epravo.cz

Přihlášení / registrace

Nemáte ještě účet? Zaregistrujte se


Zapomenuté heslo
    Přihlášení / registrace
    • ČLÁNKY
      • občanské právo
      • obchodní právo
      • insolvenční právo
      • finanční právo
      • správní právo
      • pracovní právo
      • trestní právo
      • evropské právo
      • veřejné zakázky
      • ostatní právní obory
    • ZÁKONY
      • sbírka zákonů
      • sbírka mezinárodních smluv
      • právní předpisy EU
      • úřední věstník EU
    • SOUDNÍ ROZHODNUTÍ
      • občanské právo
      • obchodní právo
      • správní právo
      • pracovní právo
      • trestní právo
      • ostatní právní obory
    • AKTUÁLNĚ
      • 10 otázek
      • tiskové zprávy
      • vzdělávací akce
      • komerční sdělení
      • ostatní
      • rekodifikace TŘ
    • Rejstřík
    • E-shop
      • Online kurzy
      • Online konference
      • Záznamy konferencí
      • EPRAVO.CZ Premium
      • Konference
      • Monitoring judikatury
      • Publikace a služby
      • Společenské akce
      • Advokátní rejstřík
      • Partnerský program
    • Předplatné
    9. 4. 2021
    ID: 112849upozornění pro uživatele

    Kybernetická bezpečnost ve zdravotnictví

    Zdravotnická zařízení si díky pandemii koronaviru procházejí těžkou dobou. Kromě povinností vyplývajících z jejich činnosti se bohužel tato zařízení musí vypořádávat i s dalšími výzvami, a to zejména ve smyslu stále narůstajících kybernetických hrozeb. Ty, jak nedávné incidenty ukazují, mohou ohrozit i jejich samotný provoz.

    V roce 2020 nahlásilo Národnímu úřadu pro kybernetickou a informační bezpečnost (dále jen NÚKIB) kybernetické incidenty šestnáct největších tuzemských nemocnic. NÚKIB v této věci 16. 4. 2020 vydal varování před „hrozbou v oblasti kybernetické bezpečnosti, spočívající v realizaci rozsáhlé kampaně závažných kybernetických útoků na informační a komunikační systémy v České republice, zejména pak na systémy zdravotnických zařízení.“

    V lednu 2021 renomovaná bezpečnostní firma Check Point uvedla[1], že kyberútoky na zdravotnictví stouply o 45 %. Pavel Krejčí, bezpečnostní expert společnosti Check Point tyto útoky trefně nazval hyenismem a „parazitování na současné situaci, kdy si nemocnice pod náporem pacientů s koronavirem a vzhledem ke spuštění vakcinačních programů nemohou dovolit jakékoli výpadky a přerušení provozu.“[2]

    Reklama
    Nemáte ještě registraci na epravo.cz?

    Registrujte se, získejte řadu výhod a jako dárek Vám zašleme aktuální online kurz na využití umělé inteligence v praxi.

    REGISTROVAT ZDE

    Jako příklad škod, které může kyberútok napáchat lze připomenout nechvalně známý útok na nemocnici Rudolfa a Stefanie Benešov z konce roku 2019. Ten mimo jiné způsobil vyřazení nemocnice z provozu na téměř 20 dní a škodu dosahující skoro 60 milionů Kč.

    Nemocnice ve většině případech podlehnou tzv. ransomware, škodlivému programu, který zablokuje určitý počítačový systém nebo zašifruje data v něm zapsaná, a pak požaduje od oběti výkupné za obnovení přístupu. Některé formy ransomware šifrují soubory na pevném disku, jiné „jen“ uzamknou systém a výhrůžnou zprávou se snaží donutit uživatele k zaplacení. Takové útoky nejčastěji cílí na úřady, nemocnice, obchodní společnosti a instituce, které uchovávají důležitá data a je zde větší pravděpodobnost, že pachatel od napadeného subjektu získá finanční prostředky.

    Reklama
    ChatGPT od A do Z v právní praxi (online - živé vysílání) - 5.8.2025
    ChatGPT od A do Z v právní praxi (online - živé vysílání) - 5.8.2025
    5.8.2025 13:003 975 Kč s DPH
    3 285 Kč bez DPH

    Koupit

    Podcenila se kybernetická bezpečnost ve zdravotnictví?

    Povinnosti pro nemocnice na úseku kybernetické bezpečnosti stanovuje zákon 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) a příslušných vyhlášek. Vybraná zdravotnická zařízení jsou povinnou osobou podle § 3 písm. f) a g) zákona o kybernetické bezpečnosti, jakožto poskytovatelé základních služeb dle § 2 písm. i) bod 5) tamtéž.

    Do roku 2021 se zákon o kybernetické bezpečnosti díky nastaveným kritériím vztahoval pouze na 16 největších nemocnic a zařízení se specializovaným traumatologickým centrem. Teno okruh byl od 1. ledna 2021 na požadavek Asociace krajů rozšířen vyhláškou Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB),[3] aby zahrnoval i menší nemocnice. Nově tak bude muset své systémy lépe zabezpečit 46 zdravotnických zařízení.

    Ze zákona mají vybraná zdravotnická zařízení zejména povinnost zavést a provádět bezpečnostní opatření v rozsahu nezbytném pro zajištění kybernetické bezpečnosti a vést o nich bezpečnostní dokumentaci. Bezpečnostní opatření mimo jiné zahrnují komplexní systém řízení rizik, zajištění organizační bezpečnosti, systém pro zvládání kybernetických bezpečnostních událostí a incidentů i pravidelné bezpečnostní audity.

    Otázka kybernetické bezpečnosti však rozsahem zákona omezena není. Legislativa je jistě dobrým základem, ale její dodržování “na papíře“ zejména v oblasti kybernetické bezpečnosti není dostačující. Nestačí například metodicky nastavit postupy pro povedení analýzy rizik, když pak v praxi není analýza rizik zavedena do běžného provozu. Zavedená bezpečnostní opatření je v oblasti kybernetické bezpečnosti více než kde jinde nutné chápat, a to i ze strany řadových zaměstnanců, řádně dodržovat a pravidelně aktualizovat.

    Tuto skutečnost velmi dobře chápe i NÚKIB, který opakovaně a dlouhodobě upozorňuje na nedostatečnou ochranu proti kybernetickým útokům u velké části organizací. A to nejen v případě regulovaných subjektů, kterým vyplývají povinnosti ze zákona o kybernetické bezpečnosti, ale i zbylých organizací, například zákonem o kybernetické bezpečnosti neregulovaných menších nemocnic. Na ty se proto NÚKIB například zaměřuje vzdělávacími programy a podpůrnými metodickými dokumenty.

    Kybernetickou bezpečnost nemocnic dokonce náměstek NÚKIB Lukáš Kintr označil za podceněnou.[4] V tomto smyslu však jistě pandemie koronaviru a s ní spojené kybernetické incidenty uštědřili všem tvrdou lekci a priorita kybernetické bezpečnosti tak bezesporu vzrostla.

    Aktuálně lze konstatovat, že nedostatečné zajištění kyberbezpečnosti ze strany nemocnic souvisí zejména s podfinancováním. Jak například uvedla mluvčí nemocnice v Novém Městě na Moravě Tamara Pecková: „...potřebovali bychom hlavně finanční prostředky, za které bychom pořídili novější technologie. Velký problém by bylo sehnat i vysoce specializované odborníky.“

    S tím by dle NÚKIB měly alespoň částečně pomoct peníze z fondů Evropské unie. Zatím však nelze určit, na co vše lze tyto peníze v oblasti kybernetické bezpečnosti využít. Jako první otázkou v tomto směru lze uvažovat nad využitím těchto prostředků pro bezpečné zavedení cloudů v nemocnicích. Komplexní proces, který mnoho nemocnic v blízké době čeká.

    Jak se lze vyvarovat dalším kybernetickým incidentům?

    Preventivní bezpečnostní opatření mimo technická bezpečnostní opatření zahrnují zejména přípravu komplexní dokumentace (interních předpisů, metodik, smluv), která bude jasným návodem pro kontinuální zajišťování kybernetické bezpečnosti a následně bude sloužit za účelem monitoringu dodržování bezpečnostních pravidel. Jako příklad lze uvést krizové plánování nemocnice a systém analýzy rizik se zaměřením na možná interní a externí ohrožení v oblasti kybernetické bezpečnosti, která mohou narušit běžný provoz nemocnice.

    Dobrým výchozím bodem je najmout si externího experta na kybernetickou bezpečnost, který dokáže zkontrolovat celou interní infrastrukturu nemocnice a analyzovat ji z hlediska kybernetické bezpečnosti. Ta pak odhalí zranitelnosti systému, které je nutné adresovat odpovědné osobě a ta by měla přijmout příslušná opatření. V neposlední řadě je pak zásadní řádné proškolení zaměstnanců.

    Z výše uvedeného se vzdělávání všech řadových a vedoucích zaměstnanců v současné krizi jeví jako nejrychlejší a nejefektivnější řešení. Velká část incidentů jde totiž bohužel na vrub osobám uvnitř organizace. V praxi jde nejčastěji o otevírání příloh či odkazů podezřelých e-mailů, nedostatečné zajištění fyzické bezpečnosti přensných úložisť dat, např. ztrácení flash disků, paměťových karet nebo dalších médií, případně jiný únik dat.

    Na tomto poli je například stále příkladně aktivnější NÚKIB, který poskytuje prezenční školení a semináře pro úředníky a zaměstnance veřejné správy, jejíchž účelem je osvojení základních pravidel kybernetické bezpečnosti.[5]

    Většina nemocnic nyní bohužel neví, jak zvyšovat kybernetickou odolnost a posilovat preventivní opatření, jak efektivně čelit kybernetickým útokům, případně jak řešit jejich následky. Současná krize však jasně ukázala, že se to musí naučit. Rizikům je nutné primárně umět předcházet. Konkrétními otázkami se budeme zabývat v příštím článku.

    Mgr. Filip Mamrilla,
    advokátní koncipient

    Mgr. Šimon Toman,
    advokátní koncipient

     

    TOMAN & PARTNEŘI advokátní kancelář, s.r.o.
     
    Trojanova 12
    120 00 Praha 2
     
    Tel.:       +420 224 918 490
    Fax:       +420 224 920 468
    e-mail:    ak@iustitia.cz
     

    [1] K dispozici >>> zde.

    [2] K dispozici >>> zde.

    [3] Vyhláška 573/2020 Sb. ze dne 17. prosince 2020, kterou se mění vyhláška 437/2017 Sb., o kritériích pro určení provozovatele základní služby

    [4] K dispozici >>> zde.

    [5] K dispozici >>> zde.


    © EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz


    Mgr. Filip Mamrilla, Mgr. Šimon Toman (TOMAN & PARTNEŘI)
    9. 4. 2021

    Poslat článek emailem

    *) povinné položky

    Další články:

    • Promlčení zápůjčky na dobu neurčitou a změna judikatury Nejvyššího soudu
    • Jak dlouho po podání žádosti o vydání stavebního povolení musí žadatel udržovat podkladová stanoviska platná a aktuální?
    • Ne/podceňování zastupitelnosti bezpečnostních rolí dle zákona o kybernetické bezpečnosti
    • Právo a umělé inteligence: AI Act, osobní údaje, kyberbezpečnost a další regulace
    • Dítě a dovolená v zahraničí: Co dělat, když druhý rodič nesouhlasí s cestou?
    • Cena zvláštní obliby – kdy má citový vztah poškozeného k věci vliv na výši odškodného?
    • Umělá inteligence v právu: Efektivní pomoc nebo riziko pro odborný úsudek?
    • Úvodní vhled do klasifikace povinných osob dle návrhu nového zákona o kybernetické bezpečnosti
    • Rodinná nadace s dceřinou společností: Alternativa ke svěřenskému fondu pro správu rodinného majetku
    • Řádné prověření podnětu jako podklad pro místní šetření (nález Ústavního soudu)
    • Zákon č. 73/2025 Sb.: Advokacie v nové éře regulace a ochrany důvěrnosti

    Novinky v eshopu

    Aktuální akce

    • 05.08.2025ChatGPT od A do Z v právní praxi (online - živé vysílání) - 5.8.2025
    • 12.08.2025Claude (Anthropic) od A do Z v právní praxi (online - živé vysílání) - 12.8.2025
    • 19.08.2025Microsoft Copilot od A do Z v právní praxi (online - živé vysílání) - 19.8.2025
    • 26.08.2025Gemini a NotebookLM od A do Z v právní praxi (online - živé vysílání) - 26.8.2025
    • 02.09.2025Pracovní smlouva prakticky (online - živé vysílání) - 2.9.2025

    Online kurzy

    • Úvod do problematiky squeeze-out a sell-out
    • Pořízení pro případ smrti: jak zajistit, aby Váš majetek zůstal ve správných rukou
    • Zaměstnanec – rodič z pohledu pracovněprávních předpisů
    • Flexi novela zákoníku práce
    • Umělá inteligence a odpovědnost za újmu
    Lektoři kurzů
    JUDr. Tomáš Sokol
    JUDr. Tomáš Sokol
    Kurzy lektora
    JUDr. Martin Maisner, Ph.D., MCIArb
    JUDr. Martin Maisner, Ph.D., MCIArb
    Kurzy lektora
    Mgr. Marek Bednář
    Mgr. Marek Bednář
    Kurzy lektora
    Mgr. Veronika  Pázmányová
    Mgr. Veronika Pázmányová
    Kurzy lektora
    Mgr. Michaela Riedlová
    Mgr. Michaela Riedlová
    Kurzy lektora
    JUDr. Jindřich Vítek, Ph.D.
    JUDr. Jindřich Vítek, Ph.D.
    Kurzy lektora
    Mgr. Michal Nulíček, LL.M.
    Mgr. Michal Nulíček, LL.M.
    Kurzy lektora
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Tomáš Nielsen
    JUDr. Tomáš Nielsen
    Kurzy lektora
    všichni lektoři

    Konference

    • 18.09.2025Diskusní fórum: Daňové právo v praxi - 18.9.2025
    • 02.10.2025Trestní právo daňové - 2.10.2025
    • 03.10.2025Daňové právo 2025 - Daň z přidané hodnoty - 3.10.2025
    Archiv

    Magazíny a služby

    • Monitoring judikatury (24 měsíců)
    • Monitoring judikatury (12 měsíců)
    • Monitoring judikatury (6 měsíců)

    Nejčtenější na epravo.cz

    • 24 hod
    • 7 dní
    • 30 dní
    • Promlčení zápůjčky na dobu neurčitou a změna judikatury Nejvyššího soudu
    • Od konkurenční doložky k právní nejistotě: kontroverzní výklad Nejvyššího soudu v rozsudku 27 Cdo 1236/2024
    • Právo a umělé inteligence: AI Act, osobní údaje, kyberbezpečnost a další regulace
    • Sankční povinnost odevzdání řidičského průkazu v implikační souvislosti
    • Jak dlouho po podání žádosti o vydání stavebního povolení musí žadatel udržovat podkladová stanoviska platná a aktuální?
    • Ne/podceňování zastupitelnosti bezpečnostních rolí dle zákona o kybernetické bezpečnosti
    • Právo na víkend - týden v české justici očima šéfredaktora
    • Závislá práce ve světle nového rozhodnutí Nejvyššího správního soudu. Rozsudek Nejvyššího správního soudu ze dne 19. 3. 2025, sp. zn. A Ads 6/2025
    • Závislá práce ve světle nového rozhodnutí Nejvyššího správního soudu. Rozsudek Nejvyššího správního soudu ze dne 19. 3. 2025, sp. zn. A Ads 6/2025
    • Promlčení zápůjčky na dobu neurčitou a změna judikatury Nejvyššího soudu
    • Právo a umělé inteligence: AI Act, osobní údaje, kyberbezpečnost a další regulace
    • Sankční povinnost odevzdání řidičského průkazu v implikační souvislosti
    • Od konkurenční doložky k právní nejistotě: kontroverzní výklad Nejvyššího soudu v rozsudku 27 Cdo 1236/2024
    • 10 otázek pro ... Jana Kohouta
    • Ne/podceňování zastupitelnosti bezpečnostních rolí dle zákona o kybernetické bezpečnosti
    • Top 12 čili Tucet nejvýznamnějších judikátů Nejvyššího soudu z loňského roku 2024 vzešlých z řešení pracovněprávních sporů
    • Ověření podpisu advokátem a „nestrannost“ advokáta
    • Projevy tzv. flexinovely zákoníku práce při skončení pracovního poměru výpovědí udělenou zaměstnanci ze strany zaměstnavatele
    • Bez rozvrhu pracovní doby to nepůjde
    • Nařízení odstranění černé stavby aneb Když výjimka potvrzuje pravidlo
    • Zákon č. 73/2025 Sb.: Advokacie v nové éře regulace a ochrany důvěrnosti
    • Top 12 čili Tucet nejvýznamnějších judikátů Nejvyššího soudu z loňského roku 2024 vzešlých z řešení pracovněprávních sporů
    • Umělá inteligence v právu: Efektivní pomoc nebo riziko pro odborný úsudek?
    • Finální podoba flexibilní novely zákoníku práce nabyla účinnosti - co nás čeká?

    Soudní rozhodnutí

    Nesprávné označení relevantní stěžovatelovy námitky (exkluzivně pro předplatitele)

    Nejvyšší správní soud nedostojí požadavkům na řádné odůvodnění soudního rozhodnutí vyplývajícím z čl. 36 odst. 1 Listiny základních práv a svobod, pokud nesprávně označí...

    Předběžná vazba (exkluzivně pro předplatitele)

    Při rozhodování o předběžné vazbě podle § 94 zákona o mezinárodní justiční spolupráci musí soudy dostatečně odůvodnit reálné riziko útěku vyžádané osoby, podložené jejím...

    Přeřazení odsouzeného do přísnějšího typu věznice (exkluzivně pro předplatitele)

    Rozhodnutí o přeřazení odsouzeného do věznice s přísnějším režimem představuje omezení práva na osobní svobodu podle článku 8 odst. 1 Listiny základních práv a svobod a obecné...

    Příspěvek na péči

    Příspěvek na péči a jeho právní úprava v zákoně č. 108/2006 Sb., o sociálních službách, je naplněním práva na přiměřené hmotné zabezpečení při nezpůsobilosti k práci podle...

    Střídavá péče (exkluzivně pro předplatitele)

    Nemožnost přítomného účastníka efektivně participovat na jednání prostřednictvím svého advokáta z důvodu jazykových omezení může za určitých okolností vést k porušení jeho...

    Hledání v rejstřících

    • mapa serveru
    • o nás
    • reklama
    • podmínky provozu
    • kontakty
    • publikační podmínky
    • FAQ
    • obchodní a reklamační podmínky
    • Ochrana osobních údajů - GDPR
    • Nastavení cookies
    100 nej
    © EPRAVO.CZ, a.s. 1999-2025, ISSN 1213-189X
    Provozovatelem serveru je EPRAVO.CZ, a.s. se sídlem Dušní 907/10, Staré Město, 110 00 Praha 1, Česká republika, IČ: 26170761, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod spisovou značkou B 6510.
    Automatické vytěžování textů a dat z této internetové stránky ve smyslu čl. 4 směrnice 2019/790/EU je bez souhlasu EPRAVO.CZ, a.s. zakázáno.

    Jste zde poprvé?

    Vítejte na internetovém serveru epravo.cz. Jsme zdroj informací jak pro laiky, tak i pro právníky profesionály. Zaregistrujte se u nás a získejte zdarma řadu výhod.

    Protože si vážíme Vašeho zájmu, dostanete k registraci dárek v podobě unikátního online kurzu Základy práce s AI. Tento kurz vás vybaví znalostmi a nástroji potřebnými k tomu, aby AI nebyla jen dalším trendem, ale spolehlivým partnerem ve vaší praxi. Připravte se objevit potenciál AI a zjistit, jak může obohatit vaši kariéru.

    Registrace je zdarma, k ničemu Vás nezavazuje a získáte každodenní přehled o novinkách ve světě práva.


    Vaše data jsou u nás v bezpečí. Údaje vyplněné při této registraci zpracováváme podle podmínek zpracování osobních údajů



    Nezapomněli jste něco v košíku?

    Vypadá to, že jste si něco zapomněli v košíku. Dokončete prosím objednávku ještě před odchodem.


    Přejít do košíku


    Vaši nedokončenou objednávku vám v případě zájmu zašleme na e-mail a můžete ji tak dokončit později.