W maju 2022 r. NFZ uruchomił program wsparcia inwestycji na bezpieczeństwo cybernetyczne. Wynika on z obowiązku wdrożenia w kraju dyrektywy NIS2. Czym jest ta dyrektywa?
NFZ dofinansuje szpitale w zakresie cyberbezpieczeństwa
Europejska Dyrektywa NIS2 ma być wdrożona w polskim systemie prawnym do 17 października 2024 r., a jej głównym celem jest ujednolicenie oraz podniesienie ogólnego poziomu cyberbezpieczeństwa w Unii Europejskiej. Szpitale w Polsce mają szansę dostosować się do tych nowych przepisów dzięki specjalnemu programowi uruchomionemu przez NFZ. Program oferuje dofinansowanie zakupu kopii zapasowych, systemów typu Firewall oraz bezpiecznej poczty elektronicznej, aż do kwoty 900 tys. zł na projekt. Sprawdź!
NFZ dofinansuje szpitale w zakresie cyberbezpieczeństwa
Założenia Dyrektywy NIS
Dyrektywa NIS (2016/1148 z 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii) została przyjęta w 2016 roku i była pierwszym europejskim prawem, które traktowało o cyberbezpieczeństwie.
Głównymi jej założeniami było zobligowanie państw członkowskich UE do współpracy zarówno międzynarodowej, jak i te wewnętrznej - w zakresie cyberbezpieczeństwa. Wiązało się to między innymi z powołaniem odpowiednich instytucji w strukturach państwowych.
Ponadto do obowiązków państw członkowskich należy raportowanie incydentów oraz zarządzanie ryzykiem dla operatorów usług kluczowych i dostawców usług cyfrowych.
Czas w świecie cyberbezpieczeństwa biegnie bardzo szybko i już w grudniu 2020 r. opublikowano projekt nowej dyrektywy nazwanej NIS2. Rozszerzyła ona zakres podmiotowy o nowe sektory, a w przypadku dotychczasowych, nałożyła większe wymagania, m.in. w zakresie:
- testowania bezpieczeństwa,
- zarządzania bezpieczeństwem obsługi i ujawniania luk w zabezpieczeniach oraz
- efektywnego wykorzystania szyfrowania.
Wprowadzone zostały również nowe mechanizmy współpracy międzynarodowej poprzez ustanowienie European Cyber Crisis Liaison Organisation Network (tzw. EU-CyCLONe) czyli Europejskiej Sieci Zarządzania Kryzysowego w Cyberprzestrzeni.
NIS2 obecnie nie jest już projektem, ale obowiązującym aktem prawnym. Dyrektywa została przyjęta przez państwa członkowskie 14 grudnia 2022 r. Ostateczny termin przeniesienia jej wymogów na grunt ustawodawczy poszczególnych państw upływa 17 października 2024 roku.
- W przypadku Polski najprawdopodobniej będziemy mieli do czynienia z nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa. Mimo więc, że zapisy dyrektywy formalnie nie są jeszcze egzekwowane, to czasu na realizację pozostało niewiele, bo nieco ponad rok – wyjaśnia Adam Łobodziński, Fortinet Systems Energineer.
Jak sfinansować wyższy poziom cyberbezpieczeństwa?
Obecnie mamy sprzyjającą sytuację, ponieważ z pomocą w spełnieniu zapisów dyrektywy NIS2 dla sektora zdrowia przyszedł Narodowy Fundusz Zdrowia. Już w maju 2022 r. prezes NFZ wydał zarządzenie w sprawie finansowania działań w celu podniesienia poziomu bezpieczeństwa teleinformatycznego u świadczeniodawców. Przewidywało ono możliwość uzyskania wsparcia finansowego na inwestycje w cyberbezpieczeństwo placówek medycznych.
Zarządzenie to było już dwukrotnie aktualizowane: 16 stycznia oraz 14 lipca 2023 r.
W obecnej wersji, które obowiązuje od lipca br. z pomocy skorzystać mogą podmioty lecznicze posiadające umowę z NFZ oraz prowadzące przynajmniej jedno z wymienionych w zarządzeniu świadczeń m.in.:
- leczenie szpitalne,
- rehabilitację leczniczą,
- opiekę psychiatryczną i leczenie uzależnień lub
- lecznictwo uzdrowiskowe.
Kolejna oferta dla pionierów
Z programu jeszcze do niedawna wyłączone były podmioty, które już z niego skorzystały i zakończyły proces realizacji podnoszenia poziomu bezpieczeństwa. Jednak w myśl nowelizacji z lipca 2023 r. możliwe jest ponowne złożenie wniosku o dodatkowe finansowanie dla placówek, które rozliczyły już wcześniej umowy i poniosły wydatki na podniesienie poziomu cyberbezpieczeństwa w okresie od 5 czerwca do 24 listopada br.
Wnioski o dodatkowe finansowanie (czyli składane przez podmioty, które już raz skorzystały z dotacji) nie mogą obejmować raz już rozliczanego wydatku - musi to być koniecznie nowa inwestycja.
Szansa dla podmiotów z opóźnieniami procesu wdrożenia
Jeśli zaś chodzi o podmioty, które wnioski złożyły już wcześniej, ale nie zdążyły zakończyć procesu, powinny złożyć tzw. wniosek aktualizacyjny, którego końcową datą realizacji projektu będzie 24 listopada 2023 r.
Termin składania wniosków aktualizacyjnych oraz o dodatkowe finansowanie upływa 25 września 2023 r.
Jakie inwestycje można refundować?
Zarządzenie wprost wskazuje rodzaje zakupów i jest to duża zmiana w stosunku do wersji z ubiegłego roku, w której w praktyce każdy wydatek na bezpieczeństwo elektroniczne mógł być refinansowany.
Obecnie zarządzenie wymienia jako podlegające refundacji zakup i rozwijanie:
- systemów wykonywania kopii zapasowych,
- systemów Firewall,
- poczty elektronicznej wraz z modułem bezpieczeństwa,
- audytu bezpieczeństwa,
- szkoleń dla kadry kierowniczej i pracowników w wysokości nieprzekraczającej 20 proc. kosztów inwestycji.
Pamiętaj o kolejności wykonywania inwestycji
Drugą niezmiernie istotną zmianą zawartą w ostatniej aktualizacji zarządzenia jest warunkowanie akceptacji. Polega ono na tym, że zarządzenie wskazuje nie tylko konkretne systemy, ale też kolejność ich realizacji. Dlatego też podstawowym narzędziem podlegającym refundacji jest system kopii zapasowych i dopiero po jego realizacji można ubiegać się kolejno o Firewall, a następnie system bezpiecznej poczty elektronicznej itd.
Kolejność refinansowania jest więc wskazana w zarządzeniu prezesa NFZ (w kolejności występowania).
Po zakończeniu inwestycji, w celu otrzymania wsparcia, należy przedstawić wyniki audytu, który potwierdzi zwiększenie poziomu bezpieczeństwa. Audyt jest podstawą do refundacji nakładów – które zgodnie z zarządzeniem zależą od wielkości kontraktu i mogą wynieść nawet 900 tys. zł.
Jakie obowiązki nakłada na szpitale dyrektywa NIS2?
Szczegółowe obowiązki szpitali zostaną określone po przeniesieniu zapisów Dyrektywy do krajowego porządku prawnego. Odbędzie się to poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa.
Jednym z takich obowiązków jest zgłaszanie incydentów związanych z naruszeniem cyberbezpieczeństwa. Incydenty to – zdarzenia naruszające integralność lub poufność przechowywanych danych lub usług oferowanych przez systemy teleinformatyczne.
W kraju incydenty takie należy zgłaszać do Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego CSIRT GOV prowadzonego przez Szefa Agencji Bezpieczeństwa Wewnętrznego. Koordynuje on proces reagowania na incydenty komputerowe. Samo zgłoszenie nie nakłada na podmiot zgłaszający zwiększonej odpowiedzialności.
Zgłoszenie takie musi być wykonane w określonym czasie (liczonym od momentu powzięcia wiedzy o poważnym incydencie):
a) bezzwłocznie (max. 24 h) – jest to tzw. wczesne ostrzeżenie ze wskazaniem - czy poważny incydent został przypuszczalnie wywołany działaniem bezprawnym lub działaniem w złym zamiarze lub czy mógł wywrzeć wpływ transgraniczny,
b) bezzwłocznie (max. 72 h) – to zgłoszenie incydentu z ewentualną aktualizacją powyższych informacji i wskazaniem - wstępnej oceny poważnego incydentu, w tym jego dotkliwości i skutków, a w stosownych przypadkach także wskaźników integralności systemu.
Podczas zgłaszania incydentów należy pamiętać o następujących obowiązkach:
- zgłoszeniu incydentu poważnego bez zbędnej zwłoki,
- powiadomieniu odbiorców usług o takich poważnych incydentach, które mogą mieć niekorzystny wpływ na świadczenie usług, z których korzystają,
- poinformowaniu odbiorców usług, których potencjalnie dotyczy poważne cyberzagrożenie, o środkach zaradczych i innych środkach, które ci odbiorcy mogą zastosować w reakcji na to zagrożenie.
Należy pamiętać, że na wdrożenie do krajowego systemu prawnego dyrektywy NIS2, Polska ma czas do 17 października 2024 roku. Finansowanie dostępne jest natomiast do 25 września 2023 r.
- dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Tekst mający znaczenie dla EOG)