Tato stránka je určena pro správce kybernetické bezpečnosti, IT manažery a provozní vedoucí farmaceutických řetězců a výrobců léčiv s 50 a více zaměstnanci. Naučíte se konkrétní povinnosti dle NIS2, jak postupovat při jejich plnění a jak se vyhnout typickým chybám v sektoru.
Lékárny, farmaceutičtí výrobci a distributoři léčiv v České republice s nejméně 50 zaměstnanci musí splňovat požadavky NIS2. Mezi ně patří zejména síťové lékárny, velkovýrobny léčiv, veleprodejci farmaceutických přípravků a centrální sklady distribučních společností zajišťujícího dodávky zdravotnických zařízení.
Musíte zavést kontrolní mechanismy, které ověřují bezpečnost a integritu všech IT systémů, skrze které probíhá objednávka a nákup léčiv. Tyto systémy nesmějí být ohroženy Man-in-the-Middle útoky nebo falšováním objednávek. Implementujte digitální podepisování, šifrování komunikace s dodavateli a pravidelné audity nákupních portálů.
Na všech terminálech v lékárnách a v systémech pro správu receptů musíte zavést vícefaktorovou autentizaci a individuální přístupová oprávnění. Sdílené přihlašovací údaje jsou zakázány. Každý farmaceut nebo laborant musí mít vlastný účet s přiřazeným oprávněním odpovídajícím jeho roli a musí být zaznamenány všechny přístupy k citlivým údajům.
Pokud dojde k incidentu kybernetické bezpečnosti, který ohrožuje dostupnost léčiv, doručitelnost receptů nebo integritu dat pacientů, musíte jej hlásit Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) bez zbytečného odkladu, nejpozději do 24 hodin od zjištění. Hlášení musí obsahovat popis incidentu, jeho dopad na dodávky léčiv a opatření, která jste přijali.
Údaje o receptech a léčivech ordinovaných pacientům jsou zvláště chráněnými zdravotnickými údaji. Musíte je šifrovat v klidu i při přenosu, omezit přístup pouze na zdravotnický personál s příslušným oprávněním a zajistit jejich bezpečné mazání po skončení doby uchovávání. Dodržujte zároveň povinnosti dle GDPR a zákona o ochraně osobních údajů.
Nejméně jednou ročně musíte provést nezávislý bezpečnostní audit svých IT systémů týkajících se správy léčiv, objednávání a správy pacientských údajů. Zároveň je třeba provádět pravidelné penetrační testy nákupních portálů a lékárenských informačních systémů. Výsledky auditů musíte dokumentovat a promptně řešit zjištěné zranitelnosti.
Lhůta pro plnění všech povinností NIS2 je do 31. prosince 2025. Od 1. ledna 2026 musí být všechny požadavky (kontrola dodavatelů, vícefaktorová autentizace, incident reporting) plně zavedeny a funkční. Harmonogram plnění jednotlivých opatření by měl být vytvořen nejpozději do konce roku 2024.
Pokud starý systém nemá možnost bezpečnostních aktualizací nebo nemůže být vybaven vícefaktorovou autentizací, měl by být nahrazen. Pokud lze jej bezpečnostně posílit (například zpětným připojením na moderní autentizační server), lze jej využívat dočasně s jasným plánem migrace. NÚKIB doporučuje u kritických systémů (správa receptů, objednávky léčiv) migraci na moderní řešení.
Za porušení povinností NIS2 lze uložit pokutu až do výše 10 milionů korun nebo 2 % celkového ročního obratu, podle toho, která hodnota je vyšší. V případě opakovaného porušení se pokuta může zvýšit až na 20 milionů korun nebo 4 % ročního obratu. NÚKIB má pravomoc tyto pokuty ukládat.