Warszawa, 22 września 2025 r. – Polskie Towarzystwo Koordynowanej Ochrony Zdrowia opublikowało raport analizujący skutki projektu nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) dla polskich szpitali publicznych. Wnioski są jednoznaczne: planowane regulacje oznaczają wielomiliardowe obciążenia finansowe dla sektora ochrony zdrowia, które nie zostały dotąd uwzględnione w Ocenie Skutków Regulacji przygotowanej przez Ministerstwo Cyfryzacji.
78% szpitali nie ma świadomości nadchodzących zmian
Badanie przeprowadzono na próbie 421 szpitali – to aż 52% wszystkich publicznych placówek tego typu w Polsce, co pozwala uznać wyniki za reprezentatywne. Analiza pokazuje, że aż 78% dyrekcji i osób zarządzających nie ma świadomości konsekwencji organizacyjnych i finansowych wejścia w życie nowelizacji KSC.
Potencjalny koszt: 4,6 mln zł na szpital
Nowelizacja ustawy przewiduje m.in. konieczność wycofania sprzętu i oprogramowania pochodzącego od tzw. dostawców wysokiego ryzyka – firm spoza UE i NATO, których działalność może budzić zastrzeżenia w kontekście bezpieczeństwa narodowego. Raport wylicza, że w przypadku kumulatywnej decyzji administracyjnej, każdy szpital będzie musiał przeznaczyć średnio 4,6 mln zł netto w perspektywie pięciu lat na wymianę sprzętu, oprogramowania oraz zapewnienie serwisu i wsparcia technicznego. W skali całego kraju daje to kwotę rzędu 3,7 mld zł netto.
Brak alternatyw i ryzyko przerw w świadczeniu usług
Z raportu wynika, że:
- 45% szpitali mogłoby mieć trudności z utrzymaniem ciągłości świadczeń, jeśli sprzęt od dostawców spoza UE i NATO zostałby uznany za niedozwolony;
- 57% placówek uważa, że nie istnieje realna możliwość wymiany używanego oprogramowania na rozwiązania pochodzące wyłącznie z państw UE i NATO;
- w praktyce tylko 2% szpitali byłoby narażonych na całkowite wstrzymanie działalności, jednak blisko połowa musiałaby ograniczyć liczbę procedur medycznych.
Cyberbezpieczeństwo i koordynowana opieka zdrowotna
Raport wskazuje także na niski poziom przygotowania szpitali do wymogów w zakresie cyberbezpieczeństwa. Tylko 31% placówek przeprowadza regularną analizę ryzyk, a jedynie 24% deklaruje, że ich systemy IT są zgodne z projektowanymi regulacjami. W obszarze opieki koordynowanej dane są równie niepokojące – zaledwie 3% szpitali realizuje ją obecnie w pełnym zakresie, a większość jest dopiero w fazie wdrożeń.
Brak finansowania w projekcie ustawy
Największe kontrowersje budzi fakt, że projekt ustawy nie przewiduje pokrycia kosztów wymiany sprzętu i oprogramowania. Zgodnie z Oceną Skutków Regulacji, wszystkie wydatki mają być sfinansowane w ramach istniejących środków na ochronę zdrowia, bez możliwości ubiegania się o dodatkowe fundusze. Oznacza to, że szpitale i ich organy tworzące będą musiały same udźwignąć te koszty.
Wnioski
Raport Polskiego Towarzystwa Koordynowanej Ochrony Zdrowia pokazuje wyraźnie, że nowelizacja ustawy o KSC – choć podyktowana koniecznością wdrożenia unijnej dyrektywy NIS2 – wprowadza rozwiązania znacznie szersze niż wymagane. Ich skutkiem może być poważne obciążenie finansowe dla szpitali publicznych i ryzyko ograniczenia dostępu pacjentów do świadczeń medycznych.
Zdaniem autorów analizy, konieczne jest pilne rozpoczęcie dialogu między resortem cyfryzacji, Ministerstwem Zdrowia a przedstawicielami środowiska medycznego, tak aby znaleźć rozwiązania, które z jednej strony zapewnią cyberbezpieczeństwo systemu ochrony zdrowia, a z drugiej nie sparaliżują finansowo szpitali.
Pobierz raport klikając okładkę poniżej:
