W 2022 roku w znaczny sposób nasiliły się incydenty zagrażające cyberbezpieczeństwu placówek medycznych. Aby podnieść bezpieczeństwo danych pacjentów Ministerstwo Zdrowia postanowiło sfinansować wydatki poniesione przez placówki medyczne wydatkowane na ten cel. Dofinansowanie mogły otrzymać szpitale oraz podmioty z obszaru psychiatrii na wydatki poniesione w okresie 29 kwietnia – 31 grudnia 2022 roku. W styczniu 2023 roku Minister Zdrowia wydłużył okres finansowania wydatków placówek medycznych na zwiększenie poziomu bezpieczeństwa teleinformatycznego do 31 października 2023 r.

W związku z powyższym opublikowano nowelizacje zarządzenia Prezesa NFZ w sprawie finansowania działań w celu podniesienia poziomu bezpieczeństwa teleinformatycznego u świadczeniodawców z dnia 16 stycznia 2023 roku (Zarządzenie nr 8/2023/BBIICD).

Przedstawiamy podsumowanie najważniejszych zagadnień, które zawiera:

  1. Dla kogo dofinansowanie bezpieczeństwa informatycznego?
  2. Zestawienie podstawowych założeń finansowania.
  3. Jak uzyskać finansowanie?
Dla kogo dofinansowanie bezpieczeństwa teleinformatycznego?

Ze wsparcia mogą skorzystać szpitale, które wykonują świadczenia w zakresach:

  • leczenie szpitalne,
  • rehabilitacja lecznicza,
  • lecznictwo uzdrowiskowe,
  • opieka psychiatryczna i leczenie uzależnień.

O dofinansowanie mogą też ubiegać się placówki, które są podmiotami prowadzącymi działalność leczniczą w rodzaju opieka psychiatryczna i leczenie uzależnień, lub mają umowę na realizację pilotażu w centrach zdrowia psychicznego.

Warunkiem uzyskania finansowania jest posiadanie umowy z Narodowym Funduszem Zdrowia na lata 2021, 2022 oraz 2023.

Środki na ten cel pochodzą z Funduszu Przeciwdziałania COVID-19.

Zestawienie podstawowych założeń finansowania

Podstawowe zasady ubiegania się o finansowanie działań w celu podniesienia poziomu bezpieczeństwa teleinformatycznego w latach 2022 oraz 2023 przedstawia poniższa tabela.

WyszczególnienieUmowy zawarte w 2022 rokuUmowy zawarte w 2023 roku
Dla kogo dofinansowanie na poprawę cyberbezpieczeństwa?Dla świadczeniodawców, którzy zawarli umowy o finansowanie na podstawie zarządzenia nr 68/2022/BBIICD i którzy nie zakończyli objętych tą umową działań.Dla świadczeniodawców, którzy nie zawarli w 2022 roku umowy o finansowanie. Obowiązuje zarządzenie nr 8/2023/BBIICD
Rodzaj wnioskuWniosek aktualizacyjny o zawarcie umowy aktualizacyjnej złożony w 2023 r. do umowy zawartej w 2022 r.Wniosek o zawarcie umowy o finansowanie złożony w 2023 r.
Zakres przedmiotowy1. Zakup i wdrożenie systemów teleinformatycznych, w tym urządzeń, oprogramowania i usług zapewniających prewencję, reakcję i detekcję zagrożeń cyberbezpieczeństwa.
2. Zakup usługi wdrożenia i konfiguracji urządzeń i oprogramowania, o których mowa powyżej, oraz wsparcia eksperckiego w zakresie cyberbezpieczeństwa.
3. Zakup i wdrożenie systemu (usługi) typu SOC.
4. Zakup usługi skanów Podatności.
5. Zakup opracowania wraz z przekazaniem praw autorskich dokumentacji systemu zarządzania bezpieczeństwem informacji.
6. Zakup szkolenia lub szkoleń w zakresie cyberbezpieczeństwa skierowanych do kadry zarządzającej świadczeniodawcą oraz osób zatrudnionych u świadczeniodawcy.
1. Zakup lub rozwój systemu kopii zapasowych.
2. Zakup lub rozwój systemów Firewall.
3. Zakup lub rozwój systemu poczty elektronicznej wraz z systemem bezpieczeństwa.
4. Zakup lub rozwój systemów opartych na rozwiązaniach co najmniej klasy Endpoint Detection and Response w architekturze serwera.
Warunki ubiegania się o finansowanie1. Przeprowadzenie badania poziomu dojrzałości cyberbezpieczeństwa, w formie ankiety w Systemie Statystyki Ochrony Zdrowia przed przystąpieniem do działań mających na celu podniesienie poziomu bezpieczeństwa.
2. Przeprowadzenie audytu bezpieczeństwa zgodnie załącznikiem nr 2 do umowy.
1. Spełnienie warunków akceptacji dla powyższych czynności i wszystkich poprzedzających ją czynności, określonych w załączniku nr 1 do zarządzenia.
2. Wykonanie audytu bezpieczeństwa, którego wynik potwierdza spełnienie warunków akceptacji dla powyższych czynności.
3. Przeprowadzenie badania poziomu dojrzałości cyberbezpieczeństwa, w formie ankiety w Systemie Statystyki Ochrony Zdrowia, przed przystąpieniem do działań mających na celu podniesienie poziomu bezpieczeństwa.
Do kiedy można składać wnioski o finansowanie?Do 1 września 2023 roku.Do 1 września 2023 roku.
Wysokość finansowania300 tys. zł – 900 tys. zł dla szpitali,
25 tys. zł – 900 tys. zł dla podmiotów z obszaru psychiatrii.
Kwota umowy uzależniona od wartości kontraktu z NFZ w 2021 roku.
300 tys. zł – 900 tys. zł dla szpitali,
25 tys. zł – 900 tys. zł dla podmiotów z obszaru psychiatrii.
Kwota umowy uzależniona od wartości kontraktu z NFZ w 2022 roku.
Jak widać w nowym zarządzeniu wprowadzono kilka zmian.

Główna zmiana dotyczy zmodyfikowanego katalogu możliwych do sfinansowania zakupów. Druga zmiana to wymóg zrealizowania danego zakupu lub rozwoju dopiero po realizacji poprzedniej inwestycji z listy i spełnieniu warunków akceptacji dla tej czynności.

Warunki akceptacji dla poszczególnych czynności określa załącznik nr 1 do zarządzenia – POBIERZ.

Dofinansowaniu podlegają również szkolenia w zakresie cyberbezpieczeństwa: dla kierownictwa, dla osób zatrudnionych związanych z udzielaniem świadczeń opieki zdrowotnej oraz dla osób związanych z bezpieczeństwem IT. Szkolenia służą rozwijaniu świadomości o cyberbezpieczeństwie i aktualizowaniu wiedzy, gdyż metody i techniki używane podczas ataków wciąż ewoluują, więc są istotnym elementem wzmacniania bezpieczeństwa systemów IT.

Jak uzyskać finansowanie?

Wniosek o uzyskanie dofinansowania należy złożyć do dyrektora lokalnego oddziału NFZ. Proces udzielania finansowania dla umów zawieranych w 2023 roku prezentujemy poniżej:

  1. Złożenie wniosku przez świadczeniodawcę w terminie do 1 września 2023r. – wzór wniosku stanowi zał. Nr 3 do zarządzenia. Wraz z wnioskiem należy dostarczyć ankietę badającą poziom bezpieczeństwa.
  1. Dyrektor oddziału wojewódzkiego NFZ informuje świadczeniodawcę o wyniku rozpatrzenia wniosku.
  1. Dyrektor OW NFZ zawiera ze świadczeniodawcą umowę na finansowanie, w terminie 7 dni od dnia złożenia wniosku spełniającego warunki formalne – wzór umowy stanowi zał. Nr 4 do zarządzenia.
  1. Świadczeniodawca w terminie do 30 września 2023 r. składa następujące dokumenty:
  • wniosek o wypłatę finansowania – zgodny z wzorem z załącznika nr 5 do zarządzenia,
  • specyfikację finansowania – zgodną z wzorem z załącznika nr 6 do zarządzenia,
  • potwierdzone za zgodność z oryginałem kopie dokumentów potwierdzających nabycie i sfinansowanie przedmiotu finansowania,
  • wynik audytu bezpieczeństwa.
  1. Weryfikacja przez NFZ zmiany poziomu bezpieczeństwa na podstawie ankiety złożonej do OW NFZ (stan wyjściowy) oraz audytu bezpieczeństwa (stan osiągnięty).
  1. Przekazanie środków w terminie 30 dni od dnia złożenia wniosku, przelewem na rachunek wskazany w umowie.
Proces zawierania umów aktualizacyjnych przebiega podobnie. Różni się jedynie początkowym etapem przygotowania wniosku aktualizacyjnego, który musi zawierać:
  • wykaz czynności, które nie zostały zrealizowane i które mają zostać objęte finansowaniem na podstawie umowy aktualizacyjnej,
  • jeśli umowa zawarta w 2022 roku została rozliczona kwotę finansowania stanowi różnica pomiędzy kwotą z umowy a kwotą, którą świadczeniodawca rozliczył,
  • jeśli umowa zawarta w 2022 roku nie została rozliczona , kwotę finansowania stanowi kwota określona w tej umowie.

Ponadto należy pamiętać, że:

  • do umów aktualizacyjnych stosuje się zarządzenie nr 68/2022/BBIICD,
  • finansowaniem nie mogą być objęte działania, na które świadczeniodawca uzyskał już środki na podstawie wniosku złożonego w 2022 r.

Przypadki naruszenia cyberbezpieczeństwa placówek medycznych występują coraz częściej, stając się poważnym zagrożeniem dla infrastruktury informatycznej i przechowywanych w niej danych. Systemy IT w ochronie zdrowia zawierają dane wrażliwe, więc powinny być odpowiednio chronione. Dodatkowe środki mają zagwarantować prawidłowy poziom bezpieczeństwa tych systemów IT, za pośrednictwem których udzielane są świadczenia opieki zdrowotnej.

KATEGORIE WPISÓW