W maju 2022 r. NFZ uruchomił program wsparcia inwestycji na bezpieczeństwo cybernetyczne. Wynika on z obowiązku wdrożenia w kraju dyrektywy NIS2. Czym jest ta dyrektywa?

Dyrektywa NIS (2016/1148 z 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii) została przyjęta w 2016 roku i była pierwszym europejskim prawem, które traktowało o cyberbezpieczeństwie.

Głównymi jej założeniami było zobligowanie państw członkowskich UE do współpracy zarówno międzynarodowej, jak i te wewnętrznej - w zakresie cyberbezpieczeństwa. Wiązało się to między innymi z powołaniem odpowiednich instytucji w strukturach państwowych.

Czas w świecie cyberbezpieczeństwa biegnie bardzo szybko i już w grudniu 2020 r. opublikowano projekt nowej dyrektywy nazwanej NIS2. Rozszerzyła ona zakres podmiotowy o nowe sektory, a w przypadku dotychczasowych, nałożyła większe wymagania, m.in. w zakresie:

• testowania bezpieczeństwa,
• zarządzania bezpieczeństwem obsługi i ujawniania luk w zabezpieczeniach oraz
• efektywnego wykorzystania szyfrowania.

Wprowadzone zostały również nowe mechanizmy współpracy międzynarodowej poprzez ustanowienie European Cyber Crisis Liaison Organisation Network (tzw. EU-CyCLONe) czyli Europejskiej Sieci Zarządzania Kryzysowego w Cyberprzestrzeni.

NIS2 obecnie nie jest już projektem, ale obowiązującym aktem prawnym. Dyrektywa została przyjęta przez państwa członkowskie 14 grudnia 2022 r. Ostateczny termin przeniesienia jej wymogów na grunt ustawodawczy poszczególnych państw upływa 17 października 2024 roku.

- W przypadku Polski najprawdopodobniej będziemy mieli do czynienia z nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa. Mimo więc, że zapisy dyrektywy formalnie nie są jeszcze egzekwowane, to czasu na realizację pozostało niewiele, bo nieco ponad rok – wyjaśnia Adam Łobodziński, Fortinet Systems Energineer.

Obecnie mamy sprzyjającą sytuację, ponieważ z pomocą w spełnieniu zapisów dyrektywy NIS2 dla sektora zdrowia przyszedł Narodowy Fundusz Zdrowia. Już w maju 2022 r. prezes NFZ wydał zarządzenie w sprawie finansowania działań w celu podniesienia poziomu bezpieczeństwa teleinformatycznego u świadczeniodawców. Przewidywało ono możliwość uzyskania wsparcia finansowego na inwestycje w cyberbezpieczeństwo placówek medycznych.

Zarządzenie to było już dwukrotnie aktualizowane: 16 stycznia oraz 14 lipca 2023 r.

W obecnej wersji, które obowiązuje od lipca br. z pomocy skorzystać mogą podmioty lecznicze posiadające umowę z NFZ oraz prowadzące przynajmniej jedno z wymienionych w zarządzeniu świadczeń m.in.:

• leczenie szpitalne,
• rehabilitację leczniczą,
• opiekę psychiatryczną i leczenie uzależnień lub
• lecznictwo uzdrowiskowe.

Z programu jeszcze do niedawna wyłączone były podmioty, które już z niego skorzystały i zakończyły proces realizacji podnoszenia poziomu bezpieczeństwa. Jednak w myśl nowelizacji z lipca 2023 r. możliwe jest ponowne złożenie wniosku o dodatkowe finansowanie dla placówek, które rozliczyły już wcześniej umowy i poniosły wydatki na podniesienie poziomu cyberbezpieczeństwa w okresie od 5 czerwca do 24 listopada br.

Jeśli zaś chodzi o podmioty, które wnioski złożyły już wcześniej, ale nie zdążyły zakończyć procesu, powinny złożyć tzw. wniosek aktualizacyjny, którego końcową datą realizacji projektu będzie 24 listopada 2023 r.

Zarządzenie wprost wskazuje rodzaje zakupów i jest to duża zmiana w stosunku do wersji z ubiegłego roku, w której w praktyce każdy wydatek na bezpieczeństwo elektroniczne mógł być refinansowany.

Obecnie zarządzenie wymienia jako podlegające refundacji zakup i rozwijanie:

• systemów wykonywania kopii zapasowych,
• systemów Firewall,
• poczty elektronicznej wraz z modułem bezpieczeństwa,
• audytu bezpieczeństwa,
• szkoleń dla kadry kierowniczej i pracowników w wysokości nieprzekraczającej 20 proc. kosztów inwestycji.

Drugą niezmiernie istotną zmianą zawartą w ostatniej aktualizacji zarządzenia jest warunkowanie akceptacji. Polega ono na tym, że zarządzenie wskazuje nie tylko konkretne systemy, ale też kolejność ich realizacji. Dlatego też podstawowym narzędziem podlegającym refundacji jest system kopii zapasowych i dopiero po jego realizacji można ubiegać się kolejno o Firewall, a następnie system bezpiecznej poczty elektronicznej itd.

Kolejność refinansowania jest więc wskazana w zarządzeniu prezesa NFZ (w kolejności występowania).

Po zakończeniu inwestycji, w celu otrzymania wsparcia, należy przedstawić wyniki audytu, który potwierdzi zwiększenie poziomu bezpieczeństwa. Audyt jest podstawą do refundacji nakładów – które zgodnie z zarządzeniem zależą od wielkości kontraktu i mogą wynieść nawet 900 tys. zł.

Szczegółowe obowiązki szpitali zostaną określone po przeniesieniu zapisów Dyrektywy do krajowego porządku prawnego. Odbędzie się to poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa.

Jednym z takich obowiązków jest zgłaszanie incydentów związanych z naruszeniem cyberbezpieczeństwa. Incydenty to – zdarzenia naruszające integralność lub poufność przechowywanych danych lub usług oferowanych przez systemy teleinformatyczne.

W kraju incydenty takie należy zgłaszać do Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego CSIRT GOV prowadzonego przez Szefa Agencji Bezpieczeństwa Wewnętrznego. Koordynuje on proces reagowania na incydenty komputerowe. Samo zgłoszenie nie nakłada na podmiot zgłaszający zwiększonej odpowiedzialności.

Zgłoszenie takie musi być wykonane w określonym czasie (liczonym od momentu powzięcia wiedzy o poważnym incydencie):

a) bezzwłocznie (max. 24 h) – jest to tzw. wczesne ostrzeżenie ze wskazaniem - czy poważny incydent został przypuszczalnie wywołany działaniem bezprawnym lub działaniem w złym zamiarze lub czy mógł wywrzeć wpływ transgraniczny,

b) bezzwłocznie (max. 72 h) – to zgłoszenie incydentu z ewentualną aktualizacją powyższych informacji i wskazaniem - wstępnej oceny poważnego incydentu, w tym jego dotkliwości i skutków, a w stosownych przypadkach także wskaźników integralności systemu.

Podczas zgłaszania incydentów należy pamiętać o następujących obowiązkach:

• zgłoszeniu incydentu poważnego bez zbędnej zwłoki,
• powiadomieniu odbiorców usług o takich poważnych incydentach, które mogą mieć niekorzystny wpływ na świadczenie usług, z których korzystają,
• poinformowaniu odbiorców usług, których potencjalnie dotyczy poważne cyberzagrożenie, o środkach zaradczych i innych środkach, które ci odbiorcy mogą zastosować w reakcji na to zagrożenie.