Master's Thesis

Proposal for minimum hospital security standards in accordance with legislative requirements and cybersecurity standards

Final Thesis 2.07 MB

Author of thesis: Bc. Viktória Sedláková

Acad. year: 2025/2026

Supervisor: Ing. Petr Sedlák

Reviewer: Ing. Marie Soukupová

Abstract:

This diploma thesis deals with the issue of cybersecurity in healthcare organizations with a focus on the design of                    a minimum cybersecurity standard for a hospital. The aim of the thesis was to perform a GAP analysis in a selected healthcare organization, identify security deficiencies, and propose organizational and technical security measures based on current legislation and security standards. The thesis also includes a proposal for the implementation of security measures, the creation of security documentation, and an economic evaluation of the proposed measures using the ROSI model.

Keywords:

cybersecurity, hospital, healthcare organization, GAP analysis, NIS2, ROSI

Date of defence

24.06.2026

Result of the defence

Defended (thesis was successfully defended)

znamkaAznamka

Grading

A

Process of defence

Studentka nejprve prezentovala výsledky, kterých dosáhla v rámci své práce Návrh minimálního bezpečnostního standardu nemocnice v souladu s požadavky legislativy a norem pro kybernetickou bezpečnost. Komise se poté seznámila s hodnocením vedoucí a posudkem oponenta práce. Studentka následně odpověděla na otázky oponenta a na další otázky přítomných členů komise: doc. RNDr. Libor Žák, Ph. D. položil otázku: Navrhovala jste soubor opatreni, využije je dále nemocnice? prof. Dr. habil. Ing. Pavel Foltin, Ph. D,položil otázku: Používáte vlastní řešení při zajištění kyberbezpečnosti nebo externí nástroj? Ing. Petr Šimůnek, Ph. D. položil otázku: Je znám nějaký jednotný přístup ke kyberbezpečnosti z Ministerstva pro zdravotnické zařízení? Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studentky na položené otázky rozhodla práci hodnotit stupněm A.

Topics for thesis defence

  1. Popište set reálných opatření, která byste navrhla pro minimalizaci rizika phishingu v prostředí nemocnice.
  2. S jakými konkrétními kybernetickými útoky se setkává zdravotnický personál v běžné praxi?
  3. V rámci GAP analýzy jste odhalila řadu nedostatků sledované nemocnice v oblasti kybernetické bezpečnosti. Která opatření byste doporučila zavést v první vlně, pokud by nemocnice projevila aktivní zájem zvýšit úroveň své kybernetické bezpečnosti?

Language of thesis

Slovak

Faculty

Ústav soudního inženýrství

Department

Department of Risk Engineering

Study programme

Risk Management of Technical and Economic Systems (NMSP-RRTES)

Specialization

Risk Management of Technical Systems (RRTS)

Composition of Committee

prof. Ing. Petr Dostál, CSc. (předseda)
doc. Ing. Radek Doskočil, Ph.D., MSc (místopředseda)
doc. RNDr. Libor Žák, Ph.D. (člen)
Ing. Petr Šimůnek, Ph.D. (člen)
Ing. et Ing. Kristýna Hrabová, Ph.D. (člen)
prof. Dr. habil. Ing. Pavel Foltin, Ph.D. (člen)

Supervisor’s report
Ing. Petr Sedlák

Velmi přínosná a aktuální závěrečná práce plně dosáhla stanovené cíle.

Už analýza současného stavu je pro organizaci přínosem pro seznámení se s regulačními požadavky v porovnání s tristním stavem řízení kybernetické bezpečnosti.

Návrh řešení pro dosažení cílů byl adekvátně zvolen v širokém záběru, nechybí ani podrobné ekonomické zhodnocení podle modelu ROSI.

Doplňující dotazy:

1. Jakým způsobem je evropská směrnice NIS2 implementována do nového Kybernetického zákona?

2. Jaká existuje jiná metodika pro výpočet míry rizika, než ta uvedená v kapitole 2.1.1.?
Evaluation criteria Verbal classification Grade
Splnění cíle a rozsahu zadání Stanovené cíle byly bez výhrad splněny. A
Úroveň zpracování teoretické části tj. poznatky získané studiem Velmi dobře uchopená problematika kybernetické bezpečnosti ve zdravotnickém prostředí. B
Úroveň zpracování analytické části tj. zpracování podkladů a vstupních dat, použité metody Kvalitně zpracované výstupy ve formě návrhů bezpečnostních opatření, bezpečnostní dokumentace a procesů řízení rizik. A
Odborná úroveň diplomové práce Závěrečná práce má vysokou úroveň jek po obsahové, tak po formální stránce. A
Přínos pro praktické i teoretické využití Praktický přínos závěrečné práce je neoddiskutovatelný a v případě důsledné implementace minimálního bezpečnostního standardu do organizace bude velmi dobře využitelný. Teoretické využití je dáno vypracovaným minimálním bezpečnostním standardem, který může posloužit podobným organizacím jako metodika a vodítko ke zvýšení úrovně kybernetické bezpečnosti. A
Práce s literaturou (citace), přehled literatury dle normy ČSN ISO 690 a 690-2 bez připomínek A
Formální uspořádání a úprava (text, grafy, tabulky) a odborná jazyková úroveň Lehké nejasnosti v používaném názvosloví. B

Grade proposed by supervisor: A

Reviewer’s report
Ing. Marie Soukupová

Struktura práce byla sestavena logicky, přehledně a metodologicky odpovídá úrovni diplomové práce. Teorie byla popsána srozumitelně a do detailu. Kladně hodnotím zejména podrobný popis legislativního rámce dané problematiky. Znalost analyzovaného prostředí v praxi umožnila autorce maximálně zvýšit aplikovatelnost výsledků práce. Dále je třeba vyzdvihnout důslednost autorky práce v souvislosti s důrazem na principy kybernetické bezpečnosti, s nimiž byla práce revidována a připravena k publikaci.
Evaluation criteria Verbal classification Grade
Úplnost vypracování Studentka komplexně zpracovala předloženou diplomovou práci. A
Zvolený přístup k řešení cíle diplomové práce Stanovených cílů diplomové práce bylo zcela dosaženo. A
Úroveň zpracování diplomové práce tj. originalita řešení, způsob zpracování podkladů, vstupních dat, použité metody Podklady byly důkladně a přehledně zpracovány, vstupní data z pohledu teorie i praxe byla vyselektována relevantně a zvolené metody odpovídaly požadavkům. B
Obtížnost a správnost řešení Oblast zdravotnictví, jež je předmětem zájmu předložené diplomové práce, je komplikovaným a mnohdy v minulosti opomíjeným sektorem, což představuje výzvu, kterou se autorce práce podařilo překonat. A
Přínos pro praktické i teoretické využití Práce je sepsána čtivou a pochopitelnou formou. Její výsledky jsou reálné a využitelné jak v praxi, tak při tvorbě obdobných závěrečných prací. A
Odborná jazyková úroveň Autorka dodržela odborné názvosloví v souladu se zvyklostmi v oboru kybernetické bezpečnosti. A
Písemná a grafická úprava tj. text, grafy, tabulky Text předložené diplomové práce i grafické doplňky byly zpracovány přehledně a až na výjimky s dodržením stanovených směrnic a zvyků. B
Topics for thesis defence:
  1. Popište set reálných opatření, která byste navrhla pro minimalizaci rizika phishingu v prostředí nemocnice.
  2. S jakými konkrétními kybernetickými útoky se setkává zdravotnický personál v běžné praxi?
  3. V rámci GAP analýzy jste odhalila řadu nedostatků sledované nemocnice v oblasti kybernetické bezpečnosti. Která opatření byste doporučila zavést v první vlně, pokud by nemocnice projevila aktivní zájem zvýšit úroveň své kybernetické bezpečnosti?

Grade proposed by reviewer: A

Responsibility: Mgr. et Mgr. Hana Odstrčilová