ABD Sağlık ve İnsani Hizmetler Bakanlığı’na (HHS) bağlı Sivil Haklar Ofisi (OCR), elektronik korumalı sağlık bilgilerine (ePHI) yönelik siber güvenlik korumalarını desteklemek amacıyla HIPAA Güvenlik Kuralını değiştirmek için Önerilen Kural Oluşturma Bildirimi’ni (NPRM) açıkladı. ).
Önerilen değişiklikler, uyumluluk standartlarını güncelleyerek ve güçlendirerek sağlık sektörünün karşı karşıya olduğu artan siber güvenlik tehditlerini ele almayı amaçlıyor.
İlk olarak 1996 yılında oluşturulan HIPAA Güvenlik Kuralı, ePHI’nin korunmasına yönelik ulusal gereklilikleri belirler ve sağlık planları, sağlık hizmetleri takas odaları, çoğu sağlık hizmeti sağlayıcısı ve bunların iş ortakları gibi kapsam dahilindeki kuruluşlara uygulanır.
Biden Yönetiminin kritik altyapıyı koruma taahhüdünü temel alan bu teklif, sağlık sektörünün siber saldırılara karşı direncini artırmak için önemli revizyonlar getiriyor.
Önerilen kural, ilk olarak 2023’te Biden-Harris Yönetimi tarafından başlatılan ve Mayıs 2024’te güncellenen Ulusal Siber Güvenlik Stratejisi de dahil olmak üzere daha geniş federal çabalarla uyumludur.
HHS ayrıca 2023 yılında siber güvenliğe yönelik gönüllü en iyi uygulamaları ve gelişmiş yaptırım stratejisini özetleyen Sağlık Sektörü Siber Güvenlik Konsept Belgesini de yayınladı. Günümüzün NPRM’si, siber güvenlik iyileştirmelerini doğrudan HIPAA Güvenlik Kuralına entegre ederek bu çabalarına devam ediyor.
HIPAA Güvenlik Kuralında Önerilen Temel Güncellemeler
HHS’nin önerdiği değişiklikler, güncelliğini yitirmiş hükümleri ortadan kaldırarak, netliği artırarak ve daha güçlü koruma önlemleri getirerek Güvenlik Kuralını modernleştirmeyi amaçlıyor. En dikkate değer güncellemeler arasında NPRM aşağıdakileri önermektedir:
Kolaylaştırılmış ve Standartlaştırılmış Gereksinimler
- Tüm spesifikasyonlara (sınırlı istisnalar dışında) uygunluğu zorunlu kılarak “gerekli” ve “adreslenebilir” uygulama spesifikasyonları arasındaki ayrımı ortadan kaldırın.
- Tüm Güvenlik Kuralı politikalarının, prosedürlerinin, planlarının ve analizlerinin yazılı olarak belgelenmesini zorunlu kılın.
Gelişmiş Risk Yönetimi ve Uyumluluk Önlemleri
- Mevcut gereksinimler için açık uyumluluk son tarihleri belirleyin.
- Düzenlenen kuruluşların, en az yıllık olarak veya önemli operasyonel değişikliklerden sonra güncellenen bir teknoloji varlık envanteri ve ePHI hareketini takip eden bir ağ haritası tutmasını zorunlu kılın.
- ePHI’yi işleyen her bir elektronik bilgi sistemi için potansiyel tehditlerin, güvenlik açıklarının ve bunların kötüye kullanılma olasılıklarının yazılı bir değerlendirmesi de dahil olmak üzere daha ayrıntılı bir risk analizinin zorunlu kılınması.
Daha Güçlü Olay Müdahale Protokolleri
- Düzenlenen kuruluşların, ePHI’ye erişimleri değiştirildiğinde veya sonlandırıldığında belirli iş gücü üyelerini 24 saat içinde bilgilendirmesini zorunlu kılın.
- Kuruluşların, bir olaydan sonraki 72 saat içinde kaybolan elektronik sistemleri ve verileri geri yüklemek için yazılı acil durum planları oluşturmasını zorunlu kılın.
- Şüphelenilen veya bilinen siber güvenlik ihlallerini yönetmek için ayrıntılı güvenlik olayı müdahale planları geliştirin ve test edin.
ePHI için Teknik Korumalar
- Zorunlu şifreleme: ePHI, sınırlı istisnalar dışında hem beklemede hem de aktarım sırasında şifrelenmelidir.
- Çok faktörlü kimlik doğrulama, her altı ayda bir güvenlik açığı taraması ve yıllık sızma testi gibi önlemleri uygulayın.
- Potansiyel tehditlerin etkisini sınırlamak için ağ bölümlendirmesini zorunlu kılın.
- Kötü amaçlı yazılımdan koruma yazılımı, gereksiz yazılımların kaldırılması ve kullanılmayan ağ bağlantı noktalarının devre dışı bırakılması gibi güvenliği artırıcı teknik denetimler uygulayın.
Denetimler ve Sorumluluk
- Düzenlenen kuruluşlar, Güvenlik Kuralına uygunluğu sağlamak için yıllık uyumluluk denetimleri yapmalıdır.
- İş ortakları ve alt yüklenicileri, Güvenlik Kuralının gerektirdiği teknik önlemleri uyguladıklarını yazılı olarak onaylamalıdır. Bu sertifikaların en az 12 ayda bir tamamlanması gerekmektedir.
- Grup sağlık planları, sponsorların idari, fiziksel ve teknik önlemlere uymasını sağlamak için plan belgelerini revize etmelidir.
Ek Yeni Gereksinimler
- ePHI için yedekleme ve kurtarma sistemleri ayrı teknik kontroller içermelidir.
- Düzenlenen kuruluşlar, siber güvenlik önlemlerinin etkinliğini yılda en az bir kez düzenli olarak test etmelidir.
- İş ortakları ve taşeronlar, acil durum planı etkinleştirmeleri kapsamındaki kuruluşlara 24 saat içinde bildirimde bulunmalıdır.
Kamu Girişimi Teşvik Edildi
Mevcut HIPAA Güvenlik Kuralı yürürlükte kalırken, önerilen güncellemeler sağlık hizmetlerinde siber güvenlik uygulamalarının güçlendirilmesine yönelik önemli bir adımı temsil ediyor.
HHS, sağlık hizmeti sağlayıcıları, sağlık planları, hastalar, meslek birlikleri ve tüketici savunucuları da dahil olmak üzere tüm paydaşlardan geri bildirim bekliyor.
Yorumlar aracılığıyla gönderilebilir düzenlemeler.gov NPRM’nin Federal Kayıt’ta yayınlanmasını takip eden 60 günlük kamu görüşü döneminde. HHS ayrıca, ayrıntıları gelecek olan bir Kabile danışma toplantısı planlarını da duyurdu.
Bu NPRM, federal hükümetin sağlık hizmetleri siber güvenliğine artan vurgusunun altını çizerek, sağlam veri koruma ihtiyacını düzenlemeye tabi kuruluşlar için operasyonel fizibilite ile dengeliyor. Bu önlemler benimsendiği takdirde sağlık sektörü genelinde siber güvenlik temel çizgisini önemli ölçüde artıracaktır.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!