Regulace kybernetické bezpečnosti ve zdravotnictví

Rostoucí digitalizace přináší ve zdravotnictví revoluci, ale i nová rizika. Propojená elektronika i nemocniční sítě denně čelí kybernetickým hrozbám. Zabezpečení citlivých pacientských dat a spolehlivost život zachraňujících přístrojů se totiž staly absolutní prioritou, neboť každá zranitelnost může mít fatální následky. Evropská unie i ČR proto budují silný obranný štít formou legislativních aktů. Tentokrát se zaměříme na tři předpisy: Akt o kybernetické bezpečnosti (CSA), Nařízení o kybernetické odolnosti (CRA) a zákon o kybernetické bezpečnosti (ZoKB). Ačkoliv se tyto předpisy navzájem doplňují, mají odlišné cíle.

Zatímco CSA (jehož hlavní povinnosti jsou účinné od 28. června 2021) stanovuje primárně institucionální rámec a vytváří zpravidla dobrovolný celoevropský rámec pro certifikaci ICT, CRA míří přímo na veškerý hardware a software s datovým připojením. CRA zajišťuje, aby výrobky, které si kupujeme, byly bezpečné už od návrhu a po celou dobu svého životního cyklu. Z hlediska dopadů definuje CRA přímé povinnosti pro výrobce a na trh dopadne plošně od 11. prosince 2027. V kontextu zdravotnictví má však CRA jednu naprosto zásadní výjimku: nařízení se výslovně nevztahuje na zdravotnické prostředky, které již podléhají přísným certifikacím MDR a IVDR.

Do této mozaiky navíc od 1. listopadu 2025 vstoupil nový český zákon o kybernetické bezpečnosti (ZoKB). Ten neřeší vlastnosti samotných výrobků, ale dopadá na organizace poskytující tzv. regulované služby. Zdravotnictví je zde jasně definovaným klíčovým sektorem, a regulovanými subjekty se tak výslovně stávají nejen nemocnice, ale při splnění konkrétních kritérií i výrobci zdravotnických a diagnostických prostředků in vitro, a to za předpokladu, že naplní základní zákonné požadavky.

Výjimky i povinnosti

Hlavní posun mezi předpisy spočívá v jejich striktní vymahatelnosti. Ačkoliv se mohl hospodářský subjekt v minulosti povinnostem podle dobrovolné certifikace CSA vyhnout, povinnostem podle CRA a ZoKB se už nevyhne. CRA zavádí tvrdé požadavky pro veškerou běžnou IT infrastrukturu dodávanou do nemocnic, přičemž klíčová povinnost aktivně hlásit zranitelnosti a incidenty začne platit dokonce již od 11. září 2026.

Pohled samotných výrobců zdravotnických prostředků je proto vysoce specifický. Kvůli zmíněné výjimce sice jejich medicínské přístroje jako takové nepodléhají CRA, ale výrobce jakožto firma rozhodně neunikne novému ZoKB. Hospodářským subjektům dodávajícím běžný software, na nějž neplatí výjimka pro zdravotnické prostředky, plynou striktní povinnosti: musí zajistit bezpečnost už od návrhu, provést posouzení rizik, garantovat podporu s aktualizacemi a hlásit zranitelnosti do 24 hodin.

Éra dobrovolnosti končí. Ačkoliv zdravotnické prostředky mají z CRA výjimku, výrobci i jejich další IT produkty regulaci neuniknou.

Autor: Markéta Hrubá