A 50+ alkalmazottal rendelkező gyógyszerkereskedelem, -termelés és -elosztás vállalatainak kötelező NIS2-megfelelőséget kell biztosítaniuk, mint az Annex II. szerinti fontos egységek. Ez az útmutató konkrét, szektorfüggő intézkedéseket tartalmaz a szállítólánc-biztonsággal, hozzáférés-vezérléssel és betegadatok védelméhez szükséges lépéseket.
Az alábbi szervezetek tartoznak a NIS2-megfelelőség alá Magyarországon: 50 vagy több alkalmazottal rendelkező gyógyszertári láncok, gyógyszergyárak és gyógyszer-nagykereskedelem, amely előírásszabályozottság vagy érdemleges piaci részesedés alapján hatóanyag-előállítást, csomagolást, tárolást vagy értékesítést végez. Az Állami Egészségügyi Ellátási Főigazgatóság (SZTFH) a kijelölt felügyeleti hatóság.
Minden gyógyszertári és szállító vállalat köteles dokumentálni, hogy beszerzési és raktári kezelési rendszerei védelmet nyújtanak a jogosulatlan módosítás, hamis gyógyszerek beszerzése vagy szállítási zavarok ellen. Előírás szerint auditálni kell a szállítókat, titkosított átviteli csatornákat kell biztosítani az E-recept és nagykereskedelem felé, valamint a kritikus rendszereket azonosítani és külön biztonsági intézkedésekkel ellátni.
A gyógyszerszakemberek és üzemeltetők csak az E-recept, gyógyszerleltár és szállítási nyilvántartási rendszerekhez való hozzáféréshez szükséges jogosultságokat kaphatnak meg. Tilos az osztott bejelentkezési adatok használata a gyógyszerkiadási terminálok között, és minden internetes szállítómegrendelő portálon kötelezően többfaktoros hitelesítést kell alkalmazni.
Az összes gyógyszertári, gyógyszeripari és szállító vállalat köteles bejelenteni a SZTFH-nak (illetve a Nemzeti Kiberbiztonsági Intézetnek) azokat az incidenseket, amelyek közvetlen vagy közvetett módon befolyásolják a gyógyszerkínálat, szabályozottság, vagy az ellátási lánc biztonságát. A bejelentésnek tartalmaznia kell az incidens típusát, az érintett betegek számát és az azonosított biztonsági rés leírását — a szükséges lépések azonosítása mellett.
A gyögyszertári és szállítórendszerek által kezelt betegadatok (közigényzés, receptőrnév, gyógyszerkiadás dátuma) a GDPR és NIS2 szerint szükségszerűen titkosított és hozzáférés-vezérelt tárolást igényelnek. Biztonsági tanúsítványok, rendszeres biztonsági értékelések, valamint titkosított biztonságimásolat-készítés szükséges az adatvesztés vagy illetéktelen felhasználás megelőzése érdekében.
Kötelező, hogy minden gyógyszertári és szállító vállalat formális ISMS-keretrendszert létesítsen, amely tartalmazza a kiberbiztonsági kockázatfelmérést, incidensmegoldási tervet, dolgozói képzést és harmadik fél auditsérüléseket. Az ISMS dokumentációját legalább évente frissíteni kell, és a SZTFH ellenőrzésére hozzáférhetőnek kell lennie.
Minden 50 vagy több alkalmazottal rendelkező gyógyszertári lánc, gyógyszergyár és gyógyszer-nagykereskedelem, amely az Egészségügyi Közszolgáltatási Központ szabályozása alá esik, illetve a szállítási lánc részét képezi. A SZTFH a végleges besorolást végzi, de a méret és az orvoslási cél kettős feltétele teljesülésének esetén automatikus az Annex II. szerinti besorolás.
A NIS2 2026. október 24-ig lép hatályba Magyarországon, ezért az összes gyógyszertári szervezetnek 2026. október 24. előtt teljes körű megfelelőséget kell biztosítania. A SZTFH 2025 első negyedévétől előzetes auditokat végez, ezért ajánlott a megfelelőség 2025. június 30. előtt biztosítani.
A Kiberbiztonsági törvény szerint 10-50 millió forint közötti pénzbírságot és tevékenységtiltást lehet kiszabni a nem megfelelő gyógyszertári vállalatok számára. Súlyosabb esetben (például betegadatok megsértése) az igazgatási bírság az éves forgalom 10%-áig terjedhet, valamint a SZTFH előírhatja a rendszer leállítását.