Miért érint ez minden egészségügyi intézményt?

Az EU NIS2 irányelv (Network and Information Security Directive 2) 2023-ban lépett hatályba, és Magyarországon 2024-től kötelező a megfelelés. A korábbi NIS1-gyel szemben a NIS2 az egészségügyi szektort kritikus infrastruktúraként sorolja be — ez azt jelenti, hogy szinte minden kórház, magánklinika és egészségügyi szolgáltató hatálya alá esik.

A tét nem kis: a szabályok be nem tartása esetén akár 10 millió euró vagy az éves forgalom 2%-ának megfelelő bírság szabható ki — és ami ennél is fontosabb, a vezető tisztségviselők személyesen felelnek a megfelelésért.

🔑 Kulcsmegállapítás

A NIS2 nem egyszerűen IT-projekt — hanem intézményi szintű felelősségvállalás.A vezető tisztségviselőknek személyesen kell gondoskodniuk arról, hogy az intézmény teljesítse a kiberbiztonsági követelményeket és az incidensbejelentési kötelezettségeket.

Mire vonatkozik pontosan a NIS2 az egészségügyben?

Mielőtt a lépésekre térnénk, fontos tisztázni, mit követel meg konkrétan az irányelv az egészségügyi intézményektől:

IT biztonsági intézkedések

Az intézménynek dokumentált technikai kontrollokat kell bevezetnie.

  • Kockázatkezelési folyamatok kialakítása
  • Hozzáférés-kezelés és MFA bevezetése
  • Titkosítás és biztonságoskommunikáció
  • Rendszeresbiztonsági mentések
  • Sebezhetőség-kezelési folyamat
  • Szállítói lánc kockázatkezelés

    Folyamatok és dokumentáció

    A technikai intézkedések mellett szervezeti keretrendszer is szükséges.

    • Biztonsági szabályzatok kidolgozása
    • Incidenskezelési protokoll
    • 24 órás incidensbejelentési folyamat
    • Üzletmenet-folytonossági terv (BCP)
    • Munkavállalói biztonsági képzés
    • Rendszeres belső audit

    1. lépés: Kockázatfelmérés és rések azonosítása

    A NIS2 megfelelési folyamat első és legfontosabb lépése, hogy reális képet kapjon az intézmény jelenlegi biztonsági helyzetéről. Sok intézmény azzal kezdi, hogy feltételezi: „nálunk nincs különösebb kockázat." A tapasztalat mást mutat.

    • IT eszközök és rendszerek leltára — minden szoftver, hardver, hálózati eszköz, adatbázis és külső kapcsolódás feltérképezése. Ami nincs dokumentálva, az nem védhető.
    • Adatkezelési folyamatok áttekintése — hol tárolódnak betegadatok, ki fér hozzájuk, milyen csatornákon mozognak. Az egészségügyi adatok különleges kategóriájú személyes adatok — kiemelt védelmet igényelnek.
    • Sebezhetőség-azonosítás — elavult szoftverek, gyenge jelszavak, nyitott portok, nem frissített rendszerek. Ezek a tipikus belépési pontok egy kibertámadáshoz.
    • Szállítói és partnerkockázatok — az EMMA-t, laborrendszereket, PACS-t, számlázót üzemeltető partnerek biztonsági érettségének felmérése. A NIS2 az ellátási láncra is kiterjed.
    Gyakorlati tanács

    Ha az intézmény még nem végzett formális kockázatelemzést, kezdje egy egyszerű „Mi lehet a baj?" workshoppal az IT, az orvosigazgató és a gazdasági vezető részvételével. Másfél óra alatt azonosítható a 3–5 legkritikusabb kockázati terület.

    2. lépés: Technikai kontrollok bevezetése

    A kockázatfelmérés eredményei alapján meg kell határozni, mely technikai intézkedések szükségesek. A NIS2 nem ír elő konkrét technológiákat — kockázatarányos intézkedéseket vár el. Ez azt jelenti: nem kell minden intézménynek ugyanolyan szintű védelmet kiépítenie, de a kockázatoknak megfelelő védelmet igen.

    TerületMinimális elvárásEMMA Pro támogatás
    HOZZÁFÉRÉS-KEZELÉSSzerepkör-alapú hozzáférés, MFA kritikus rendszerekhezBeépített jogosultságkezelés, szerepkörök, audit trail
    NAPLÓZÁSHozzáférési és módosítási napló, megőrzési szabályokTeljes audit log, exportálható riportok hatóságoknak
    ADATMENTÉSRendszeres, tesztelt backup, off-site tárolásAutomatikus napi mentések, tesztelt visszaállítás
    TITKOSÍTÁSAdatok titkosítása tárolásban és átvitelbenTitkosított adatbázis, HTTPS kommunikáció
    PATCH MANAGEMENTRendszeres frissítések, sebezhetőség-kezelésCentrálisan kezelt frissítési folyamat

    3. lépés: Incidenskezelési folyamat kialakítása

    A NIS2 egyik legszigorúbb előírása az incidensbejelentési kötelezettség. Súlyos kiberbiztonsági incidens esetén az intézménynek 24 órán belül előzetes bejelentést kell tennie a hatóságoknak, majd 72 órán belül részletes incidensbejelentést, és 1 hónapon belül zárójelentést.

    Ez nem csupán adminisztratív kötelezettség — hanem azt is jelenti, hogy az intézménynek rendelkeznie kell egy működő incidenskezelési folyamattal, amelyet valóban végre tud hajtani az idő szorításában.

    „A legtöbb intézménynél nem az a kérdés, hogy volt-e már incidens — hanem az, hogy észrevették-e. A naplózás és a monitoring hiányában egy sikeres támadás hónapokig észrevétlen maradhat.” — Enterprise Group Technologies, egészségügyi IT biztonsági csapat

    Az incidenskezelési folyamat alapvető elemei:

    • Incidens-klasszifikáció — mi számít „súlyos" incidensnek (bejelentési kötelezettséggel) és mi kezelhető belső eljárással? Ezt előre, írásban kell rögzíteni.
    • Felelősök kijelölése — ki értesíti a hatóságokat, ki kommunikál a sajtóval, ki koordinálja a helyreállítást? A krízis közepén nem jó időpont dönteni ezekről.
    • Kommunikációs protokoll — belső értesítési lánc, hatósági bejelentés sablonja, páciensek és partnerek tájékoztatásának módja.
    • Rendszeres próba (tabletop exercise) — évente legalább egyszer le kell játszani egy szimulált incidenst, hogy a csapat ténylegesen gyakoroltan legyen.

    4. lépés: Dokumentáció és szabályzatok

    A NIS2 hatósági ellenőrzés esetén elvárja, hogy az intézmény dokumentáltan bizonyítsa a megfelelést. Ez nem bürokratikus formalizmus — hanem az egyetlen módja, hogy bizonyítani tudja: a szükséges intézkedések valóban meg vannak hozva.

    • Információbiztonsági szabályzat (IBSZ) — az intézmény IT biztonsági politikájának írott dokumentuma. Tartalmazza a hozzáférés-kezelési szabályokat, az elfogadható használat szabályait és a biztonsági előírásokat.
    • Kockázatkezelési nyilvántartás — az azonosított kockázatok, azok értékelése és a meghozott intézkedések dokumentált listája. Ezt rendszeresen frissíteni kell.
    • Szállítói biztonsági értékelések — az IT-rendszereket és -szolgáltatásokat nyújtó partnerek biztonsági megfelelésének dokumentálása. A NIS2 az ellátási láncra is kiterjed.
    • Képzési és tudatosítási nyilvántartás — ki, mikor, milyen biztonsági képzésen vett részt. A munkavállalói tudatosítás a NIS2 explicit követelménye.
    Az EMMA Pro Audit Trail funkciója

    Az EMMA Pro naplózási rendszere automatikusan dokumentálja az összes adathozzáférést, módosítást és rendszeresemény. Ez a napló exportálható formátumban rendelkezésre áll hatósági ellenőrzések, belső auditvizsgálatok és incidensjelentések számára — manuális adatgyűjtés nélkül.

    5. lépés: Folyamatos monitoring és felülvizsgálat

    A NIS2 megfelelés nem egyszeri projekt — hanem folyamatos üzemeltetési feladat. A kiberfenyegetések fejlődnek, az intézményi IT-környezet változik, a jogszabályi értelmezések finomódnak. Aki egyszer elvégzi a megfelelési munkát, de nem tartja karban, hamar visszacsúszik a nem-megfelelő állapotba.

    Napi/heti szint

    Az operatív biztonsági monitoring és a napi kockázatkezelés.

    • Naplók áttekintése, anomáliák figyelése 
    • Biztonsági riasztások kezelése 
    • Hozzáférés-változások jóváhagyása
    • Backup sikerességének ellenőrzése

    Negyedéves/éves szint

    A megfelelési rendszer karbantartása és fejlesztése.

    • Kockázatkezelési nyilvántartás frissítése
    • Szimulált incidensgyakorlat
    • Szabályzatok felülvizsgálata
    • Munkavállalói képzés megismétlése

    Összefoglalás — ne a bírságtól, hanem az érintettektől félj

    A NIS2 megfelelés mögött nem pusztán jogi kötelezettség áll. Az egészségügyi intézmény felelőssége, hogy a rábízott betegadatokat védje, a rendszerek meghibásodása ne veszélyeztesse az ellátást, és a személyzet biztonságos környezetben tudjon dolgozni.

    A jó hír: egy jól felépített egészségügyi IT-platform jelentős részét automatikusan teljesíti ezeknek a követelményeknek. Az EMMA Pro például beépített naplózással, jogosultságkezeléssel, titkosítással és audit-képes riportokkal rendelkezik — így a NIS2 technikai követelményeinek nagy része az intézményi rendszer meglétével együtt teljesül.