Dans le but de répondre aux menaces de cybersécurité dans les hôpitaux de New York, le ministère de la Santé de l’État a proposé en décembre une nouvelle règle visant à protéger les systèmes hospitaliers et les informations non publiques.
Le règlement proposé, qui est ouvert aux commentaires du public jusqu’au 5 février, obligerait les hôpitaux à établir un programme de cybersécurité et à prendre des mesures pour évaluer les risques internes et externes.
La règle est destinée à s’appuyer sur la Health Insurance Portability and Accountability Act et n’est pas destinée à remplacer les exigences de la règle de sécurité HIPAA.
Le respect des règles de sécurité HIPAA, au moyen de politiques et de procédures alignées, d’une analyse globale des risques et d’une mise en œuvre de contrôles par rapport aux spécifications de mise en œuvre, constitue le fondement de la conformité avec la réglementation proposée à New York. Mais le respect de la règle de sécurité HIPAA n’est censé servir que de point de départ pour aborder la réglementation proposée.
Il est également important de noter que la réglementation proposée comporte des nuances uniques qui pourraient nécessiter un réexamen des processus de contrôle qui satisfont aux exigences de la règle de sécurité HIPAA (et de certains éléments de la règle de notification des violations).
Considérations importantes pour les hôpitaux
À cette fin, les éléments suivants peuvent nécessiter une actualisation thématique pour garantir un alignement continu :
- Programme, politiques et procédures de cybersécurité : même si ceux-ci doivent être alignés sur les politiques et procédures de sécurité HIPAA d’une organisation, il serait prudent de revoir les politiques et procédures existantes pour garantir leur alignement avec le langage du règlement proposé, en complément de tout verbiage HIPAA existant.
- Responsable de la sécurité de l’information : Le règlement proposé contient plus de détails sur les responsabilités spécifiques et les exigences en matière de reporting du RSSI d’un hôpital qui devraient être reflétées dans la documentation de gouvernance existante. Ce détail s’ajouterait au verbiage de responsabilité de sécurité attribué trouvé dans la règle de sécurité HIPAA.
En outre, voici quelques différences marquées proposées dans la nouvelle règle par rapport aux réglementations existantes. Les hôpitaux de New York pourraient envisager de mettre à jour ou d’améliorer leurs politiques actuelles en prévision de ces changements. Les considérations comprennent :
- Ensemble de données couvert : définir les données. Il convient fondamentalement de noter que l’ensemble de données proposé couvert par le règlement proposé sur la cybersécurité est défini comme des informations non publiques qui comprennent un ensemble d’informations plus large que les informations de santé protégées par la HIPAA. Les informations non publiques comprennent toutes les informations qui ne sont pas accessibles au public, y compris « les informations liées à l’entreprise dont la falsification, ou la divulgation non autorisée, l’accès ou l’utilisation, auraient un impact négatif important sur l’entreprise, les opérations ou la sécurité » et les cartes de paiement. /informations financières (numéro de compte, numéro de carte de crédit ou de débit).
- Pistes d’audit et conservation : garantir une définition adéquate des journaux relatifs aux événements de cybersécurité (qui ont une probabilité raisonnable de nuire matériellement à une partie des opérations normales de l’hôpital) et aux incidents doivent être conservés pendant six ans. Réévaluez également les capacités et les capacités de conservation des journaux, et déterminez quels systèmes susceptibles de traiter des informations non publiques ne capturent pas actuellement les journaux d’audit.
- Personnel de cybersécurité : réévaluez la documentation concernant les rôles et responsabilités en matière de cybersécurité dans les descriptions de poste, les organigrammes et dans les documents de plan et de gouvernance de programme de cybersécurité. Si vous faites appel à un fournisseur de services tiers pour co-administrer ou soutenir le programme de cybersécurité, des procédures opérationnelles et des contrôles standard doivent être explicitement définis pour régir cette relation.
- Gestion des fournisseurs tiers : réévaluez les contrôles et les processus de gestion des fournisseurs tiers, tels que les exigences en matière de sécurité des données et les procédures de diligence raisonnable effectuées pour les tiers qui traitent des informations non publiques, afin de garantir le respect des pratiques minimales de cybersécurité.
- Authentification multifacteur : HIPAA n’exige pas expressément l’authentification multifacteur (MFA) ; cependant, cela est encouragé afin de garantir un accès minimum nécessaire aux données couvertes. Tous les systèmes de l’organisation qui accèdent, transmettent, stockent, suppriment ou traitent de toute autre manière des informations non publiques ou des ePHI (informations électroniques protégées sur la santé) ne peuvent pas avoir cette fonctionnalité activée ou disponible. Dans ce cas, une documentation doit être élaborée pour garantir que, lorsque l’AMF n’est pas possible, il existe une justification commerciale formalisée et des contrôles compensatoires documentés en place et approuvés par le RSSI pour soutenir une approche basée sur les risques.
- Signalement des incidents : la documentation existante du plan de réponse aux incidents et les procédures associées peuvent nécessiter une mise à jour pour répondre aux exigences de rapport de deux heures à l’État pour les incidents de cybersécurité qui se sont produits et ont eu un impact négatif important sur l’hôpital, ce qui est propre au règlement proposé.
Comment préparer?
Les hôpitaux de New York devraient prendre en compte les éléments suivants :
- Les organisations doivent garantir le plein respect de la règle de sécurité HIPAA ainsi que de l’intention de l’exigence telle qu’exprimée dans les déclarations de l’Office for Civil Rights, le texte et les commentaires de l’accord de règlement, les commentaires des règles et le protocole d’audit OCR.
- Si le statut de conformité HIPAA n’est pas clairement compris par la direction, une évaluation doit être effectuée pour identifier les éventuelles lacunes en matière de conformité et commencer à y remédier. Les efforts de remédiation peuvent prendre beaucoup de temps ou d’investissement.
- Si une organisation exploite actuellement un programme de sécurité très performant, conforme aux règles de sécurité HIPAA et aligné sur un cadre de cybersécurité du secteur, ces modifications de règles proposées par l’État de New York ne devraient pas nécessiter d’efforts importants pour mettre à jour les politiques, les processus ou les technologies.
- Identifiez et documentez formellement les contrôles compensatoires, car la réglementation proposée implique un niveau de flexibilité basée sur les risques dans la conception des protections, similaire à la règle de sécurité HIPAA.
Les plats à emporter
Jusqu’à ce que la règle soit publiée, commentée et finalisée, des changements importants pourraient survenir dans la législation proposée. Dans le cadre d’autres efforts similaires, la période de commentaires a parfois abouti à l’affinement des exigences, ou à la clarification des termes et définitions, afin de garantir que la portée et les aspects techniques des exigences sont clairs et raisonnables pour les installations de toutes tailles. Cependant, une fois les exigences finalisées, les hôpitaux de New York devront un ans se conformer. Les exigences en matière de déclaration d’incidents entrent en vigueur immédiatement après l’adoption des règles.
Contributeur RSM : Jason Pymento, RSM US LLP
