Cyberbezpieczeństwo w podmiocie medycznym

Niezbędne wymogi do uznania podmiotu za operatora

Zanim dany podmiot medyczny otrzyma decyzję, o której mowa wyżej, musi spełnić łącznie trzy podstawowe kryteria:
• podmiot świadczy usługę kluczową,
• świadczenie tej usługi zależy od systemów informatycznych,
• incydent miałby istotny skutek zakłócający dla świadczenia usługi kluczowej dla tego operatora.

Po uznaniu, że dany podmiot świadczy usługę kluczową (to kryterium zostało już omówione wcześniej), należy zbadać, czy jej świadczenie jest zależne od systemów informatycznych. W przypadku placówek medycznych nie ma co do tego wątpliwości. W dobie elektronicznych rejestracji pacjentów praktycznie nie da się uniknąć zetknięcia z jakąkolwiek formą usystematyzowania takich procedur. Ponadto już samo RODO nakłada na podmioty medyczne obowiązek prowadzenia chociażby rejestru czynności przetwarzania danych, co już wiąże się z funkcjonowaniem pewnego rodzaju zdalnego systemu.

Najbardziej niejasnym kryterium (przynajmniej na pierwszy rzut oka) wydaje się być pojęcie incydentu i jego wpływu na świadczenie usług. Incydent to „niepożądane zdarzenie teleinformatyczne stanowiące jakikolwiek błąd serwisu” (1). Ważne jest to, by ten incydent w sposób istotny zakłócił pracę danej placówki. Odnosząc się do powyższego przykładu, wystarczyłoby, że z powodu awarii technicznej niemożliwa byłaby rejestracja elektroniczna pacjentów, a już niewątpliwie zaburzyłoby to funkcjonowanie podmiotu.

Podsumowując te rozważania, operatorem usług kluczowych jest np. szpital (działający w ramach sieci szpitali i posiadający SOR), który prowadzi elektroniczny system rejestracji pacjentów na wizyty specjalistyczne, a jakakolwiek awar...