Wkrótce wejdzie w życie nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), która ma dostosować polskie prawo do wymogów unijnej dyrektywy NIS2. Zmiany te – choć w pełni uzasadnione z punktu widzenia bezpieczeństwa cyfrowego – mogą wstrząsnąć polskim systemem ochrony zdrowia. Najnowszy raport Polskiego Towarzystwa Koordynowanej Ochrony Zdrowia pokazuje, że dla szpitali publicznych będzie to poważne wyzwanie finansowe, organizacyjne i technologiczne.
Nowelizacja KSC – ambitna, ale kosztowna
Projekt ustawy wprowadza szeroki katalog obowiązków, które obejmą wszystkie publiczne szpitale zatrudniające powyżej 50 osób. Nowe przepisy wymuszą m.in. wdrożenie systemu zarządzania ryzykiem, regularne audyty cyberbezpieczeństwa, raportowanie incydentów i – co najbardziej kosztowne – wycofanie z użytku sprzętu i oprogramowania pochodzącego od tzw. dostawców wysokiego ryzyka, czyli firm spoza UE i NATO, których działalność może budzić wątpliwości w kontekście bezpieczeństwa państwa.
Raport PTKOZ pokazuje, że decyzja o uznaniu producenta za dostawcę wysokiego ryzyka może oznaczać dla pojedynczego szpitala konieczność inwestycji rzędu 4,6 mln zł netto w ciągu pięciu lat. W skali kraju to około 3,7 mld zł – kwota, która nie została ujęta w budżecie państwa ani w Ocenie Skutków Regulacji. Wszystkie te koszty będą musiały zostać pokryte z bieżących środków szpitali i ich organów tworzących.
Szpitale nieprzygotowane na zmiany
Jednym z najbardziej alarmujących wniosków z raportu jest niski poziom świadomości kadry zarządzającej. Aż 78% dyrektorów i osób odpowiedzialnych za zarządzanie przyznało, że nie zna konsekwencji wejścia w życie nowelizacji. Co więcej, tylko 31% szpitali przeprowadza regularne analizy ryzyk cyberbezpieczeństwa, a zaledwie 24% deklaruje, że ich systemy IT są już zgodne z nowymi wymogami.
To oznacza, że zdecydowana większość placówek dopiero będzie musiała rozpocząć kosztowny i czasochłonny proces dostosowawczy – od inwentaryzacji sprzętu i oprogramowania, przez planowanie migracji, aż po wdrażanie nowych procedur i szkolenie personelu.
Ryzyko dla ciągłości świadczeń
Obowiązkowa wymiana sprzętu i oprogramowania to nie tylko kwestia budżetu, ale także potencjalne zagrożenie dla ciągłości działania szpitali. Z raportu wynika, że 45% placówek może napotkać trudności w utrzymaniu płynności realizacji świadczeń medycznych, gdyby nagle musiały wycofać znaczną część używanych urządzeń. Dla niewielkiej grupy – około 2% szpitali – takie decyzje mogłyby oznaczać czasowe wstrzymanie działalności z powodu braku funkcjonalnych zamienników.
Szczególnie skomplikowana jest sytuacja w zakresie oprogramowania. Ponad połowa szpitali uważa, że nie istnieje realna możliwość zastąpienia wykorzystywanych obecnie systemów alternatywami z UE i NATO. Choć w większości przypadków udział takiego oprogramowania nie przekracza 30% zasobów IT, to i tak każda migracja wiąże się z ryzykiem utraty danych, przerwami w działaniu i koniecznością ponownego szkolenia personelu.
Koszty, których nie da się pominąć
W raporcie przedstawiono szczegółowe wyliczenia pokazujące, z jakimi wydatkami trzeba się liczyć. Wymiana sprzętu teleinformatycznego, urządzeń medycznych i serwerów to średnio 639 tys. zł na szpital, a koszty serwisu i wsparcia technicznego nowych urządzeń – kolejne setki tysięcy złotych. Do tego dochodzi wymiana oprogramowania, konfiguracja nowych systemów i migracja danych, wyceniona średnio na 550 tys. zł, oraz dodatkowe wydatki na serwis i utrzymanie.
Co ważne, raport zwraca uwagę, że są to wyłącznie koszty wymiany sprzętu i oprogramowania oraz usług wsparcia. Nie uwzględniają one innych obowiązków wynikających z ustawy, takich jak systematyczne audyty, raportowanie incydentów czy tworzenie nowych procedur zarządzania ryzykiem, które również będą wymagały zasobów finansowych i kadrowych.
Technologia i KOZ – dodatkowe wyzwania
Raport nie ogranicza się do kwestii cyberbezpieczeństwa. Autorzy przeanalizowali także poziom wdrożenia koordynowanej opieki zdrowotnej (KOZ) w szpitalach. Wyniki są niepokojące – tylko 3% placówek w pełni realizuje KOZ, a większość jest dopiero w fazie wdrażania. Szpitale jako główne bariery wskazują brak przeszkolonego personelu i niewystarczające finansowanie.
W połączeniu z koniecznością spełnienia nowych wymogów KSC może to oznaczać, że w najbliższych latach szpitale będą musiały jednocześnie modernizować swoje systemy IT, budować kompetencje zespołów i rozwijać model opieki koordynowanej – co stawia je w bardzo trudnej sytuacji organizacyjnej.
Co dalej?
Raport Polskiego Towarzystwa Koordynowanej Ochrony Zdrowia to nie tylko diagnoza, ale też apel o dialog. Eksperci wskazują, że niezbędne jest szybkie uruchomienie ogólnopolskiego programu przygotowującego szpitale do wdrożenia nowych wymogów. Potrzebne są szkolenia dla kadry zarządzającej i zespołów IT, wsparcie w planowaniu i realizacji migracji technologicznych oraz przede wszystkim – dedykowane finansowanie, które zapobiegnie przerzuceniu kosztów na pacjentów poprzez ograniczenie dostępności świadczeń.
Wdrażanie nowoczesnych standardów cyberbezpieczeństwa to krok w stronę bezpieczniejszej i bardziej odpornej na zagrożenia ochrony zdrowia. Jednak bez odpowiedniego przygotowania i środków finansowych może stać się kolejnym czynnikiem destabilizującym system. Najbliższe miesiące będą kluczowe dla wypracowania kompromisu między bezpieczeństwem a realiami organizacyjnymi i budżetowymi polskich szpitali.
Pobierz raport klikając okładkę poniżej:
