Folketinget vedtog den 8. maj 2018 ’Lov om krav til sikkerhed for net- og informationssystemer inden for sundhedssektoren’. Loven implementerede EU's NIS-direktiv i den danske lovgivning for sundhedsområdet og skal bidrage til at styrke robustheden i samfundskritisk infrastruktur.
Anmeld væsentlig tjeneste
Loven kræver, at alle operatører skal foretage anmeldelse af de væsentlige tjenester, de er ansvarlige for, hos Sundhedsdatastyrelsen. Væsentlige tjenester er samfundskritiske sundhedsfaglige ydelser.
Læs, hvornår man opfattes som operatør af en væsentlig tjeneste
Som operatør af en væsentlig tjeneste er man desuden forpligtiget til at indføre passende tekniske og organisatoriske sikkerhedsforanstaltninger samt at indberette visse sikkerhedshændelser.
Anmeldelsen skal indeholde oplysninger om:
- hvem der er operatør
- hvilken tjeneste der er tale om
- hvorfor tjenesten anses som væsentlig for sundhedsvæsenet.
Med tjeneste menes selve sundhedsydelsen og ikke de it-systemer, der understøtter det sundhedsfaglige arbejde.
Herudover skal du i anmeldelsen angive evt. underleverandører, I har indgået aftale med om drift og support af de it-løsninger, der anvendes til at understøtte sundhedsydelsen.
Blanket til anmeldelse af væsentlig tjeneste
Anmeldelsesblanketten skal udfyldes og indsendes via Digital Post på borger.dk til Sundhedsdatastyrelsens Hovedpostkasse, kontakt@sundhedsdata.dk. Du kan finde vejledning til, hvordan du sender sikker mail til Sundhedsdatastyrelsen her:
Sådan sender du sikker mail til Sundhedsdatastyrelsen
Vejledning, der uddyber og eksemplificerer kriterierne i bekendtgørelsen, findes her:
Vejledning på retsinformation.dk
Indberet sikkerhedshændelse
Som operatør af en væsentlig tjeneste skal du lave en indberetning til myndighederne, hvis I er udsat for en sikkerhedshændelse, som har væsentlige konsekvenser for kontinuiteten af de væsentlige tjenester.
Indberet en sikkerhedshændelse på virk.dk
Sikkerhedsforanstaltninger
Som operatør af en væsentlig tjeneste er du forpligtiget til at indføre passende tekniske og organisatoriske sikkerhedsforanstaltninger på baggrund af en risikovurdering.
Tilsyn
Sundhedsdatastyrelsen fører tilsyn med implementeringen af NIS-lovgivningens krav hos operatører af væsentlige tjenester. Det foregår enten skriftligt eller ved fysisk fremmøde.