前情回顾·美国网络安全立法动态

安全内参3月26日消息,美国民主党参议员Mark R. Warner日前提出《2024年医疗保健网络安全改进法案》,建议针对满足最低网络安全标准的医疗提供商,在网络事件后提供预付款和加急付款。

这项立法是对Change Healthcare遭受勒索软件攻击做出的回应。此次攻击导致美国全国医疗提供商结算服务中断,使许多提供商面临财务破产风险。据美国医院协会报告统计,几乎所有医院都感受到了此次事件对其财务或患者护理服务的影响。

这项法案提出者Mark R. Warner是参议院财政委员会成员,也是参议院网络安全小组的共同主席。法案提出,修改现有的《医疗保险医院加急付款计划》和《医疗保险B部分预付款计划》,要求卫生与公众服务部长确定付款需求是否由网络事件导致。

该法案提出,如果付款需求确为网络事件导致,接收付款的医疗提供商必须满足部长确立的最低网络安全标准,才有资格收到付款;如果提供商的中介是事件目标,中介也必须满足部长确立的最低网络安全标准,提供商才能收到付款。这些规定将在方案生效后两年内实施。

该法案规定:“自2024年《医疗保健网络安全改进法案》生效之日起两年后,如果部长确定网络事件导致医院中介的运营中断或医院运营出现异常情况,造成严重的现金流问题,只有医院满足部长确立的最低网络安全标准,方可向该医院提供加急付款;如果受影响的是医院中介的运营,只有中介满足部长确立的最低网络安全标准,提供商才能获得付款。”

法案进一步规定:“自本法案生效之日起两年后,如果卫生与公共服务部长确定网络事件导致根据第742号联邦法规的421.214节(或任何后续法规)描述的计划付款,只有服务提供商或供应商满足部长确立的最低网络安全标准,方可向服务提供商或供应商提供这些付款;如果提供商或供应商的中介是此类事件的目标,只有中介满足部长确立的最低网络安全标准,方可向服务提供商或供应商提供这些付款。”

医疗行业极为脆弱,需要针对性保护措施

参议员Warner在媒体声明中说:“我一直在警告医疗保健领域的网络安全问题。能够中断全国范围内患者护理能力的重大攻击早晚会发生。最近Change Healthcare黑客攻击事件提醒我们,整个医疗行业都很脆弱,需要提高防御水平。这项法案将为提供商和供应商提供一些重要的财务激励,帮助他们采取行动。”

他还强调,在极少数情况下,某些无法控制的事件(比如新冠疫情)会给医疗保险A部分的提供商(如急诊医院、康复护理机构和其他住院护理设施)和B部分的供应商(包括医生、非医生从业者、耐用医疗设备供应商和其他提供门诊服务的人员)带来现金流困难。

自20世纪80年代以来,美国医疗保险与医疗补助服务中心(CMS)通过加急付款和预付款(AAP)计划为这些计划参与者提供临时财务救济。救济期间,这些提供商和供应商从联邦政府获得预付款,后续政府会通过扣留后续索赔的付款的形式收回资金。

2022年,Warner参议员撰写了一份政策选择文件《网络安全即患者安全》,概述了当前医疗提供商和系统面临的网络安全威胁,并提供了一系列政策解决方案供讨论,以改进整个行业的网络安全。自发布以来,Warner参议员与跨党派同僚成立了医疗保健网络安全工作组,负责审查并提出潜在的立法解决方案,从而加强医疗和公共卫生领域的网络安全。

参考资料:https://industrialcyber.co/regulation-standards-and-compliance/new-legislation-mandates-minimum-cybersecurity-standards-to-safeguard-healthcare-providers-in-case-of-future-hacks/

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。