Az 50+ fős kórházak, klinikák és regionális ellátócentrumok számára kötelező NIS2-szabályozás. Megtudhatja, milyen konkrét adatvédelmi, szegmentációs és incidenskezelési kötelezettségei vannak.
Magyarország területén működő, 50 vagy több foglalkoztatottal rendelkező kórházak, egyetemi klinikai centrumok, magánklinikák és regionális speciális ellátócentrumok. Az Annex I besorolás automatikusan vonatkozik azokra az intézmények, amelyek folyamatos, élet-kritikus egészségügyi szolgáltatásokat nyújtanak több mint egy város vagy járulékos terület lakóinak.
Kiberbiztonsági incidensekről (adatokhoz való jogosulatlan hozzáférés, rendszerleállás, orvosi eszköz kompromittálódás) előzetes értesítést kell küldenie a nemzeti CSIRT-hez (SZTFH) 24 órán belül. Teljes körű bejelentési kötelezettség 72 órán belül, amely tartalmazza az incidensáramlási láncot, az érintett betegek és egészségügyi adatok körét, valamint a megelőzési lépéseket. Dokumentálja az összes kommunikációt az incidenskezelési naplóban.
Az intenzívmérő, dialízis, lélegeztetőgép, képalkotó és laboratóriumautomata rendszerek fizikailag vagy logikailag elkülönített hálózatokon kell működjenek az adminisztratív biztonsági hálózattól (email, számfejtés, HR-szoftver). Végezzen szegmentációs terveket és hálózati topológia-auditokat legalább évente. Ez csökkenti a szervezeti hálózat biztonsági réseiből eredő orvosi eszköz-fertőzési kockázatot.
Az orvosi szoftver szállítók, hardvergépészeti cégek és távoli karbantartási hozzáférésekhez (BMC, képalkotó rendszer támogatás) írott szállítói szerződéseket kell kötnie, amelyek meghatározzák a biztonsági szinteket, az adatkezelési módokat és a hozzáférés-naplózást. Végezzen szállítói biztonsági felméréseket, illetve audit joggal rendelkezzék a szállítói rendszerekhez. Korlátozza a szállítói hozzáférést csak a szükséges funkciókra és időtartamokra.
Készítsen olyan helyreállítási tervet, amely biztosítja, hogy az elektrónikus betegrekord-rendszer, laboratóriumi információs rendszer és képalkotó archívum 2-4 órán belül helyreállítható egy katasztrófa után. Tesztelje ezt a tervet legalább évente egyszer kontrollált körülmények között. Biztosítson redundáns adatbázis-infrastruktúrát vagy georedundáns felhő-biztonsági mentést a kritikus klinikai adatokhoz.
Év közben legalább 2–3 kötelező képzési modul szükséges az orvosok, nővérek, adminisztratív és IT-személyzet számára. A képzésnek tartalmaznia kell az adatkezelést, az e-mail-biztonsági protokollokat, a jelszókezelést, a phishing-felismerést és az incidensbejelentési folyamatokat. Dokumentálja az összes résztvevőt, végezzen legalább 1-2 szimulált phishing-gyakorlatot évente.
Az Annex I besorolás a lényeges szolgáltatókat azonosítja — azok az egészségügyi intézmények, amelyek klinikai ellátást nyújtanak 50+ alkalmazottakkal vagy regionális szintű betegellátási képességgel. Ez azt jelenti, hogy az Ön kórháza vagy klinikája teljes mértékben alá van vetve a NIS2/Kiberbiztonsági tv. sztrikt követelményeinek, beleértve a közvetlen SZTFH-felügyeletet és az incidensvizsgálatot. Nincs felmentés vagy lazított követelmény a közszféra vagy magánszféra között.
Ha az incidensbejelentés 24 órás határidejét elmulasztja, az szankcióhoz, pénzbírsághoz vagy felügyeleti intézkedésekhez vezethet. Súlyos incidensek (pl. beteg-adatok kompromittálódása, klinikai rendszer leállása) esetén az SZTFH vizsgálatot indíthat. Ajánlás: készítsen írásos incidenskezelési eljárást, amely rögzíti a 24/72 órás bejelentési mérföldköveket, és tanítson meg egy kinevezett incidenskezelési csoportot, amely 24/7 elérhető.
Először végezzen hálózati készletfelmérést az összes orvosi eszközhöz, majd szerkesszen fizikai vagy logikai szegmentációs tervet (VLAN-ok, tűzfalak, DMZ). Kezdje a kritikus eszközökkel (CT, EKG, laboratóriumi automata), majd haladjon a monitorozási rendszerekhez. Használjon egy felügyeleti eszközt (pl. Secfix vagy ISMS.online) a szegmentálási állapot követéséhez. Az implementálás 6-12 hónapig is eltarthat, de a köztes lépéseket dokumentálja az SZTFH felé.