Tato stránka je určena pro IT manažery, bezpečnostní pracovníky a vedení nemocnic s 50 a více zaměstnanci, které spadají pod rozšířené povinnosti NIS2. Dozvíte se konkrétní technické a organizační požadavky, které musíte splnit do konce roku 2025, aby vaše zdravotnické zařízení bylo připraveno na nové kontroly NÚKIB.
Povinnosti NIS2 se týkají nemocnic, nemocničních sítí, privátních klinik a center ambulantní péče v České republice, která mají nejméně 50 zaměstnanců nebo poskytují zdravotnické služby regionální populaci. Sem patří както veřejné nemocnice financované ze zdravotního pojištění, tak privátní zdravotnická zařízení se srovnatelnou velikostí. Klíčovým kritériem je poskytování zdravotnické péče závislé na informačních systémech a energetické infrastruktuře.
Zdravotnická zařízení jsou povinna ohlásit každý významný bezpečnostní incident národnímu CSIRT (Národnímu centru kybernetické bezpečnosti NÚKIB) nejpozději do 24 hodin formou předběžné zprávy a do 72 hodin s úplnými detaily. Pokud incident postihne pacienty nebo jejich zdravotní data, musíte zároveň splnit povinnosti podle GDPR a upozornit dotyčné osoby. Nedodržení lhůty hrozí pokutou až 10 milionů Kč.
Medicínské přístroje (přístroje pro snímání EKG, monitory, zobrazovací systémy) a průmyslové řídící systémy (SCADA) pro kritickou infrastrukturu musí být odděleny od kancelářních sítí a internetu. Toto oddělení zabraňuje šíření malwaru z e-mailů nebo volného internetu na přístroje udržující pacienty při životě. Fyzická nebo logická segmentace pomocí firewalů a VLANů musí být dokumentována a testována nejméně jedenkrát ročně.
Vedete seznam všech externích dodavatelů softwaru a hardwaru (např. výrobce ERP systémů, poskytovatelé cloudové infrastruktury, technickí partneři na údržbě přístrojů). Pro každého dodavatele musíte mít smlouvu s bezpečnostní klauzulí včetně povinnosti ohlašovat incidenty a podléhat bezpečnostním auditech. Přístup technických partnerů do sítí musí být říditelný přes Multi-Factor Authentication a zaznamenáván v logech.
Systémy nezbytné pro péči o pacienty (např. PACS pro rentgenové snímky, elektronické zdravotnické záznamy, infuzní pumpy připojené k síti) musí mít dokumentovaný plán zálohování a obnovy s cílem obnovit provoz do 24 hodin. Musíte provádět roční testy obnovy v reálném prostředí a zaznamenávat jejich výsledky. Rezervní kapacita nebo záložní systémy musí být umístěny v geograficky vzdálené lokalitě nebo v cloudu s odpovídajícími smlouvy SLA.
Všichhlí zaměstnanci (lékaři, zdravotní sestry, IT pracovníci, administrativa) musí absolvovat školení kybernetické bezpečnosti nejméně jedenkrát za 12 měsíců. Školení musí pokrývat rozpoznávání phishingu, bezpečné zpracování pacientských údajů a postup v případě podezření na incident. Zdravotnická zařízení s 50+ zaměstnanci musí provádět alespoň jeden simulovaný testovací útok (red team) nebo phishingový test ročně a dokumentovat nápravu.
Zahrnujte všechna zařízení s 50 a více zaměstnanci nebo ta, která poskytují zdravotnické služby regionální populaci (např. okresní nemocnice, střediска urgentní medicíny). Privátní kliniky s méně než 50 zaměstnanci, které však mají kritické zdravotnické funkce (např. jednotky intenzivní péče), mohou být také vyzváni ke compliance. Ověřte si aktuální klasifikaci u NÚKIB nebo u své zdravotnické inspekce.
Pokuty za porušení NIS2 mohou dosáhnout až 10 milionů Kč nebo 2 % celosvětového obratu (dle toho, která je vyšší). NÚKIB provádí cílené kontroly od roku 2025, s intenzivnějším zaměřením od druhé poloviny 2025. Nepředložení plánu nápravy nebo ohlášení incidentu mimo lhůtu vede k okamžitému zahájení řízení.
Okamžitě (do 24 hodin) pošlete předběžné oznámení NÚKIB e-mailem nebo přes bezpečný kanál (detaily na https://www.nukib.cz), v němž uvedete typ incidentu a postižené systémy. Během 72 hodin odešlete detailní zprávu s analýzou, dopady na pacienty a učiněná nápravná opatření. Zároveň aktivujte svůj plán obnovy, informujte vedení a zdravotnickou inspekci, a pokud jsou ohrožena pacientská data, splňte oznamovací povinnosti GDPR.