Artikel   09 november 2023

Hälso- och sjukvården - hur påverkas den av NIS2?

Med fler sektorer, strängare krav på riskhantering och incidentrapportering och hårdare straff för bristande efterlevnad, är det nya NIS2-direktivet det mest omfattande europeiska direktivet för cybersäkerhet någonsin. Hälso- och sjukvården har redan varit föremål för NIS1, men här är vad både offentliga och privata organisationer behöver se upp med med det nya NIS2-direktivet.

Informationssäkerhet
Integritet
Säkerhet
NIS2
Hälso- och sjukvården - hur påverkas den av NIS2?

Image: Piqsels.com (Royalty free)

Sjukvårdssektorn är en av hörnstenarna i det europeiska samhället och ekonomin. Med risken för dödliga konsekvenser i händelse av en framgångsrik cyberattack, anses sektorn vara väsentlig enligt NIS2-direktivet, vilket gör akatörer tvingade att leva upp till de tuffaste kraven och skyldigheterna.

Vårdsektorn står inför flera utmaningar inom cybersäkerhet. Brist på digital standardisering i kombination med att hantering av känslig information är bara en av dessa.

Många vårdorganisationer kämpar också med åldrande teknik och otillräckliga resurser. Det ibland fragmenterade sjukvårdssystemet hämmas också av flera sammankopplade system. Att vårdpersonal kanske inte får tillräcklig cybersäkerhetsutbildning, vilket ökar risken för mänskliga fel och säkerhetsintrång.

NIS2 innebär ett brett spektrum av tvingande instaser för olika typer av enheter inom hälsosektorn. Sjukvårdsorganisationer är redan idag föremål för strikta regler när det gäller datasekretess och NIS2 lägger till ytterligare ett lager av cybersäkerhetsbestämmelser och strängare skydd av patientdata och förebyggande av störningar i sjukvården.

I ett kortare perspektiv riskerar NIS2-direktivet att leda till ökade kostnader för sjukvården, eftersom många aktörer kan behöva investera i ny teknik och processer för att följa dem. Men på lång sikt förväntas dessa investeringar leda till ökad säkerhet, bättre skydd av patientdata och ökat förtroende för digital sjukvård.

Utbildning i cybersäkerhet – en av 10 viktiga cyberhygienåtgärder

NIS2-direktivet kräver att hälso- och sjukvården och andra 'essential and important entities' implementerar 10 grundläggande säkerhetsåtgärder för att ta itu med specifika former av troliga cyberhot.

  • Riskbedömningar och säkerhetspolicyer för informationssystem.
  • Policyer och förfaranden för att utvärdera effektiviteten av säkerhetsåtgärder.
  • Policyer och förfaranden för användning av kryptografi.
  • En plan för hantering av säkerhetsincidenter.
  • Säkerhet kring upphandling av system och utveckling och drift av system.
  • Säkerhetsrutiner för anställda med tillgång till känsliga eller viktiga uppgifter.
  • En plan för att hantera affärsverksamheten under och efter en säkerhetsincident.
  • Användningen av multifaktorautentisering.
  • Säkerhet kring leverantörskedjor och relationen mellan företaget och direktleverantören.
  • Cybersäkerhetsutbildning och en praktik för grundläggande datorhygien.

 

Cybersäkerhetsutbildning är inte bara "med på listan". Det är ett välkänt faktum att medvetenhetsträning är en viktig del i att skapa den organisatoriska säkerhetskultur som behövs för att organisationer ska kunna följa många av de andra säkerhetsåtgärderna som NIS2 har i uppdrag. Utan medvetenhetsträning året runt kommer många av de operativa procedurerna så småningom att misslyckas – på grund av mänskliga fel.

Våra nya uppdaterade versioner av Information Security Awareness-utbildningar riktar sig till alla anställda, chefer, ledningar och styrelser och är en del av att vara NIS2-kompatibel.

Vi erbjuder också en introduktion till NIS2 direktivet till alla våra kunder. 

Artikel   09 november 2023