Revisão da regra de segurança HIPAA adiada um ano até 2027

A reescrita mais abrangente da Regra de Segurança HIPAA em duas décadas não será finalizada até pelo menos julho de 2027, um ano depois do objetivo anterior do governo. Registro atualizado no site de rastreamento federal Regiinfo.gov também transferiu a regulamentação para a categoria de “acção a longo prazo”. Esta mudança sinaliza que ainda falta mais de um ano para uma regra final.

HHS Escritório de Direitos Civis anteriormente pretendia publicar uma regra final em maio de 2026. Como resultado, a nova data de ação final, julho de 2027, adianta esse prazo em aproximadamente 14 meses. A regra proposta em si não foi alterada e o governo não informou por que o cronograma está sendo alterado. OCR publicou a regra proposta no Federal Register em 6 de janeiro de 2025, e o período para comentários terminou naquele mês de março.

Para os líderes de segurança, a lacuna alivia a pressão sobre os resultados financeiros a curto prazo. No entanto, o conteúdo e a direção da proposta permanecem em vigor. Esta regra de segurança permanece em vigor em todos os momentos e os horários da agência não têm efeito jurídico. Como resultado, o OCR ainda pode avançar mais rápido do que julho de 2027, revisar a regra após revisar os comentários ou retirá-la. Contudo, a direção aponta claramente para uma linha de base muito mais prescritiva.

O que a regra proposta exigiria

A proposta acabaria com a designação “endereçável”, que permite às organizações tratar certas salvaguardas como opcionais. Em particular, a encriptação de ePHI em repouso e em trânsito tornar-se-á obrigatória, com exceções limitadas. A MFA também será exigida em sistemas que utilizam ePHI.

Outros requisitos explícitos incluem segmentação de rede, proteção antimalware e verificação de vulnerabilidades pelo menos a cada seis meses. Além disso, as entidades regulamentadas realizarão testes de penetração pelo menos anualmente. Eles manterão um inventário escrito dos ativos tecnológicos e um mapa de rede mostrando como o ePHI flui, juntamente com auditorias anuais de conformidade. A proposta reforça ainda mais as expectativas de análise de risco e reduz a devida diligência para parceiros de negócios.

A regra responde em parte a um aumento acentuado nas violações graves. Por exemplo, o OCR cita um aumento significativo de incidentes que afetaram 500 ou mais indivíduos entre 2018 e 2023. O ataque de ransomware Change Healthcare em 2024, que expôs dados de cerca de 192,7 milhões de pessoas, tornou-se um ponto de referência comum. Os atacantes chegaram a essa rede através de um portal de acesso remoto sem MFA, um dos controles que a proposta exigiria.

Custo e resistência da indústria

O preço atraiu as críticas mais duras. A própria análise de impacto regulatório do HHS projetou custos da indústria no primeiro ano de quase US$ 9 bilhões, seguidos por aproximadamente US$ 6 bilhões anualmente nos anos dois a cinco. No entanto, os grupos de prestadores consideram esses números subestimados, especialmente para hospitais rurais e consultórios pequenos e com margens baixas.

Uma coalizão de mais de 100 organizações liderada por CHAMADO escreveu ao HHS em dezembro de 2025 para solicitar uma revisão. A CHIME e outras partes interessadas aceitam a necessidade de reforçar a segurança cibernética. No entanto, eles apontam a janela de ajuste comprimida e a perda de ajuste como os principais problemas. A sua principal preocupação é que uma norma prescritiva aplicada uniformemente drenaria recursos escassos do atendimento ao paciente.

Utilização do ano adicional

O atraso cria espaço para planeamento e os líderes podem colocá-lo em ação agora. Por exemplo, o relógio de conformidade proposto dura aproximadamente 240 dias a partir da publicação de uma regra final. As organizações que aguardam o texto final correm o risco de entrar numa briga para cumprir esse prazo. Avaliações de lacunas em relação aos controles propostos, análises de risco atualizadas e inventários de ativos podem reduzir a pressão posteriormente.

Grande parte da proposta reflete práticas de segurança estabelecidas, portanto, avançar antecipadamente compensa, independentemente do texto final. A criptografia, a MFA e a segmentação reduzem hoje a exposição a uma violação. Da mesma forma, os sistemas de saúde que alinharem os seus programas este ano fortalecerão a sua posição e assumirão os requisitos finais com menos perturbações.

Leve embora

  • A regra final de segurança da HIPAA agora tem como meta julho de 2027, cerca de um ano depois da estimativa anterior de maio de 2026.
  • Os horários das agências não são vinculativos; O OCR pode finalizar antecipadamente, revisar após comentários ou retirar a proposta.
  • A atual regra de segurança permanece em vigor e o conteúdo da proposta permanece inalterado.
  • Principais mandatos propostos: criptografia, MFA, segmentação de rede, verificações de vulnerabilidade semestrais, testes de penetração anuais e inventários de ativos.
  • Use o caminho adicionado para avaliações de lacunas, análises de risco e inventários de ativos.

O ano extra apenas altera o cronograma. Os sistemas de saúde que tratam Julho de 2027 como um horizonte de planeamento em vez de um tiro de partida estarão prontos quando a regra final chegar.


Artigos relacionados

Link da fonte