Każdy szpital, który ma oddział ratunkowy i należy do tzw. sieci – zgodnie z ustawą o cyberbezpieczeństwie – powinien zostać zakwalifikowany jako operator usług kluczowych. Aż dla 250 lecznic oznacza to nowe wydatki i obowiązki. Będą musiały m.in. stworzyć dokumenty związane z cyberbezpieczeństwem i co dwa lata przeprowadzać specjalistyczne audyty, które mogą kosztować ok. 100 tysięcy złotych.
(…)
– Z załącznika do rozporządzenia Rady Ministrów z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych, wynika, że podmioty lecznicze, które mają Szpitalny Oddział Ratunkowy i są w systemie Podstawowego Szpitalnego Zabezpieczenia świadczeń opieki zdrowotnej tzw. „sieci szpitali” wszystkie są objęte działaniem wprowadzonej ustawy i zostaną uznane za operatorów usług kluczowych – mówi Artur Zawolski, radca prawny i partner w kancelarii MKZ Partnerzy. – Taka placówka lecznicza nie ma właściwie możliwości uchylenia się od tego obowiązku.
Mecenas podkreśla, że realną szansę na to, żeby nie były uznane za operatora usług kluczowych, mają jedynie placówki nie posiadające SOR-u i nie będące w sieci. Których placówek mogą dotyczyć te przepisy? Przepisy o cyberbezpieczeństwie dotyczą wszystkich placówek medycznych, z nielicznymi wyjątkami. – W ustawie zostało podkreślone wyłączenie spod jej stosowania podmiotów wykonujących działalność leczniczą, tworzonych przez Szefa Agencji Bezpieczeństwa Wewnętrznego lub Szefa Agencji Wywiadu. One nie będą musiały się martwić o wprowadzanie kosztownych zmian, nie tylko jeśli chodzi o infrastrukturę, ale także obowiązkowe regularne audyty bezpieczeństwa – zauważa Barbara Skrok, radca prawny z MKZ Partnerzy.
