Miért érint ez minden egészségügyi intézményt?
Az EU NIS2 irányelv (Network and Information Security Directive 2) 2023-ban lépett hatályba, és Magyarországon 2024-től kötelező a megfelelés. A korábbi NIS1-gyel szemben a NIS2 az egészségügyi szektort kritikus infrastruktúraként sorolja be — ez azt jelenti, hogy szinte minden kórház, magánklinika és egészségügyi szolgáltató hatálya alá esik.
A tét nem kis: a szabályok be nem tartása esetén akár 10 millió euró vagy az éves forgalom 2%-ának megfelelő bírság szabható ki — és ami ennél is fontosabb, a vezető tisztségviselők személyesen felelnek a megfelelésért.
🔑 Kulcsmegállapítás
A NIS2 nem egyszerűen IT-projekt — hanem intézményi szintű felelősségvállalás.A vezető tisztségviselőknek személyesen kell gondoskodniuk arról, hogy az intézmény teljesítse a kiberbiztonsági követelményeket és az incidensbejelentési kötelezettségeket.Mire vonatkozik pontosan a NIS2 az egészségügyben?
Mielőtt a lépésekre térnénk, fontos tisztázni, mit követel meg konkrétan az irányelv az egészségügyi intézményektől:
IT biztonsági intézkedésekAz intézménynek dokumentált technikai kontrollokat kell bevezetnie.
|
Folyamatok és dokumentációA technikai intézkedések mellett szervezeti keretrendszer is szükséges.
|
1. lépés: Kockázatfelmérés és rések azonosítása
A NIS2 megfelelési folyamat első és legfontosabb lépése, hogy reális képet kapjon az intézmény jelenlegi biztonsági helyzetéről. Sok intézmény azzal kezdi, hogy feltételezi: „nálunk nincs különösebb kockázat." A tapasztalat mást mutat.
- IT eszközök és rendszerek leltára — minden szoftver, hardver, hálózati eszköz, adatbázis és külső kapcsolódás feltérképezése. Ami nincs dokumentálva, az nem védhető.
- Adatkezelési folyamatok áttekintése — hol tárolódnak betegadatok, ki fér hozzájuk, milyen csatornákon mozognak. Az egészségügyi adatok különleges kategóriájú személyes adatok — kiemelt védelmet igényelnek.
- Sebezhetőség-azonosítás — elavult szoftverek, gyenge jelszavak, nyitott portok, nem frissített rendszerek. Ezek a tipikus belépési pontok egy kibertámadáshoz.
- Szállítói és partnerkockázatok — az EMMA-t, laborrendszereket, PACS-t, számlázót üzemeltető partnerek biztonsági érettségének felmérése. A NIS2 az ellátási láncra is kiterjed.
Ha az intézmény még nem végzett formális kockázatelemzést, kezdje egy egyszerű „Mi lehet a baj?" workshoppal az IT, az orvosigazgató és a gazdasági vezető részvételével. Másfél óra alatt azonosítható a 3–5 legkritikusabb kockázati terület.
2. lépés: Technikai kontrollok bevezetése
A kockázatfelmérés eredményei alapján meg kell határozni, mely technikai intézkedések szükségesek. A NIS2 nem ír elő konkrét technológiákat — kockázatarányos intézkedéseket vár el. Ez azt jelenti: nem kell minden intézménynek ugyanolyan szintű védelmet kiépítenie, de a kockázatoknak megfelelő védelmet igen.
| Terület | Minimális elvárás | EMMA Pro támogatás |
|---|---|---|
| HOZZÁFÉRÉS-KEZELÉS | Szerepkör-alapú hozzáférés, MFA kritikus rendszerekhez | Beépített jogosultságkezelés, szerepkörök, audit trail |
| NAPLÓZÁS | Hozzáférési és módosítási napló, megőrzési szabályok | Teljes audit log, exportálható riportok hatóságoknak |
| ADATMENTÉS | Rendszeres, tesztelt backup, off-site tárolás | Automatikus napi mentések, tesztelt visszaállítás |
| TITKOSÍTÁS | Adatok titkosítása tárolásban és átvitelben | Titkosított adatbázis, HTTPS kommunikáció |
| PATCH MANAGEMENT | Rendszeres frissítések, sebezhetőség-kezelés | Centrálisan kezelt frissítési folyamat |
3. lépés: Incidenskezelési folyamat kialakítása
A NIS2 egyik legszigorúbb előírása az incidensbejelentési kötelezettség. Súlyos kiberbiztonsági incidens esetén az intézménynek 24 órán belül előzetes bejelentést kell tennie a hatóságoknak, majd 72 órán belül részletes incidensbejelentést, és 1 hónapon belül zárójelentést.
Ez nem csupán adminisztratív kötelezettség — hanem azt is jelenti, hogy az intézménynek rendelkeznie kell egy működő incidenskezelési folyamattal, amelyet valóban végre tud hajtani az idő szorításában.
„A legtöbb intézménynél nem az a kérdés, hogy volt-e már incidens — hanem az, hogy észrevették-e. A naplózás és a monitoring hiányában egy sikeres támadás hónapokig észrevétlen maradhat.” — Enterprise Group Technologies, egészségügyi IT biztonsági csapat
Az incidenskezelési folyamat alapvető elemei:
- Incidens-klasszifikáció — mi számít „súlyos" incidensnek (bejelentési kötelezettséggel) és mi kezelhető belső eljárással? Ezt előre, írásban kell rögzíteni.
- Felelősök kijelölése — ki értesíti a hatóságokat, ki kommunikál a sajtóval, ki koordinálja a helyreállítást? A krízis közepén nem jó időpont dönteni ezekről.
- Kommunikációs protokoll — belső értesítési lánc, hatósági bejelentés sablonja, páciensek és partnerek tájékoztatásának módja.
- Rendszeres próba (tabletop exercise) — évente legalább egyszer le kell játszani egy szimulált incidenst, hogy a csapat ténylegesen gyakoroltan legyen.
4. lépés: Dokumentáció és szabályzatok
A NIS2 hatósági ellenőrzés esetén elvárja, hogy az intézmény dokumentáltan bizonyítsa a megfelelést. Ez nem bürokratikus formalizmus — hanem az egyetlen módja, hogy bizonyítani tudja: a szükséges intézkedések valóban meg vannak hozva.
- Információbiztonsági szabályzat (IBSZ) — az intézmény IT biztonsági politikájának írott dokumentuma. Tartalmazza a hozzáférés-kezelési szabályokat, az elfogadható használat szabályait és a biztonsági előírásokat.
- Kockázatkezelési nyilvántartás — az azonosított kockázatok, azok értékelése és a meghozott intézkedések dokumentált listája. Ezt rendszeresen frissíteni kell.
- Szállítói biztonsági értékelések — az IT-rendszereket és -szolgáltatásokat nyújtó partnerek biztonsági megfelelésének dokumentálása. A NIS2 az ellátási láncra is kiterjed.
- Képzési és tudatosítási nyilvántartás — ki, mikor, milyen biztonsági képzésen vett részt. A munkavállalói tudatosítás a NIS2 explicit követelménye.
Az EMMA Pro naplózási rendszere automatikusan dokumentálja az összes adathozzáférést, módosítást és rendszeresemény. Ez a napló exportálható formátumban rendelkezésre áll hatósági ellenőrzések, belső auditvizsgálatok és incidensjelentések számára — manuális adatgyűjtés nélkül.
5. lépés: Folyamatos monitoring és felülvizsgálat
A NIS2 megfelelés nem egyszeri projekt — hanem folyamatos üzemeltetési feladat. A kiberfenyegetések fejlődnek, az intézményi IT-környezet változik, a jogszabályi értelmezések finomódnak. Aki egyszer elvégzi a megfelelési munkát, de nem tartja karban, hamar visszacsúszik a nem-megfelelő állapotba.
Napi/heti szintAz operatív biztonsági monitoring és a napi kockázatkezelés.
| Negyedéves/éves szintA megfelelési rendszer karbantartása és fejlesztése.
|
Összefoglalás — ne a bírságtól, hanem az érintettektől félj
A NIS2 megfelelés mögött nem pusztán jogi kötelezettség áll. Az egészségügyi intézmény felelőssége, hogy a rábízott betegadatokat védje, a rendszerek meghibásodása ne veszélyeztesse az ellátást, és a személyzet biztonságos környezetben tudjon dolgozni.
A jó hír: egy jól felépített egészségügyi IT-platform jelentős részét automatikusan teljesíti ezeknek a követelményeknek. Az EMMA Pro például beépített naplózással, jogosultságkezeléssel, titkosítással és audit-képes riportokkal rendelkezik — így a NIS2 technikai követelményeinek nagy része az intézményi rendszer meglétével együtt teljesül.
