医薬品の大規模な生産者や卸売業者だけでなく、ポーランドで最大の病院や医療施設も、EUの歴史の中で最初のサイバーセキュリティ指令であるNIS指令の要件を満たす義務があります。費用のかかる手順は、特にポーランドの病院にとって、大きな課題となります。
サイバーセキュリティの専門家によると、企業は攻撃された企業とまだ知られていない企業に分けられます。調査によると、すべての企業がこの種のインシデントを経験しており、インターネットはセキュリティシステムが絶えず攻撃を受けている空間です。
-この分野の近い将来の予測によると、これまでの激しい攻撃は主にいわゆる重要なインフラストラクチャ、つまり、関連するエンティティヘルスケアおよび生産ラインの分野の企業や機関が次のターゲットになるでしょう-サイバーセキュリティコンサルティングを専門とするポーランドで最初の法律事務所の1つである専門家のMarcin Jan Wachowskiは言います。これにより、製薬会社はこれら2つの分野の交差点で特別な立場に置かれます。
-それは、薬物生産プロセスを混乱または停止させる脅威に関するだけでなく、レシピの変更などのはるかに危険なプロセスについてもです。このタイプの攻撃が検出されない場合、薬物を服用している人々の健康と生活に脅威をもたらす可能性があるとMarcin Jan Wachowski氏は述べています。 -サイバー攻撃に関する調査によると、同社は平均で約90日後に標的になっていることがわかりました。この間、潜在的に危険な薬物がすでに薬局に届く可能性があり、これにはリスクと莫大な費用が伴います。
ハッカーに対する指令
サイバー脅威の認識は、2016年7月に採択されたネットワークおよび情報セキュリティ指令(略してNIS)の欧州議会による作成の主要な前提でした。連合全体のネットワークおよび情報システムに同等レベルのセキュリティを保証します。その結果、ポーランド議会は2018年8月28日に施行された国家安全保障システムに関する法律を準備しました。デジタルサービスプロバイダー(インターネットブラウザー、クラウド、取引プラットフォーム)、国家管理、いわゆる主要サービスの運営者、つまりITセキュリティが特に重要であるエンティティ。ポーランドでは、銀行、エネルギーおよび輸送業界の企業を含め、300強を超える事業体があると推定されています。ほぼ3分の1は、医療セクターの企業と機関、つまり医薬品の製造業者と卸売業者、大規模な医療施設です。
-これらすべての事業体は、多くの費用と時間のかかる義務を果たさなければなりません。 Marcin Jan Wachowski氏は、そのうちの70%は技術的な問題であり、残りの30%は適切なセキュリティドキュメントの準備、インシデントの取り扱い、リスク管理、スタッフのトレーニングなどの法的な問題です。
ポーランドでのこの法律の施行は、まさに導入段階に入りつつあります。11月9日、主要サービスの運営者を示す期限が切れており、現時点では行政決定が行われています。ヘルスケアの場合、主要なサービスのオペレーターは保健大臣によって示されます。
-もちろん、示された各エンティティは、たとえば、誤って分類されたと信じている場合、この決定に異議を申し立てることができます。 NISへの適応に関連する義務は、数か月続く3つの段階に分かれています。 1年後、セキュリティ監査が完了し、2年ごとに繰り返されます-Marcin Jan Wachowskiは説明します。
高コスト、専門家が少ない
ITセキュリティに関連する規制への適応は、財務上および組織上の課題です。専門家によると、ポーランドで事業を行っている製薬会社の代表者は、これに関する問題が最も少ないはずです。これらは通常、クラウドベースのツールにアクセスできるハイテクのグローバル企業であるため、NISの実装はここでは比較的簡単です。通常、外部ネットワーク管理者を使用する卸売業者や薬局チェーンは、やや大きな課題に直面しています。このプロセスは、主に財政上の理由から、病院や医療施設にとって最大の問題となるでしょう。
-最近、サイバーセキュリティを確保するための資金調達を支援するために、このタイプのエンティティの調査を準備しましたが、この領域をカバーするイノベーションまたはセクター別の資金がないことがわかりました。したがって、状況は非常に困難です。州はこれを行うために病院を必要とします、しかしお金は彼ら自身の予算で見つけられなければなりません。一方、ポーランドの医療サービスの財政状況はバラ色ではないことは誰もが知っています」とMarcin Jan Wachowskiは言います。
ただし、数十万ズロチのコストを恐れない企業であっても、サイバーセキュリティの専門家を見つけることは問題となる場合があります。ポーランドで入手可能なものは、長い間、裕福な西洋企業から需要がありました。 CSIRT(コンピュータセキュリティインシデント対応チーム)がインシデントデータをキャプチャして処理するドキュメントや特別な運用センターを作成するときに必要となる法的助言へのアクセスは、それほど問題ではありません。
法の要件に適合した文書と法的手続きの欠如により、主要サービスの運営者は罰則にさらされ、最大200万ズロチ(またはそのような組織を管理する人の報酬の最大2倍)に達する可能性があります。 GDPRの違反に関連する最初のそのようなケースの1つが最近ポルトガルで報告され、バレイロモンティホホスピタルセンターは医療データへのアクセスを怠った多くの人々に過失を認めたとして40万ユーロの罰金を科されましたそのようなアクセスが必要です。