„Náš přístroj není připojený k internetu, takže kyberbezpečnost řešit nemusíme.“
„To je starost IT oddělení v nemocnici, ne naše.“
Pokud tyto věty zaznívají ve vaší zasedačce i v roce 2026, máte problém. Možná dokonce existenční. Pohled regulátorů na software se radikálně změnil. Kybernetická bezpečnost (Security) už není chápána jako „doplněk“ k funkční bezpečnosti (Safety). Stala se její neoddělitelnou součástí.
Rovnice je jednoduchá: Pokud zařízení není zabezpečené proti útoku, není bezpečné pro pacienta. A pokud není bezpečné, nedostane CE značku.
V tomto článku se podíváme na dvě legislativní kladiva, která nyní dopadají na výrobce zdravotnických prostředků: směrnici NIS2 (která míří na vaši firmu) a normu IEC 81001-5-1 (která míří na váš produkt).
NIS2: Když za kyberbezpečnost ručí jednatel vlastním majetkem
Směrnice NIS2 přinesla zásadní změnu v tom, KDO je za bezpečnost odpovědný. Už to není „ten kluk z IT“. Je to statutární orgán.
Jste „Subjekt důležitého významu“?
Většina výrobců zdravotnických prostředků (pokud mají nad 50 zaměstnanců nebo obrat nad 10 mil. EUR) spadá do kategorie Subjekt důležitého významu (Important Entity). Co to znamená v praxi?
- Osobní odpovědnost: Vedení firmy musí schvalovat opatření kyberbezpečnosti. Pokud dojde k incidentu a prokáže se zanedbání, hrozí manažerům dočasný zákaz výkonu řídící funkce a firmě pokuta až 10 milionů EUR nebo 2 % z obratu.
- Hlášení incidentů: Máte povinnost hlásit významné kybernetické incidenty do 24 hodin (včasné varování) a do 72 hodin národnímu CSIRT týmu.
NIS2 se nedívá na to, jak bezpečný je váš kardiostimulátor, ale jak bezpečná je vaše firma.
IEC 81001-5-1: Nová bible pro vývojáře a auditory
Zatímco NIS2 řeší vaši firmu, nařízení MDR řeší váš produkt. Software musí být vyvinut v souladu se „stavem techniky“, což dnes definuje norma IEC 81001-5-1.
Checklist auditora pro rok 2026:
Pokud nemáte tyto 3 věci, auditor vám shodu nepodepíše:
- SBOM (Software Bill of Materials): Musíte mít přesný seznam všech softwarových komponent třetích stran. Auditor se zeptá: „Víte, jestli knihovna Log4j, kterou používáte, nemá známou zranitelnost?“ Bez SBOMu na to nemůžete odpovědět.
- Penetrační testování a Fuzzing: Už nestačí jen funkční testy. Musíte provádět negative testing („Co se stane, když do vstupu pošlu virus?“).
- Plán pro post-market patching: Musíte prokázat, že jste schopni vydat bezpečnostní záplatu (patch) v řádu dnů, nikoliv měsíců.
Past starých zařízení (Legacy Devices)
Největší bolestí je software, který už je na trhu (např. běžící na Windows 7). Z pohledu kyberbezpečnosti je to „časovaná bomba“. Regulátoři jasně říkají: Kyberbezpečnost je kontinuální proces. Pokud pro starší zařízení nemůžete zajistit bezpečnostní aktualizace, může vás regulátor donutit tato zařízení stáhnout z trhu.
Co musíte udělat zítra ráno (Action Plan)
- Analýza GAP pro IEC 81001-5-1: Zjistěte, co chybí vašemu procesu vývoje (obvykle Threat Modeling).
- Audit dodavatelů SW: Vy nesete odpovědnost za kód, který vám napsala externí firma.
- Spojení Quality a IT: Vytvořte jeden integrovaný proces reakce na incidenty pro MDR i NIS2.
V roce 2026 už nemůžete oddělovat kvalitu, byznys a IT. Je to jeden organismus. Jen ti, kteří se naučí tyto disciplíny propojit, budou na globálním trhu vyhrávat.
