Ghidul complet pentru farmacii cu 50+ angajați, producători și distribuitori de medicamente care trebuie să se conformeze Legii 362/2022. Aflați obligațiile specifice de securitate cibernetică, protecția datelor pacienților și raportarea incidentelor care afectează continuitatea aprovizionării.
Lanțurile de farmacii, producătorii de medicamente și distribuitorii farmaceutici cu cel puțin 50 de angajați care operează în România sunt clasificați ca entități importante conform Anexei II a NIS2/Legea 362/2022. Aceasta include farmaciiile de rețetă, distribuitorii en-gros și producătorii de medicamente prescriptive sau OTC cu activități care afectează continuitatea serviciilor sanitare esențiale.
Trebuie să implementați controale de securitate pentru toate sistemele de achiziție de medicamente și materii prime, inclusiv verificarea furnizorilor și monitorizarea tranzacțiilor online. Aceasta include autentificarea furnizorilor, criptarea datelor de comandă și auditarea accesului la portalurile de aprovizionare. Vor fi necesare contracte de securitate cu furnizorii care să conțină clauze NIS2 și standarde minime de protecție a datelor.
Sistemele de management al rețetelor prescriptive trebuie să dispună de autentificare multifactor (MFA) obligatorie pentru toți utilizatorii cu acces la baze de date de pacienți. Fiecare farmacist, tehnician și administrator trebuie să aibă conturi individuale cu drepturi de acces bazate pe rol (RBAC). Accesul la terminalele de dispensare trebuie să fie controlat prin carturi inteligente, biometrie sau alte metode de autentificare puternică.
În cazul unei breșe de securitate care afectează sistemele de comandă, distributie sau gestionare a stocurilor de medicamente, trebuie să raportați incidentul către Direcția Națională de Securitate Cibernetică (DNSC) în termen de 24 de ore de la descoperire. Raportul trebuie să includă: descrierea incidentului, medicamentele afectate, durata întreruperii și măsurile de remediare. Obligația include și notificarea pacienților și furnizorilor afectați conform regulamentelor GDPR.
Înregistrările cu rețete și istoricele medicale stocate în sisteme digitale trebuie criptate atât în tranzit cât și în repaus, cu standarde minime AES-256. Trebuie să implementați măsuri de control al accesului, audit-uri regulate de vulnerabilități și instruire anuală a angajaților privind confidențialitatea datelor. Obligația acoperă atât conformitatea NIS2 cât și GDPR, cu răspundere solidară între directorul de securitate cibernetică și responsabilul cu protecția datelor.
Trebuie să dezvoltați și să testați anual planuri de continuitate pentru sisteme critice de dispensare și aprovizionare, asigurând că serviciile pot fi reluate în maxim 24 de ore după o întrerupere cibernetică. Planurile trebuie să includă: sisteme de backup redundante, proceduri de failover, liste de contacte de urgență și scenariu de comunicare publică. Testele trebuie documentate și raportate către DNSC la solicitare.
Termenul inițial a fost octombrie 2024; dacă nu ați început conformitatea, trebuie să accelerați imediat implementarea. DNSC poate efectua inspecții și să impună amenzi până la 4% din cifra de afaceri pentru neconformitate. Recomandarea este finalizarea unui audit intern de gap-uri în următoarele 30 de zile și elaborarea unui plan de remediere cu jaloane lunare.
În termen de 24 de ore de la descoperire, contactați DNSC prin portalul de raportare incidente (sau email [email protected]) cu: descrierea tehnică a incidentului, data și ora detectării, durata întreruperii, medicamentele afectate și măsurile imediate de remediare. Trebuie să notificați și autoritatea de medicină (ANMDM) dacă pacienții au fost afectați în accesul la medicamente esențiale.
Amenzi de la 5.000 EUR pentru încălcări minore, până la 4% din cifra de afaceri anuală (pentru mari lanțuri, pot ajunge la sute de mii EUR) pentru neconformitate sistematică. Sancțiunile includ suspendarea licenței de operare în cazuri grave. DNSC are dreptul să efectueze inspecții anunțate și neanunțate pentru a verifica conformitatea controalelor de securitate.