Dnia 20 maja 2022 r. zostało wydane zarządzenie w sprawie finansowania działań w celu podniesienia poziomu bezpieczeństwa systemów teleinformatycznych świadczeniodawców. Zarządzenie określa warunki przyznawania i rozliczania środków na finansowanie działań w celu podniesienia poziomu bezpieczeństwa systemów teleinformatycznych u świadczeniodawców.
Finansowaniem są objęte działania podnoszące poziom bezpieczeństwa systemów teleinformatycznych świadczeniodawców polegające na wykonaniu co najmniej jednej z następujących czynności:
1) zakup i wdrożenie systemów teleinformatycznych, w tym urządzeń, oprogramowania i usług zapewniających prewencję, reakcję i detekcję zagrożeń cyberbezpieczeństwa, w szczególności:
- a) systemów kopii bezpieczeństwa, odmiejscowienia kopii, segmentacji w celu odseparowania urządzeń backupu, zapewnienia mechanizmów weryfikacji poprawności i odtwarzalności kopii i backupu,
- b) systemów antywirusowych dla stacji roboczych i serwerów – centralnie zarządzanych, systemów klasy Endpoint Detection and Response (EDR), c) systemów kontroli dostępu administracyjnego, zarządzania uprawnieniami (IAM/IDM), d) urządzeń i oprogramowania typu firewall – zapora sieciowa z wbudowanym IPS oraz systemem antywirusowym oraz platform niezbędnych do ich uruchomienia, e) systemów zapewniających bezpieczny system poczty elektronicznej, włączając w to systemy weryfikacji załączników i treści korespondencji oraz systemy wieloskładnikowego uwierzytelniania,
- f) rozwiązań zapewniających ochronę DNS (DNS Protection) z użyciem systemów lokalnych (licencja oraz wsparcie w okresie do dnia 31 grudnia 2022 r.),
- g) systemu typu SIEM,
- h) systemu typu NAC – jako system lokalny
2) zakup usługi wdrożenia i konfiguracji urządzeń i oprogramowania, o których mowa w pkt 1, oraz wsparcia eksperckiego w zakresie cyberbezpieczeństwa przez okres do dnia 31 grudnia 2022 r.;
3) zakup i wdrożenie systemu (usługi) typu SOC – przez okres do dnia 31 grudnia 2022 r.;
4) zakup usługi skanów podatności, w zakresie sprecyzowanym w materiale referencyjnym „Plan działania w zakresie cyberbezpieczeństwa w ochronie zdrowia”, opublikowanym na stronie internetowej Centrum e[1]Zdrowia3), przez okres do dnia 31 grudnia 2022 r.;
5) zakup opracowania wraz z przekazaniem praw autorskich dokumentacji systemu zarządzania bezpieczeństwem informacji zgodnie z wymaganiami ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2021 r. poz. 2070), rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2017 r. poz. 2247), oraz ustawy z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa (Dz. U. z 2020 r. poz. 1369, z 2021 r. poz. 2333 i 2445 oraz z 2022 r. poz. 655) – jeśli dotyczy świadczeniodawcy będącego operatorem usługi kluczowej, o którym mowa w art. 5 tej ustawy, w tym planu odtworzenia po awarii;
6) zakup szkolenia lub szkoleń w zakresie cyberbezpieczeństwa skierowanych do kadry zarządzającej świadczeniodawcą oraz osób zatrudnionych u świadczeniodawcy w zakresie podstawowej świadomości bezpieczeństwa IT, w tym:
- a) ochrony przed zaawansowanymi atakami przez pocztę i WWW,
- b) tworzenia i zarządzania polityką haseł i tożsamości,
- c) zarządzania ryzykiem, dokumentacją i polityką bezpieczeństwa w jednostkach publicznych w świetle rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2017 r. poz. 2247),
- d) wykonywania kopii zapasowych oraz tworzenia i utrzymania polityki ciągłości działania.
Powyższe działania zostaną sfinansowane wyłącznie w przypadku wykazanie wynikiem audytu bezpieczeństwa, zwiększenia poziomu bezpieczeństwa systemów teleinformatycznych wykorzystywanych do udzielania świadczeń opieki zdrowotnej.
Warunkiem ubiegania się przez świadczeniodawcę o finansowanie jest przeprowadzenie badania poziomu dojrzałości cyberbezpieczeństwa, w formie ankiety w Systemie Statystyki Ochrony Zdrowia przed przystąpieniem do działań mających na celu podniesienie poziomu bezpieczeństwa, finansowych w ramach niniejszego zarządzenia oraz przeprowadzenie audytu bezpieczeństwa
Kwota finansowania dla jednego świadczeniodawcy nie może przekroczyć:
1) w przypadku złożenia przez świadczeniodawcę oświadczenia o możliwości odliczenia podatku VAT: a) 243 902 zł bez podatku VAT jeżeli suma wartości umów o udzielanie świadczeń opieki zdrowotnej, w rodzajach, o których mowa w niniejszej decyzji, zawartych przez danego świadczeniodawcę z Funduszem na 2021 r. jest nie większa niż 10 000 000 zł,
- b) 325 203 zł bez podatku VAT jeżeli suma wartości umów o udzielanie świadczeń opieki zdrowotnej, w rodzajach, o których mowa w niniejszej decyzji, zawartych przez danego świadczeniodawcę z Funduszem na 2021 r. jest większa od 10 000 000 zł i nie większa niż 100 000 000 zł,
- c) 487 804 zł bez podatku VAT jeżeli suma wartości umów o udzielanie świadczeń opieki zdrowotnej, w rodzajach, o których mowa w niniejszej decyzji, zawartych przez danego świadczeniodawcę z Funduszem na 2021 r. jest większa od 100 000 000 zł i nie większa niż 500 000 000 zł,
- d) 731 707 zł bez podatku VAT jeżeli suma wartości umów o udzielanie świadczeń opieki zdrowotnej, w rodzajach, o których mowa w niniejszej decyzji, zawartych przez danego świadczeniodawcę z Funduszem na 2021 r. jest większa od 500 000 000 zł;
2) w przypadku złożenia przez świadczeniodawcę oświadczenia o braku możliwości odliczenia podatku VAT:
- a) 300 000 zł z podatkiem VAT jeżeli suma wartości umów o udzielanie świadczeń opieki zdrowotnej, w rodzajach, o których mowa w niniejszej decyzji, zawartych przez danego świadczeniodawcę z Funduszem na 2021 r. jest nie większa niż 10 000 000 zł,
- b) 400 000 zł z podatkiem VAT jeżeli suma wartości umów o udzielanie świadczeń opieki zdrowotnej, w rodzajach, o których mowa w niniejszej decyzji, zawartych przez danego świadczeniodawcę z Funduszem na 2021 r. jest większa od 10 000 000 zł i nie większa niż 100 000 000 zł,
- c) 600 000 zł z podatkiem VAT jeżeli suma wartości umów o udzielanie świadczeń opieki zdrowotnej, w rodzajach, o których mowa w niniejszej decyzji, zawartych przez danego świadczeniodawcę z Funduszem na 2021 r. jest większa od 100 000 000 zł i nie większa niż 500 000 000 zł,
- d) 900 000 zł z podatkiem VAT jeżeli suma wartości umów o udzielanie świadczeń opieki zdrowotnej, w rodzajach, o których mowa w niniejszej decyzji, zawartych przez danego świadczeniodawcę z Funduszem na 2021 r. jest większa od 500 000 000 zł.
W celu uzyskania finansowania świadczeniodawca składa w terminie do 30 listopada 2022 r. do dyrektora właściwego oddziału Funduszu:
1) wniosek o zawarcie umowy na finansowanie ze środków pochodzących z Funduszu Przeciwdziałania COVID-19 podniesienia poziomu bezpieczeństwa systemów teleinformatycznych świadczeniodawców, zwany dalej „wnioskiem”, którego wzór określony jest w załączniku nr 1 do zarządzenia;
2) wypełnioną ankietę, o której mowa w ust. 3, badającą poziom bezpieczeństwa systemów teleinformatycznych w postaci raportu z Systemu Statystyki Ochrony Zdrowia, o którym mowa w ust. 6, sporządzonego w formacie pdf.