Jsme nemocnice – jak máme přistoupit ke kybernetické bezpečnosti?

Kybernetická bezpečnost ve zdravotnictví dnes není volitelná, ale povinná součást řízení rizik a provozu zdravotnického zařízení. Nemocnice spadají mezi regulované subjekty dle nového zákona o kybernetické bezpečnosti (ZoKB), který vstupuje v účinnost 1. listopadu 2025 a vychází ze směrnice NIS2.

Základem pro nastavení kybernetické bezpečnosti v nemocnici by měly být tři klíčové pilíře:

• ISO/IEC 27001 – systém řízení bezpečnosti informací (ISMS), který umožní systematicky řídit rizika, nastavovat politiky, školit personál a reagovat na incidenty
• ZoKB (NIS2) – legislativní rámec, který stanovuje povinnosti ve vztahu k provozním, technickým a organizačním opatřením, reportování incidentů a auditovatelnosti
• IEC 62443-2-1 – norma pro návrh a správu kybernetické bezpečnosti provozních (OT) technologií včetně zdravotnického prostředí

Právě norma IEC 62443-2-1 by měla sloužit jako metodický rámec pro rozdělení nemocniční infrastruktury do bezpečnostních zón. Každá zóna (např. oddělení s kritickými systémy, veřejná síť, laboratorní zařízení) má přiřazenu požadovanou úroveň zabezpečení, která následně určuje, jaká technická a organizační opatření je třeba v zóně implementovat a jak bezpečné musí být produkty a zařízení, které do ní vstupují. Nemocnice by měly tento přístup využít i v komunikaci s dodavateli – a vyžadovat po nich informace o úrovni zabezpečení jejich produktů v kontextu definovaných zón.