Jaká legislativa a normy se vztahují na zdravotnictví?
18. 7. 2025
Zdravotnictví je jedním z nejpřísněji regulovaných sektorů – a to jak z hlediska zpracování citlivých údajů, tak z hlediska provozu a bezpečnosti systémů a zařízení. Legislativa i technické normy přitom dopadají jak na samotné poskytovatele zdravotní péče, tak na jejich dodavatele, vývojáře IT řešení a výrobce zdravotnických prostředků.
Legislativa:
- Zákon o kybernetické bezpečnosti (ZoKB) – účinný od 1. 11. 2025, implementuje NIS2. Týká se nemocnic, zdravotnických zařízení, příspěvkových organizací i IT dodavatelů.
- Nařízení GDPR – ochrana osobních údajů pacientů, zaměstnanců i uživatelů zdravotnických systémů.
- Nařízení MDR (EU 2017/745) – regulace zdravotnických prostředků, včetně požadavků na softwarové aplikace s diagnostickou nebo terapeutickou funkcí.
- MDSG 2019/16 – doporučení Evropské komise k zajištění kybernetické bezpečnosti zdravotnických prostředků, zejména těch se síťovým připojením.
- Cyber Resilience Act (CRA) – bude se týkat všech produktů s digitálními prvky, včetně zdravotnického softwaru. Povinnost hlásit incidenty bude platit již od září 2026.
Normy:
- ISO/IEC 27001 – systém řízení bezpečnosti informací (ISMS)
- ISO 13485 – systém řízení kvality pro výrobce zdravotnických prostředků
- ISO 27799 – ochrana osobních zdravotních údajů v rámci ISMS
- IEC 81001-5-1 – kybernetická bezpečnost zdravotnického softwaru a IT systémů ve zdravotnictví
- IEC 62443 – kybernetická bezpečnost průmyslových řídicích systémů a komponent; využitelná i v nemocnicích a laboratořích, kde jsou nasazeny OT technologie (např. laboratorní automatizace, připojená diagnostická zařízení)
- ISO/IEC 62304–1 – životní cyklus zdravotnického softwaru (řízení vývoje, údržby a změn)
- ISO/IEC 82304-1 – kvalita a bezpečnost zdravotnických softwarových produktů
- ISO 42001 – řízení systémů umělé inteligence (doporučeno pro organizace, které AI vyvíjejí nebo provozují v klinické či provozní sféře)