Zdravotnictví

Pokud vyvíjíte nebo uvádíte na trh zdravotnické prostředky s digitálním prvkem, týká se vás nejen nařízení MDR (EU 2017/745), ale v blízké budoucnosti také Cyber Resilience Act (CRA). Ten zavádí povinnosti v oblasti kybernetické bezpečnosti produktů – včetně hlášení incidentů od září 2026 a plné účinnosti od prosince 2027.

Doporučujeme již nyní vyvíjet své produkty v souladu s normami IEC 62443-4-1 (bezpečný vývoj), IEC 81001-5-1 (pro zdravotnický software) a IEC 62443-4-2 (bezpečnost technických komponent). Tyto standardy stanovují jasné požadavky na procesy, architekturu, aktualizace a odolnost proti zranitelnostem.

Zároveň je zásadní, aby výrobci znali prostředí, ve kterém budou jejich produkty nasazeny – tj. aby od nemocnic získali informace, do jakých zón (dle bezpečnostního členění nemocnice) jejich produkty vstupují (např. zóna se zvýšenou důvěryhodností, bezpečnostní perimetr, otevřená síť apod.). Na základě toho lze určit, do jaké úrovně zabezpečení musí produkt odpovídat – což ovlivňuje i způsob konfigurace, logging, šifrování, aktualizace nebo možnost integrace do nemocničního SIEM.

Kybernetická bezpečnost ve zdravotnictví dnes není volitelná, ale povinná součást řízení rizik a provozu zdravotnického zařízení. Nemocnice spadají mezi regulované subjekty dle nového zákona o kybernetické bezpečnosti (ZoKB), který vstupuje v účinnost 1. listopadu 2025 a vychází ze směrnice NIS2.

Základem pro nastavení kybernetické bezpečnosti v nemocnici by měly být tři klíčové pilíře:

• ISO/IEC 27001 – systém řízení bezpečnosti informací (ISMS), který umožní systematicky řídit rizika, nastavovat politiky, školit personál a reagovat na incidenty
• ZoKB (NIS2) – legislativní rámec, který stanovuje povinnosti ve vztahu k provozním, technickým a organizačním opatřením, reportování incidentů a auditovatelnosti
• IEC 62443-2-1 – norma pro návrh a správu kybernetické bezpečnosti provozních (OT) technologií včetně zdravotnického prostředí

Právě norma IEC 62443-2-1 by měla sloužit jako metodický rámec pro rozdělení nemocniční infrastruktury do bezpečnostních zón. Každá zóna (např. oddělení s kritickými systémy, veřejná síť, laboratorní zařízení) má přiřazenu požadovanou úroveň zabezpečení, která následně určuje, jaká technická a organizační opatření je třeba v zóně implementovat a jak bezpečné musí být produkty a zařízení, které do ní vstupují. Nemocnice by měly tento přístup využít i v komunikaci s dodavateli – a vyžadovat po nich informace o úrovni zabezpečení jejich produktů v kontextu definovaných zón.

Zdravotnictví je jedním z nejpřísněji regulovaných sektorů – a to jak z hlediska zpracování citlivých údajů, tak z hlediska provozu a bezpečnosti systémů a zařízení. Legislativa i technické normy přitom dopadají jak na samotné poskytovatele zdravotní péče, tak na jejich dodavatele, vývojáře IT řešení a výrobce zdravotnických prostředků.

Legislativa:

• Zákon o kybernetické bezpečnosti (ZoKB) – účinný od 1. 11. 2025, implementuje NIS2. Týká se nemocnic, zdravotnických zařízení, příspěvkových organizací i IT dodavatelů.
• Nařízení GDPR – ochrana osobních údajů pacientů, zaměstnanců i uživatelů zdravotnických systémů.
• Nařízení MDR (EU 2017/745) – regulace zdravotnických prostředků, včetně požadavků na softwarové aplikace s diagnostickou nebo terapeutickou funkcí.
• MDSG 2019/16 – doporučení Evropské komise k zajištění kybernetické bezpečnosti zdravotnických prostředků, zejména těch se síťovým připojením.
• Cyber Resilience Act (CRA) – bude se týkat všech produktů s digitálními prvky, včetně zdravotnického softwaru. Povinnost hlásit incidenty bude platit již od září 2026.

Normy:

• ISO/IEC 27001 – systém řízení bezpečnosti informací (ISMS)
• ISO 13485 – systém řízení kvality pro výrobce zdravotnických prostředků
• ISO 27799 – ochrana osobních zdravotních údajů v rámci ISMS
• IEC 81001-5-1 – kybernetická bezpečnost zdravotnického softwaru a IT systémů ve zdravotnictví
• IEC 62443 – kybernetická bezpečnost průmyslových řídicích systémů a komponent; využitelná i v nemocnicích a laboratořích, kde jsou nasazeny OT technologie (např. laboratorní automatizace, připojená diagnostická zařízení)
• ISO/IEC 62304–1 – životní cyklus zdravotnického softwaru (řízení vývoje, údržby a změn)
• ISO/IEC 82304-1 – kvalita a bezpečnost zdravotnických softwarových produktů
• ISO 42001 – řízení systémů umělé inteligence (doporučeno pro organizace, které AI vyvíjejí nebo provozují v klinické či provozní sféře)

Kybernetickou bezpečnost ve zdravotnictví je nutné řešit komplexně – na úrovni organizace / nemocnice (IT systémy, procesy, personál) i na úrovni technologií a zdravotnických prostředků, které pracují s daty pacientů nebo komunikují s dalšími systémy.

Je třeba oddělovat systémy řízení (např. ISO/IEC 27001, ISO 13485, nebo nový zákon o kybernetické bezpečnosti vycházející z NIS2), které se vztahují výhradně na organizaci, její procesy a řízení kvality.

Tyto systémy však nijak nedokládají ani neprokazují kybernetickou bezpečnost konkrétních produktů nebo zdravotnických prostředků – tu je třeba řešit odděleně, prostřednictvím technických standardů a specializovaného posouzení.

Zajištění bezpečnosti zdravotnických prostředků a informačních systémů vyžaduje:

• Bezpečný vývoj a správa systémů (např. dle normy IEC 81001-5-1 nebo IEC 62443-4-1)
• Testování zranitelností a penetrační testy (např. dle IEC 62443-4-2)
• Zavedení systému řízení bezpečnosti informací (ISMS dle ISO/IEC 27001)
• Posouzení souladu s požadavky NIS2, ZoKB, GDPR i MDR (Medical Device Regulation)
• Přípravu technické dokumentace a zajištění shody pro účely notifikace nebo CE značení

EZÚ poskytuje jak organizační, tak produktové služby, a pomáhá nemocnicím, příspěvkovým organizacím i dodavatelům zdravotnických technologií zvládnout celý proces zajištění kybernetické bezpečnosti – od úvodní GAP analýzy, přes školení na míru, pre-assessment, až po audity a certifikaci dle relevantních norem a legislativních rámců.