Wdrożenie projektowanej nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) może kosztować przeciętny publiczny szpital ok. 4,64 mln zł netto w 5 lat, a cały podsektor – ok. 3,7 mld zł. Jednocześnie 78% badanych szpitali nie zna konsekwencji regulacji, a tylko 31% prowadzi regularną analizę ryzyk cyberbezpieczeństwa.
Dlaczego ten temat jest pilny?
Projekt nowelizacji KSC wdraża unijną dyrektywę NIS2, ale – jak podkreśla raport – idzie dalej niż minimum unijne, łącząc ją z elementami 5G Toolbox i rozszerzając reżim dotyczący tzw. dostawców wysokiego ryzyka (DWR) na wszystkie 18 sektorów, w tym ochronę zdrowia. Dla szpitali kluczowe jest to, że decyzja o uznaniu producenta za DWR może oznaczać obowiązkowe wycofanie wskazanego sprzętu i/lub oprogramowania w ciągu 4 lub 7 lat (w zależności od kategorii podmiotu). To generuje koszty zakupów, migracji, wdrożeń i serwisu – bez dedykowanego finansowania w OSR.
O badaniu: skala i reprezentatywność
Analiza opiera się na ankiecie wypełnionej przez 421 publicznych szpitali ze wszystkich województw – ok. 52% całej populacji takich placówek w Polsce. Struktura próby obejmuje niemal wszystkie stopnie referencyjności, różne formy organizacyjne i organy tworzące; 97% badanych ma status podmiotów kluczowych w rozumieniu projektu KSC. To pozwala traktować wyniki jako w pełni reprezentatywne dla sektora publicznych szpitali.
Najważniejsze liczby (w 5-letnim horyzoncie)
- 4,64 mln zł netto – szacunkowy koszt łączny na 1 szpital (sprzęt + oprogramowanie + serwis i wsparcie).
- 3,7 mld zł netto – efekt sektorowy (dla ok. 800 szpitali).
- 1,238 mln zł – pierwszy rok kosztów po stronie sprzętu (zakup, wdrożenie, serwis). 3,633 mln zł w 5 lat.
- 640,8 tys. zł – pierwszy rok kosztów po stronie oprogramowania (wymiana, wdrożenie, migracje, wsparcie). 1,007 mln zł w 5 lat.
Gdzie są dziś największe luki?
1) Niska świadomość i gotowość organizacyjna
- 78% dyrekcji nie zna konsekwencji nowelizacji KSC dla prowadzenia działalności leczniczej (organizacyjnych i finansowych).
- Tylko 31% szpitali przeprowadza regularne analizy ryzyk w obszarze cyberbezpieczeństwa.
- Zaledwie 24% deklaruje zgodność systemów wspierających koordynowaną opiekę zdrowotną (KOZ) z wymogami projektowanej ustawy.
2) Ryzyko operacyjne ciągłości świadczeń
- 45% szpitali może napotkać trudności z utrzymaniem ciągłości działania w razie obowiązkowej wymiany sprzętu uznanego dostawcy z poza UE/NATO.
- 2% placówek jest narażonych na realne ryzyko czasowego zatrzymania części świadczeń z powodu udziału takiego sprzętu >50% w ich zasobach.
3) Oprogramowanie – brak łatwych zamienników
- 57% szpitali nie widzi realnej możliwości zastąpienia używanego oprogramowania rozwiązaniami wyłącznie z UE/NATO.
- Dobra wiadomość: tylko 0,5% ma >50% takiego oprogramowania w portfelu – więc ryzyko całkowitego paraliżu jest ograniczone, ale koszty i złożoność migracji pozostają wysokie.
Co dokładnie składa się na koszty?
Sprzęt ICT
- Wymiana sprzętu: średnia ważona ~639 tys. zł na szpital (zakup, demontaż, instalacja, utylizacja).
- Serwis i wsparcie po wymianie: dodatkowa średnia ważona ~598,8 tys. zł (skumulowanie w modelu 5-letnim daje łącznie ~3,633 mln zł po stronie sprzętu).
Oprogramowanie
- Wymiana i wdrożenie: średnia ważona ~549,3 tys. zł (licencje/subskrypcje, konfiguracja, wdrożenie, migracje danych).
- Serwis i wsparcie: średnia ważona ~91,5 tys. zł (5-letnio ~1,007 mln zł razem z wymianą oprogramowania).
Wniosek finansowy: łączny rachunek dla pojedynczego szpitala w scenariuszu „pełnego” uznania dostawców jako DWR to ~4,64 mln zł netto / 5 lat. Przy ~800 szpitalach publicznych daje to ~3,7 mld zł – bez pokrycia w OSR, które przewiduje finansowanie wyłącznie części systemowej (CSIRT, kadry, normy/standardy), a nie wymianę sprzętu i oprogramowania.
KOZ w cieniu cyberwymogów
Wyniki ankiety pokazują, że tylko 3% szpitali realnie świadczy dziś opiekę koordynowaną, a aż 63% jest na etapie wdrożeń. Najczęściej wskazywane bariery: brak przeszkolenia personelu (56%) i niewystarczające finansowanie (27%). W kontekście nowych obowiązków KSC (zarządzanie ryzykiem, audyty, zgłaszanie incydentów) to kumulacja wyzwań: wdrażać KOZ i równolegle domknąć luki w cyberbezpieczeństwie.
Co dalej? Rekomendacje oparte na danych z raportu
- Program „gotowość KSC” dla szpitali – szybki, ustrukturyzowany pakiet działań: ocena dojrzałości cyber (gap analysis), priorytetyzacja inwestycji, plan wymiany komponentów DWR (sprzęt/soft), harmonogram migracji i audyt końcowy.
- Finansowanie celowe na wymianę sprzętu/oprogramowania i wsparcie wdrożeń – raport wskazuje, że OSR nie obejmuje tego komponentu; bez środków zewnętrznych ryzykiem jest ograniczenie dostępności świadczeń.
- Szkolenia zarządów i kadr technicznych – podniesienie świadomości (78% nie zna konsekwencji) oraz kompetencji operacyjnych (analiza ryzyk prowadzi dziś tylko 31% szpitali).
- Mapowanie zależności kliniczno-technologicznych – identyfikacja komponentów „mission-critical”, gdzie wymiana może zagrozić ciągłości (45% placówek ryzykuje zakłócenia). Ustalanie ścieżek zastępczych i okien serwisowych bez wpływu na pacjentów.
- Standaryzacja i interoperacyjność – przy migracji oprogramowania priorytetem są formaty danych i procesy, które zminimalizują ryzyko utraty informacji medycznej i skrócą „time-to-value” nowych systemów.
Metodologia w pigułce
Ankiety zebrano 1–31 sierpnia 2025 r. poprzez dedykowaną podstronę Polskiego Towarzystwa Koordynowanej Ochrony Zdrowia. W analizie wykorzystano m.in. średnie ważone dla przedziałów kosztowych (sprzęt, oprogramowanie, serwis), a także zderzono wyniki z zapisami projektu KSC i OSR (wersja z 12 sierpnia 2025 r.). Badanie objęło wyłącznie szpitale publiczne (SPZOZ, spółki samorządowe, resortowe i uniwersyteckie), zatrudniające od 101 do >5000 pracowników.
Konkluzja
Nowelizacja KSC to potrzebny krok w stronę wyższego poziomu bezpieczeństwa cyfrowego, ale – w obecnym kształcie – nakłada na szpitale znaczne, nieoszacowane w OSR koszty dostosowawcze. Bez realnego wsparcia finansowego i programu przygotowawczego grozi nam paradoks: wzmocnimy regulacyjnie cyberbezpieczeństwo, a jednocześnie osłabimy operacyjną dostępność świadczeń. Dane z raportu powinny stać się punktem wyjścia do rozmów między resortami, płatnikiem a środowiskiem medycznym – zanim przepisy wejdą w życie w pełnym rygorze.
Pobierz raport klikając okładkę poniżej:
