Tato stránka je určena operátorům telehealth platforem, poskytovatelům služeb vzdáleného monitorování pacientů a vývojářům zdravotnických aplikací v ČR. Naučíte se konkrétní technické a organizační povinnosti NIS2, které musí být splněny do 31. března 2026.
Jako důležitý subjekt se musíte registrovat, pokud provozujete telehealth platformu, aplikaci pro vzdálené monitorování nebo digitální zdravotnickou aplikaci se sídlem v ČR a zpracováváte zdravotní data více než 100 000 pacientů, nebo jste kritickou součástí poskytování zdravotní péče v regionu. Platí také pokud integrujete vaši platformu s elektronickými zdravotnickými záznamy nemocnic nebo poskytujete služby zdravotnickým zařízením, která jsou sama důležitými subjekty.
Všechny video konzultace, texové zprávy a zdravotnická data vysílená přes vaši platformu musí být chráněna end-to-end šifrováním (minimálně TLS 1.2 pro transport, ideálně E2E pro citlivé komunikace). Musíte provádět měsíční audity konfigurace SSL/TLS certifikátů a mít politiku pro rotaci šifrovacích klíčů. Dokumentujte všechny šifrovací standardy v matici bezpečnosti a předkládejte ji NÚKIB na vyžádání.
Musíte uzavřít formální smlouvy o zpracování údajů (DPA) se všemi subdodavateli, včetně cloudových poskytovatelů, vývojářů třetích stran a poskytovatele SMS brány. Každá smlouva musí jasně definovat bezpečnostní povinnosti, včetně incident reporting, šifrování a auditování. Minimálně jedenkrát ročně provádějte kontrolu shody s příslušnými články GDPR (články 9, 28–35) a zveřejňujte Registr činností zpracování (RZO) pro inspekci.
Musíte provádět roční bezpečnostní audity všech API a integračních bodů, které vaše platforma sdílí s nemocničními informačními systémy. Zejména kontrolujte autentifikaci, autorizaci a šifrování dat při přenosu mezi vaší platformou a EHR. Udržujte seznam všech třetích stran s přístupem k pacientským údajům a provádějte u nich bezpečnostní dotazníky s minimální frekvencí jedenkrát za 18 měsíců.
Jakýkoli výpadek platformy, který brání přístupu k pacientským datům nebo znemožňuje poskytování telemedicínské služby po dobu delší než 30 minut, musí být hlášen NÚKIB do 24 hodin. Hlášení musí obsahovat: čas detekce, čas nápravy, počet postižených pacientů, klinický dopad a okamžitá nápravná opatření. Musíte mít plán kontinuity provozu (BCP) testovaný minimálně čtvrtletně.
Všechny vaše mobilní a webové aplikace určené pacientům nebo zdravotnickým pracovníkům musí projít externím penetračním testem minimálně jedenkrát za rok, a to od certifikovaného subjektu. Dodatečné testy jsou povinné po každé velkému updatu aplikace nebo změně v architektuře bezpečnosti. Musíte mít formální systém pro správu zjištěných zranitelností s časovými limity na nápravu (kritické: 7 dní, vysoké: 30 dní).
Musíte hlásit do 24 hodin od detekce incidentu. Výpadek trvající 45 minut kvalifikuje se jako hlášení, protože překročil prahovou hranici 30 minut ovlivňující kontinuitu péče. Hlášení musí obsahovat čas detekce, čas nápravy, počet postižených pacientů a okamžitá nápravná opatření.
Ano. Všechny zdravotnické komunikace, včetně textových zpráv mezi pacientem a lékařem, musí být chráněny end-to-end šifrováním (minimálně dle standardů jako Signal Protocol nebo WhatsApp-style encryption). Transport-level TLS sám nestačí, protože neposkytuje ochranu before a after transmission. Minimálně TLS 1.2 je povinný, ale E2E je Standard de facto.
Pokud nesplníte povinnosti NIS2 do 31. března 2026, NÚKIB vám může uložit pokutu až do 10 milionů Kč nebo 2 % ročního obratu (podle toho, který je vyšší), a to na základě čl. 181/2014 Sb. Navíc může dojít k zákazu poskytování služeb a k administrativním opatřením v souladu s přílohou II-A.