7 najczęstszych błędów szpitali przygotowujących się do NIS 2

Jednym z najczęstszych błędów jest traktowanie NIS 2 jako obowiązku, którym „zajmiemy się, gdy pojawi się kontrola” albo „gdy będą w pełni jasne wytyczne”. Tymczasem:

• regulacje przewidują konkretne terminy wdrożenia;
• obowiązki wynikają z samego spełnienia kryteriów (np. wielkości podmiotu);
• organizacja powinna być przygotowana, zanim pojawi się kontrola.

Efekt jest łatwy do przewidzenia: brak przygotowania systemowego i działania na szybko, często pod presją. Dochodzi do tego, że działania te prowadzone są w trybie interwencyjnym, bez możliwości realnej analizy ryzyka. Przygotowanie organizacji do NIS 2 wymaga czasu, zarówno na poziomie formalnym, jak i operacyjnym. W praktyce oznacza to konieczność m.in. przeprowadzenia analizy statusu podmiotu, identyfikacji usług i systemów krytycznych, zaprojektowania docelowego modelu zarządzania bezpieczeństwem.

Wskazówka: Przygotowanie do NIS 2 to proces. Im wcześniej zostanie rozpoczęty, tym więcej decyzji można podjąć świadomie, a nie reaktywnie.

Wiele szpitali wciąż nie wie:

• czy jest podmiotem kluczowym, czy ważnym;
• jakie dokładnie obowiązki ich dotyczą;
• czy obejmuje ich katalog podmiotów objętych regulacją.

To punkt wyjścia. Bez tej wiedzy nie da się zaplanować działań, dobrać adekwatnych środków, a także trudno oszacować skalę wdrożenia. Efekt? Działania „na ślepo” lub nieproporcjonalne do wymagań.

Wskazówka: Klasyfikacja podmiotu nie jest (tylko) formalnością prawną. Determinuje skalę odpowiedzialności i zakres obowiązków, stając się podstawą systemu bezpieczeństwa.

W wielu organizacjach wciąż panuje przekonanie, że wystarczy mieć firewalla, antywirusa lub dział IT i już spełnia się wymogi NIS 2. Jednak NIS 2 wymaga czegoś zupełnie innego, a mianowicie:

• zarządzania ryzykiem;
• podejścia procesowego;
• powiązania bezpieczeństwa z ciągłością leczenia.

Warto zapamiętać, że cyberbezpieczeństwo to nie infrastruktura, a zdolność organizacji do funkcjonowania mimo incydentu. Inne myślenie prowadzi do fałszywego poczucia bezpieczeństwa. W efekcie organizacja inwestuje w technologie, np. chroniące infrastrukturę, które nie zapewniają realnej odporności organizacyjnej w rozumieniu NIS 2.

Wskazówka: Cyberbezpieczeństwo należy rozpatrywać w tych samych kategoriach co inne ryzyka operacyjne, z udziałem właścicieli procesów, a nie wyłącznie administratorów systemów.

Szpitale często nie potrafią jednoznacznie wskazać:

• które systemy są kluczowe dla realizacji świadczeń;
• co się stanie, jeśli przestanie działać LIS, RIS, PACS lub EDM;
• które procesy mają największy wpływ na bezpieczeństwo pacjenta.

W efekcie braku odpowiedzi na powyższe i podobne pytania organizacja zajmuje się zabezpieczaniem „wszystkiego po trochu”, zamiast kluczowych elementów. Priorytety są ustalane intuicyjnie, a nie analitycznie. Tymczasem NIS 2 wymaga identyfikacji systemów wpływających na usługę oraz zarządzania ryzykiem w tych obszarach.

Wskazówka: Nie każdy system jest równie ważny. Kluczem jest koncentracja na tych, których niedostępność realnie zatrzyma świadczenie usług.

W wielu placówkach istnieją polityki, procedury, instrukcje, ale nie tworzą one spójnego systemu zarządzania bezpieczeństwem informacji (SZBI). NIS 2 wymaga systemu, który obejmuje m.in.:

• zarządzanie ryzykiem;
• obsługę incydentów;
• zarządzanie dostępami;
• ciągłość działania;
• bezpieczeństwo dostawców.

Wprawdzie dokumentacja istnieje, ale nie działa w praktyce. Mamy więc zgodność „na papierze”, a w praktyce – brak sterowalności i rozliczalności.

Wskazówka: Efektywny SZBI można rozpoznać po tym, że wspiera podejmowanie decyzji, tj. wskazuje właścicieli ryzyk, pozwala śledzić ich status i umożliwia kierownictwu świadome akceptowanie ryzyka. Jeśli dokumenty nie są wykorzystywane w bieżącym zarządzaniu, to system w praktyce nie działa.

Jednym z największych problemów w szpitalach jest brak uporządkowanego zarządzania dostępami, zwłaszcza gdy:

• konta nie są usuwane po zmianie stanowiska;
• dostawcy mają stały dostęp;
• nie ma kontroli nad uprawnieniami uprzywilejowanymi;
• nie stosuje się zasady minimalnych uprawnień.

Tymczasem regulacje wymagają ścisłej kontroli dostępu, bieżącego nadawania i odbierania uprawnień oraz monitorowania dostępu do systemów. Bez tego istnieje wysokie ryzyko incydentów i nadużyć.

Pamiętaj: Zarządzanie dostępami to jeden z najbardziej efektywnych kosztowo elementów poprawy bezpieczeństwa.

Najistotniejszą zmianą wprowadzoną przez NIS 2 jest przeniesienie odpowiedzialności na poziom zarządczy. Oznacza to, że:

• cyberbezpieczeństwo staje się elementem ładu organizacyjnego, a nie działu IT;
• kierownictwo musi rozumieć ryzyka i odpowiada za nadzór i skuteczność SZBI;
• decyzje w tym obszarze mają charakter biznesowy.

W praktyce często obserwujemy takie przypadki, że zarząd nie ma pełnego obrazu ryzyka, a nawet nie ma ustalonego regularnego raportowania czy też nadzoru nad SZBI. W efekcie bezpieczeństwo nie jest zarządzane, jest tylko obsługiwane.

Wskazówka: Zaangażowanie kierownictwa nie polega na akceptowaniu dokumentów, lecz na cyklicznym nadzorze: przeglądzie ryzyk, monitorowaniu incydentów i weryfikacji skuteczności SZBI.

Jak widać, największym błędem nie jest brak technologii, a brak struktury, odpowiedzialności, świadomości ryzyka. To prosty fakt. NIS 2 nie wymaga więcej narzędzi, wymaga natomiast dojrzałego zarządzania bezpieczeństwem.

Szpitale, które dobrze przygotują się do NIS 2:

• wiedzą, czy podlegają regulacji;
• rozumieją swoje procesy krytyczne;
• mają realny (niepapierowy!) SZBI;
• kontrolują dostęp do systemów;
• angażują kierownictwo w decyzje o bezpieczeństwie.

Te, które tego nie zrobią, będą działać reaktywnie, i to dopiero po incydencie lub kontroli. W ochronie zdrowia konsekwencje takich błędów są znacznie poważniejsze niż tylko finansowe. Mogą bezpośrednio wpływać na ciągłość udzielania świadczeń, dostęp do dokumentacji medycznej oraz bezpieczeństwo procesów diagnostycznych i terapeutycznych. W skrajnych przypadkach mogą doprowadzić do opóźnienia leczenia, ograniczenia dostępności usług, a nawet zagrożenia zdrowia lub życia pacjentów. Jednocześnie incydenty cyberbezpieczeństwa podważają zaufanie do placówki – zarówno wśród pacjentów, jak i personelu – czego odbudowa jest procesem długotrwałym i kosztownym organizacyjnie.

Placówki, które podejdą do regulacji metodycznie, zyskają nie tylko zgodność z przepisami, lecz przede wszystkim większą odporność operacyjną, lepszą kontrolę nad ryzykiem i realne wsparcie ciągłości udzielania świadczeń. W tym sensie NIS 2 należy traktować nie jako koszt regulacyjny, lecz jako element odpowiedzialnego zarządzania szpitalem.