NFZ zapłaci za zabezpieczenie systemów informatycznych. Wchodzi nowe zarządzenie

Autor: JPP • Źródło: Narodowy Fundusz Zdrowia21 maja 2022 07:25

21 maja w życie wchodzi zarządzenie prezesa NFZ w sprawie finansowania działań dotyczących podniesienia poziomu bezpieczeństwa systemów teleinformatycznych w placówkach medycznych. Dofinansowania wyniosą od ponad 200 do 900 tys. zł. W zarządzeniu wskazano warunki zasady skorzystania z pieniędzy.

NFZ zapłaci za zabezpieczenie systemów informatycznych. Wchodzi nowe zarządzenie
NFZ zapłaci za zabezpieczenie systemów informatycznych nawet do 900 tys. zł. Wchodzi nowe zarządzenie Fot. AdobeStock
  • NFZ opublikował zarządzenie w sprawie finansowania działań, dotyczących podniesienia poziomu bezpieczeństwa systemów teleinformatycznych świadczeniodawców
  • Chodzi o dotacje na wzmocnienie bezpieczeństwa systemów informatycznych w placówkach medycznych, nie zaś o samą informatyzację
  • Wnioski o dofinansowanie będzie można składa do 30 listopada tego roku. Placówki mogą się ubiegać o kwoty od ponad 200 do nawet 900 tys. zł
  • Jak argumentuje NFZ inicjatywa jest odpowiedzią na rosnącą liczbę cyberataków na instytucje publiczne, w tym niezwykle wrażliwy sektor ochrony zdrowia
  • W 2019 roku w Polsce zarejestrowano 53 cyberataki na placówki ochrony zdrowia, a od 1 stycznia 2020 roku do września 2020 roku odnotowano ich już ponad 90 - wskazuje Fundusz

NFZ zapłaci za zabezpieczenie systemów informatycznych. Wchodzi nowe zarządzenie

Na stronach Narodowego Funduszu Zdrowia 20 maja opublikowano zarządzenia prezesa w sprawie finansowania działań w celu podniesienia poziomu bezpieczeństwa systemów teleinformatycznych świadczeniodawców. Dokument wchodzi w życie 21 maja.

Określa warunki przyznawania i rozliczania pieniędzy na inwestycje w systemy teleinformatyczne - z zastrzeżeniem że chodzi o podniesienie poziomu bezpieczeństwa, nie zaś o samą informatyzację - w placówkach medycznych.

Pieniądze będą dostępne dla podmiotów realizujących świadczenia z zakresu:

  • leczenie szpitalne
  • rehabilitacja lecznicza,
  • opieka psychiatryczna i leczenie uzależnień,
  • lecznictwo uzdrowiskowe

Finansowanie - jak wskazano w rozporządzeniu - obejmuje wydatki świadczeniodawców ponoszone od dnia 29 kwietnia 2022 r. do dnia 31 grudnia 2022.

NFZ wylicza na jakie inwestycje przydzieli pieniądze

Finansowaniem objęte będą działania podnoszące poziom bezpieczeństwa systemów teleinformatycznych i polegające na wykonaniu co najmniej jednej z następujących czynności:

  • zakup i wdrożenie systemów teleinformatycznych, w tym urządzeń, oprogramowania i usług  zapewniających prewencję, reakcję i detekcję zagrożeń cyberbezpieczeństwa, w szczególności:

a) systemów kopii bezpieczeństwa, odmiejscowienia kopii, segmentacji w celu odseparowania urządzeń backupu, zapewnienia mechanizmów weryfikacji poprawności i odtwarzalności kopii i backupu
b) systemów antywirusowych dla stacji roboczych i serwerów - centralnie zarządzanych, systemów klasy Endpoint Detection and Response (EDR),

c) systemów kontroli dostępu administracyjnego, zarządzania uprawnieniami (IAM/IDM),

d) urządzeń i oprogramowania typu firewall - zapora sieciowa z wbudowanym IPS oraz systemem antywirusowym oraz platform niezbędnych do ich uruchomienia,

e) systemów zapewniających bezpieczny system poczty elektronicznej, włączając w to systemy weryfikacji załączników i treści korespondencji oraz systemy wieloskładnikowego uwierzytelniania,

f) rozwiązań zapewniających ochronę DNS (DNS Protection) z użyciem systemów lokalnych (licencja oraz wsparcie w okresie do dnia 31 grudnia 2022 r.),

g) systemu typu SIEM,

h) systemu typu NAC – jako system lokalny

  • zakup usługi wdrożenia i konfiguracji urządzeń i oprogramowania, o których mowa w pkt 1, oraz wsparcia eksperckiego w zakresie cyberbezpieczeństwa przez okres do dnia 31 grudnia 2022 r.;
  • zakup i wdrożenie systemu (usługi) typu SOC – przez okres do dnia 31 grudnia 2022 r.;
  • zakup usługi skanów podatności, w zakresie sprecyzowanym w materiale referencyjnym „Plan działania w zakresie cyberbezpieczeństwa w ochronie zdrowia”, opublikowanym na stronie internetowej Centrum e-Zdrowia3), przez okres do dnia 31 grudnia 2022 r.;
  • zakup opracowania wraz z przekazaniem praw autorskich dokumentacji systemu zarządzania bezpieczeństwem informacji zgodnie z wymaganiami ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2021 r. poz. 2070), rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2017 r. poz. 2247), oraz ustawy z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa (Dz. U. z 2020 r. poz. 1369, z 2021 r. poz. 2333 i 2445 oraz z 2022 r. poz. 655) - jeśli dotyczy świadczeniodawcy będącego operatorem usługi kluczowej, o którym mowa w art. 5 tej ustawy, w tym planu odtworzenia po awarii;
  •  zakup szkolenia lub szkoleń w zakresie cyberbezpieczeństwa skierowanych do kadry zarządzającej świadczeniodawcą oraz osób zatrudnionych u świadczeniodawcy w zakresie podstawowej świadomości bezpieczeństwa IT, w tym:

a) ochrony przed zaawansowanymi atakami przez pocztę i WWW,

b) tworzenia i zarządzania polityką haseł i tożsamości,

c) zarządzania ryzykiem, dokumentacją i polityką bezpieczeństwa w jednostkach publicznych w świetle rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2017 r. poz. 2247),

d) wykonywania kopii zapasowych oraz tworzenia i utrzymania polityki ciągłości działania

Dofinansowanie z NFZ może sięgać do 900 tys. zł

Jak wskazano w rozporządzeniu warunkiem ubiegania się o finansowanie jest przeprowadzenie badania poziomu dojrzałości cyberbezpieczeństwa, w formie ankiety w Systemie Statystyki Ochrony Zdrowia oraz przeprowadzenie audytu bezpieczeństwa.

W dokumencie NFZ wylicza również szczegółowo, o jakie pieniądze mogą ubiegać się placówki medyczne. Kwoty są w przedziale od ponad 200 do 900 tys. zł..

  • Kwota finansowania dla jednego świadczeniodawcy nie może przekroczyć w przypadku złożenia przez świadczeniodawcę oświadczenia o możliwości odliczenia podatku VAT:

a) 243 902 zł bez podatku VAT jeżeli suma wartości umów o udzielanie świadczeń opieki zdrowotnej, w rodzajach, o których mowa w niniejszej decyzji, zawartych przez danego świadczeniodawcę z Funduszem na 2021 r. jest nie większa niż 10 000 000 zł,

b) 325 203 zł bez podatku VAT jeżeli suma wartości umów o udzielanie świadczeń opieki zdrowotnej, w rodzajach, o których mowa w niniejszej decyzji, zawartych przez danego świadczeniodawcę z Funduszem na 2021 r. jest większa od 10 000 000 zł i nie większaniż 100 000 000 zł,

c) 487 804 zł bez podatku VAT jeżeli suma wartości umów o udzielanie świadczeń opieki zdrowotnej, w rodzajach, o których mowa w niniejszej decyzji, zawartych przez danego świadczeniodawcę z Funduszem na 2021 r. jest większa od 100 000 000 zł i nie większa niż 500 000 000 zł,

d) 731 707 zł bez podatku VAT jeżeli suma wartości umów o udzielanie świadczeń opieki zdrowotnej, w rodzajach, o których mowa w niniejszej decyzji, zawartych przez danego świadczeniodawcę z Funduszem na 2021 r. jest większa od 500 000 000 zł;

  • Kwota finansowania dla jednego świadczeniodawcy nie może przekroczyć w przypadku złożenia przez świadczeniodawcę oświadczenia o braku możliwości odliczenia podatku VAT:

a) 300 000 zł z podatkiem VAT jeżeli suma wartości umów o udzielanie świadczeń opieki zdrowotnej, w rodzajach, o których mowa w niniejszej decyzji, zawartych przez danego świadczeniodawcę z Funduszem na 2021 r. jest nie większa niż 10 000 000 zł,

b) 400 000 zł z podatkiem VAT jeżeli suma wartości umów o udzielanie świadczeń opieki zdrowotnej, w rodzajach, o których mowa w niniejszej decyzji, zawartych przez danego świadczeniodawcę z Funduszem na 2021 r. jest większa od 10 000 000 zł i nie większa niż 100 000 000 zł,

c) 600 000 zł z podatkiem VAT jeżeli suma wartości umów o udzielanie świadczeń opieki zdrowotnej, w rodzajach, o których mowa w niniejszej decyzji, zawartych przez danego świadczeniodawcę z Funduszem na 2021 r. jest większa od 100 000 000 zł i nie większa niż 500 000 000 zł,

d) 900 000 zł z podatkiem VAT jeżeli suma wartości umów o udzielanie świadczeń opieki zdrowotnej, w rodzajach, o których mowa w niniejszej decyzji, zawartych przez danego świadczeniodawcę z Funduszem na 2021 r. jest większa od 500 000 000 zł.

NFZ: coraz więcej incydentów w zakresie cyberbezpieczeństwa 

Jak argumentuje NFZ zmiany podyktowane są rosnącą cyfryzacją  ochrony zdrowia, co znacząco przyspieszyła pandemia COVID-19, ale również rosnąca liczba incydentów zakresie cyberbezpieczeństwa.

- Takie incydenty jak wyciek danych w tym danych osobowych pacjentów, blokowanie systemu i szyfrowanie plików wraz z żądaniami okupu są coraz częstszym zjawiskiem, również w Polsce. Mogą one prowadzić do paraliżu i ogromnych strat podmiotach leczniczych oraz zagrozić życiu i zdrowiu pacjentów. Mogą skutecznie uniemożliwić przeprowadzanie planowanych operacji czy zagrozić prywatności danych osobowych, w szczególności danych wrażliwych pacjentów - wskazano w uzasadnieniu do zarządzenia.

Fundusz przytacza również dane CERT Polska.

- W 2019 roku w Polsce zarejestrowano 53 incydenty cyberbezpieczeństwa dotyczące sektora ochrony zdrowia, a od 1 stycznia 2020 roku do września 2020 roku odnotowano ich już ponad 90. Podczas trwania epidemii COVID-19 Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) zaobserwowała znaczny wzrost incydentów - o 47 proc., a według Check Point Research cyberprzestępcy coraz częściej kierują swoje ataki przeciw szpitalom głównie w Europie Środkowej - dodano.

W związku z rosnącym zagrożeniem w tym zakresie - jak czytamy w uzasadnieniu - minister zdrowia podjął decyzję o nałożeniu obowiązków na NFZ, w celu podniesienia poziomu bezpieczeństwa systemów teleinformatycznych świadczeniodawców wykorzystywanych do udzielania świadczeń opieki zdrowotnej.

- Należy mieć przy tym na uwadze, że celem przedmiotowej decyzji jest zapewnienie zwiększenia poziomu bezpieczeństwa systemów teleinformatycznych z uwagi na zwiększenie częstotliwości podatności tych systemów na incydenty cyberbezpieczeństwa, a nie informatyzacja  świadczeniodawców, której celem jest udzielanie przez nich świadczeń opieki zdrowotnej za pośrednictwem systemów teleinformatycznych lub systemów łączności, prowadzenie i wymiana elektronicznej dokumentacji medycznej, w tym digitalizacja dokumentacji medycznej prowadzonej w postaci papierowej oraz udostępnia nieelektronicznych usług świadczeniobiorcom lub innym podmiotom - zastrzeżono.

Pełna treść zarządzenia jest dostępna na stronie internetowej Narodowego Funduszu Zdrowia

Dowiedz się więcej na temat:
Podaj imię Wpisz komentarz
Dodając komentarz, oświadczasz, że akceptujesz regulamin forum