Ova stranica je pisana za upravitelje IT sigurnosti, medicinskog inženjerstva i voditelje bolničkih mreža sa 50+ zaposlenih. Saznajte točne obveze, tipične propuste i kako uspostaviti NIS2 sukladnost u zdravstvenom sustavu.
Bolnice, bolničke mreže, privatne klinike i centri specijalizirane zdravstvene zaštite u Republici Hrvatskoj s 50 ili više zaposlenih ili koje služe regionalnoj populaciji su klasificirani kao esencijalni subjekti prema NIS2 Prilogu I. Ova klasifikacija obavezuje vas na primjenu svih mjera Zakona o kibernetskoj sigurnosti (ZKS) koje primjenjuje Sigurnosno-obavještajnu agenciju kao nadležnu autoritet.
Bolnice moraju prijaviti sve incidente vezane uz medicinske uređaje, klinički informacijski sustave i vitalne podatke Hrvatskom CSIRT-u u roku od 24 sata za rano upozorenje, a detaljnu analizu unutar 72 sata. Incidenti koji utječu na pacijentsku sigurnost ili dostupnost kritičnih sustava (npr. monitorinzi, ventilatori, PACS) trebaju biti izveštavani odmah nakon detekcije.
Klinički uređaji (CT, MRI, ventilatori, srčani monitori) i SCADA/OT sustavi moraju biti odvojeni u zasebne mrežne segmente s aktivnom kontrolom pristupa (firewall, VLAN) kako bi se spriječilo neovlašteno preusmjeravanje podataka ili zloupotrebu. Medicinski uređaji ne smiju imati izravnu vezu na office Wi-Fi ili javnu Internet mrežu bez posebnog kontrolnog sloja.
Bolnice trebaju uspostaviti formalan proces provjere sigurnosti svih dobavljača medicinske opreme i softverskih rješenja, uključujući analizu koda, certifikate sigurnosti i redovite sigurnosne ažuriranja. Sporazumi s dobavljačima moraju sadržavati odredbe o incidentnom odgovoru, dostupnosti ažuriranja i suradnji pri forenzičnoj analizi ako je potrebna.
Bolnice trebaju imati dokumentirane planove oporavka za sve sustave koji direktno utječu na sigurnost pacijentata, s testiranjem najmanje dva puta godišnje. To uključuje backup elektranu, redundantne baze podataka, replicirane medicinske informacijske sustave i alternative za slučaj pada glavnih telekomunikacijskih veza.
Svi zaposlenici bolnice trebaju obaviti minimalno jednu godišnju obuku o kibernetskoj sigurnosti, s fokusom na prepoznavanje phishing napada, sigurne lozinke i meldiranje osumnjivanih aktivnosti. Klinički vrhunski korisnici i IT administratori trebaju specijalnu obuku na osnovu njihove uloge i pristupa osjetljivim medicinskim sustavima.
Incident je bilo koja sigurnosna pretnja ili napad koja utječe na povjerljivost, integritet ili dostupnost medicinskih podataka ili sustava — primjerice neovlašteni pristup pacijentskim zbivanjima, otkaz kritičnog uređaja zbog malvera, gubitak podataka ili ukradene vjerodajnice kliničkog osoblja. Rizici za pacijentsku sigurnost (npr. kompromitiran monitor za vitalne znakove) trebaju biti izveštavani bez odgode, čak i prije punog 24-satnog roka.
Da, ali sa strateškim pristupom: prvo radite s proizvođačem da testira kompatibilnost ažuriranja; ako je nemoguće, izolirajte uređaj na zasebnom mrežnom segmentu bez izravne veze na internet, s formalnom dozvolom za izuzeće i dodatnim monitoring-om za detekciju napada. Dokumentirajte rizik i plan smanjenja jer će vas inspektor Sigurnosno-obavještajne agencije pitati zašto je neispravljeno.
Zakoni o kibernetskoj sigurnosti (ZKS) predviđa novčane kazne za esencijalne subjekte do 500.000 kuna za neadekvatne mjere sigurnosti, plus dodatne kazne za neuspješno ili kasno izvještavanje incidenata. Pored toga, regulatorne inspekcije mogu rezultirati upozorenjima javnosti i zabranom pružanja određenih zdravstvenih usluga ako je sigurnost pacijentata u pitanju.