- Nowa ustawa o cyberbezpieczeństwie nakłada na polskie szpitale obowiązek wymiany sprzętu od "dostawców wysokiego ryzyka".
- Koszty wdrożenia przepisów, szacowane na 3,7 mld zł, spadną na placówki, a 45% szpitali może mieć problemy z utrzymaniem ciągłości działania.
- Polska wdraża dyrektywę NIS2 w ostrzejszej formie niż inne kraje, co może prowadzić do natychmiastowej wymiany niektórych technologii.
Szpitale w Polsce w obliczu ogromnych kosztów. Nowe przepisy mogą pogłębić problemy finansowe placówek
Wkrótce polskie szpitale mogą stanąć przed kolejnym poważnym wyzwaniem finansowym. Nowa ustawa o Krajowym Systemie Cyberbezpieczeństwa – mająca dostosować polskie prawo do unijnej dyrektywy NIS2 – ma wzmocnić ochronę infrastruktury krytycznej, w tym systemów informatycznych w służbie zdrowia. Jednak jej wdrożenie może kosztować placówki nawet 3,7 miliarda złotych, a rząd nie przewidział środków na pokrycie tych wydatków.
Nowe przepisy, ogromne koszty
Celem ustawy jest zwiększenie poziomu cyberbezpieczeństwa w kluczowych sektorach gospodarki, w tym w ochronie zdrowia. Jednak planowane zmiany oznaczają, że szpitale będą musiały pozbyć się sprzętu i oprogramowania pochodzącego od tzw. „dostawców wysokiego ryzyka”. Jeśli po publikacji listy państw objętych zakazem okaże się, że dana placówka korzysta z systemów z tych krajów – konieczna będzie ich wymiana.
Problem w tym, że ustawa nie przewiduje dodatkowego finansowania, a koszty wymiany sprzętu, modernizacji systemów i przeszkolenia personelu spadną bezpośrednio na placówki.
- Szpitale nie mają pieniędzy, więc ciężko z tym. Nasza jednostka stara się dopinać wszystko z projektów unijnych. Z KPO udało nam się uzyskać dofinansowanie. Będą też projekty regionalne, z których będziemy uzupełniać brakujące oprogramowanie. Na pewno zakup właśnie tych dodatkowych systemów, no to już jest koszt jednorazowo od 100 do 200 000. Później oczywiście licencje roczne — mówi Paweł Zera, szef IT w Szpitalu Miejskim w Rudzie Śląskiej w rozmowie z Radiem Eska.
Problemy nie tylko dla szpitali
Na skutki nowych przepisów mogą się przygotowywać także producenci sprzętu medycznego.
- Niektóre sprzęty, które są produkowane w Europie czy w Stanach Zjednoczonych mogą posiadać podzespoły chińskie i to już będzie też chyba wydaje mi się jeszcze większy problem producenta, niektórzy szpitala, żeby sobie z tym poradzić na później, nie? W kwestii serwisowania na przykład tego — podkreśla Mariusz Kaszubowski, dyrektor Szpitala Psychiatrycznego w Gdańsku.
Według raportu Polskiego Towarzystwa Koordynowanej Ochrony Zdrowia, aż 45% szpitali może mieć problemy z utrzymaniem ciągłości działania po wprowadzeniu przepisów, jeśli będzie wymagana wymiana sprzętu spoza krajów UE i NATO. Średnio jedna placówka będzie musiała przeznaczyć 4,6 mln zł w ciągu pięciu lat, by dostosować się do nowych wymogów.
„Szukamy pieniędzy, których nie mamy”
- Szukam pieniędzy, jak wielu kolegów z innych szpitali, na ten cel” — przyznaje Mariusz Kokosza, dyrektor Wojewódzkiego Szpitala Specjalistycznego nr 4 w Bytomiu. - Ubiegamy się o środki, których nie mamy, a które musimy posiadać. Ubiegamy się o te środki ze źródeł różnych zewnętrznych we wszelkich możliwych miejscach. Uwzględniliśmy potrzeby inwestycyjne związane z realizacją tych obowiązków dotyczących poziomu cyberbezpieczeństwa we wniosku w ramach Krajowego Planu Odbudowy.
Ministerstwo Zdrowia w rozmowie z Radiem Eska podkreśla, że szpitale miały czas na przygotowanie się do nowych wymagań.
- Warto takie pytanie na temat przygotowania zadać zarządzającym szpitalami, ponieważ o tych przepisach i o ustawie wiemy już od dłuższego czasu. Wiemy, że jesteśmy po rozdaniu KPO i ponad 3 miliardy złotych trafi do szpitali — powiedziała szefowa resortu Jolanta Sobierańska-Grenda.
Ustawa wdraża unijne przepisy, ale w ostrzejszej formie
Eksperci wskazują, że Polska wdraża unijną dyrektywę NIS2 w znacznie bardziej restrykcyjnej wersji niż inne państwa członkowskie.
- Przyjęto inny model tego zabezpieczenia, takiego, który się opiera na tym, żeby wskazać kogoś konkretnego z państwa trzeciego i powiedzieć: No nie, no ty ty po prostu z uwagi na ryzyka geopolityczne, na ryzyka technologiczne, które twoje państwo w zasadzie stwarza, nie ty. To ty nie możesz dostarczać tutaj technologii — tłumaczy prof. Artur Nowak-Far ze Szkoły Głównej Handlowej.
Tacy producenci trafią na listę „dostawców wysokiego ryzyka”, a szpitale będą musiały natychmiast lub w określonym czasie wymienić ich sprzęt.
- W większości przypadków będzie miał pewien czas do wymiany. W niektórych przypadkach rzeczywiście to będzie musiało nastąpić natychmiast. — dodaje profesor.
Co dalej z ustawą?
Przyjęcie nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa planowane jest na IV kwartał 2025 roku. Warto przypomnieć, że termin wdrożenia unijnej dyrektywy NIS2 minął już w październiku 2024 roku, więc Polska jest zobowiązana do szybkiego uregulowania przepisów.
