję medyczną nawet w środowisku technicznie zdegradowanym.

Podsumowanie: Ciągłość działania jako standard nowoczesnego zarządzania szpitala w zgodzie z NIS 2

Współczesna medycyna jest nierozerwalnie spięta z technologią. Cyfryzacja procesów sprawiła, że stabilność systemów IT stała się tożsama ze stabilnością operacyjną całego szpitala. Dlatego wdrożenie dyrektywy NIS 2 w szpitalu należy traktować nie jako wymóg administracyjny, ale jako niezbędną aktualizację standardów bezpieczeństwa. Ciągłość działania szpitala przestaje być wyłącznie domeną działu IT, a staje się kluczowym wskaźnikiem jakości zarządzania placówką. Nowe regulacje wymuszają profesjonalizację, która finalnie przekłada się na dwa kluczowe obszary: stabilność finansową jednostki oraz gwarancję bezpieczeństwa pacjenta w każdej sytuacji.
Dla kadry zarządzającej sprawny system ciągłości świadczenia usług to przede wszystkim narzędzie kontroli ryzyka. Posiadanie zweryfikowanych procedur daje zarządowi pewność, że nawet w przypadku krytycznej awarii organizacja zachowa sterowność. To także najsilniejszy argument w ręku menedżera w relacjach z organami nadzoru i dowód na to, że dochowano najwyższej staranności, by zabezpieczyć procesy leczenia przed skutkami cyberzagrożeń.

Audyt zero – Twój punkt odniesienia

W gąszczu nowych przepisów łatwo stracić z oczu cel i przepalić budżet na nietrafione inwestycje. Zamiast podejmować decyzje w oparciu o domysły, sprawdź, w którym miejscu rzeczywiście znajduje się Twoja organizacja. Usługa „Audyt zero” to pragmatyczny pierwszy krok.

Zamiast zgadywać, pozwól nam przeprowadzić wstępną ocenę, która:

  1. Wskaże krytyczne luki w ciągłości działania, o których możesz nie wiedzieć.
  2. Ustawi właściwe priorytety inwestycyjne, chroniąc budżet przed zbędnymi wydatkami.
  3. Dostarczy jasny plan działania (mapę drogową) dojścia do pełnej zgodności z dyrektywą NIS 2.

Sprawdź gotowość swojej placówki, zanim zrobi to rzeczywistość. Zapraszamy do kontaktu w sprawie Audytu zero.

Sprawdź Audyt zero
Sprawdź Audyt zero