Směrnice NIS 2 a zdravotnictví: Jak se připravit na nová pravidla kybernetické bezpečnosti? – záznam webináře

Nová evropská směrnice NIS 2 představuje zásadní milník v ochraně digitální infrastruktury a jejím hlavním cílem je posílit odolnost celých dodavatelských řetězců proti kybernetickým hrozbám. V sektoru zdravotnictví, který čelí rizikům jako jsou ransomwarové útoky, je tato regulace klíčová pro zajištění kontinuity poskytované péče. Tématem webináře nás provedli Aleš Martinovský a Marek Nerandžič z PortaMedica.

Implementace v České republice

V českém právním řádu je směrnice transponována prostřednictvím nového zákona o kybernetické bezpečnosti, který nabyl účinnosti 1. listopadu 2025. K tomuto zákonu se vážou důležité prováděcí vyhlášky vydávané úřadem NÚKIB a připravovaná nařízení vlády.

Koho se nové povinnosti týkají?

To, zda se na vaši organizaci vztahují nové povinnosti, zjistíte buď tzv. samourčením, nebo autoritativním rozhodnutím státu.

1. Samourčení: Týká se subjektů, které působí v regulovaném sektoru (např. zdravotnictví) a splňují kritéria velikosti podniku (střední a velké podniky). Mezi typické subjekty ve zdravotnictví patří poskytovatelé zdravotní péče, výrobci zdravotnických prostředků, výrobci léčiv či referenční laboratoře.

2. Autoritativní určení: NÚKIB může jako povinný subjekt určit i firmu, která nesplňuje velikostní kritéria, typicky pokud hraje kriticky významnou roli ve fungování společnosti nebo infrastruktury.

Pozor by si měli dát i drobní dodavatelé. I když formálně pod zákon nespadají, jejich odběratelé (např. nemocnice) mohou plnění bezpečnostních standardů vyžadovat smluvně, aby splnili svou vlastní povinnost řídit dodavatelský řetězec.

Hlavní povinnosti a režimy

Regulace rozlišuje dva základní režimy:

• Režim vyšších povinností: Určen pro strategicky významné služby a přímo řízené organizace, vyžaduje přísnější opatření a podléhá proaktivnímu dohledu.

• Režim nižších povinností: Má mírnější katalog opatření a dohled je prováděn reaktivně.

Mezi stěžejní povinnosti patří registrace na portálu NÚKIB, hlášení kontaktních údajů a zavádění bezpečnostních opatření, jako je řízení aktiv, řízení rizik nebo zabezpečení lidských zdrojů. Subjekty jsou rovněž povinny hlásit kybernetické incidenty bez zbytečného odkladu do 24 hodin a informovat uživatele o významných hrozbách.

Dohled a přísné sankce

Na dodržování pravidel dohlíží NÚKIB, který může provádět kontroly a v případě nedostatků vydávat nápravná opatření či varování. Sankce za porušení povinností mohou být velmi citelné. V režimu nižších povinností hrozí pokuta až 175 milionů Kč (nebo 1,4 % obratu) a v režimu vyšších povinností až 250 milionů Kč (nebo 2 % celosvětového ročního obratu).

Jak postupovat dále?

Kybernetická bezpečnost není jednorázový úkol, ale kontinuální proces. Organizacím se doporučuje využít nástroje jako kalkulačka velikosti podniku na portálu NÚKIB a pravidelně zpracovávat GAP analýzy kybernetických hrozeb. V komplikované situaci jsou dovozci a distributoři, jejichž právnická osoba je zároveň výrobcem zdravotnických prostředků nebo poskytovatelem zdravotní péče. Pozor také na propojení právnických osob. V případě pochybností je vhodné se včas obrátit na odborníky, aby se předešlo riziku sankcí. I zde platí pravidlo, kdo je připraven, není zaskočen. Doporučujeme se tématu věnovat a předejít tak případným obtížím do budoucna.

#czechmed #medtech #zdravotnictví #zdravotnickeprostredky #pacient #NIS2 #MiroslavPalát #digitalizace #inovace #kyberbezpečnost #AlešMartinovský #MarekNerandžič #bezpečnost #digitalizace #nemocnice #poskytovatelpéče