Dyrektywa NIS2 w szpitalach i innych placówkach medycznych - obowiązki w zakresie cyberbezpieczeństwa

Czym jest dyrektywa NIS2

Przypomnijmy, że dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 (dyrektywa NIS2) to regulacja, która w celu podniesienia poziomu cyberbezpieczeństwa w kluczowych sektorach nakłada obowiązki na tzw. podmioty kluczowe i ważne, obligując je do wdrożenia środków zarządzania ryzykiem, zgłaszania incydentów a także przestrzegania zasad nadzoru i egzekwowania przepisów.

Nowe przepisy obejmują szpitale i inne placówki medyczne

Zalicza się do nich średnie i duże placówki medyczne, w tym szpitale, laboratoria oraz producentów farmaceutycznych. Są to także placówki niepubliczne. Do sektorów kluczowych zaliczono bowiem opiekę zdrowotną tj.:

• świadczeniodawców w rozumieniu art. 3 lit. g) dyrektywy Parlamentu Europejskiego i Rady 2011/24/UE;

• laboratoria referencyjne UE, o których mowa w art. 15 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2371;

• podmioty prowadzące działalność badawczo-rozwojową w zakresie produktów leczniczych zdefiniowanych w art. 1 pkt 2 dyrektywy Parlamentu Europejskiego i Rady 2001/83/WE;

• podmioty produkujące podstawowe substancje farmaceutyczne oraz leki i pozostałe wyroby farmaceutyczne, o których mowa w sekcji C dział 21 klasyfikacji NACE Rev. 2

• podmioty produkujące wyroby medyczne uznane za mające krytyczne znaczenie podczas danego stanu zagrożenia zdrowia publicznego („wykaz wyrobów medycznych o krytycznym znaczeniu w przypadku stanu zagrożenia zdrowia publicznego”) w rozumieniu art. 22 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/123.

Świadczeniodawca to każda osoba fizyczną lub prawną bądź inną jednostkę organizacyjną legalnie świadczącą opiekę zdrowotną na terenie państwa członkowskiego. Z tego względu każda placówka medyczna musi sprawdzić, czy została zobowiązana do stosowania dyrektywy.