poniedziałek, 13 października
Biznes

Szpitale na froncie cyberwojny: nowelizacja KSC może kosztować sektor zdrowia 3,7 mld zł. Kto za to zapłaci?

By Updated:Brak komentarzy4 Mins Read

Krajowy System Cyberbezpieczeństwa (KSC) do tej pory znany głównie specjalistom IT,  właśnie staje się kluczowym tematem dla całej polskiej ochrony zdrowia. Najnowszy raport pod tytułem „Wpływ projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa na szpitale publiczne” ujawnia coś, czego nikt nie powiedział głośno:

wdrożenie nowelizacji KSC może średnio kosztować przeciętny publiczny szpital aż 4,64 mln zł netto w perspektywie 5 lat.

Dla całego sektora publicznych szpitali to ponad 3,7 miliarda złotych. Co gorsza 78% placówek nie zna konsekwencji tej regulacji, a tylko co trzeci szpital aktywnie zarządza ryzykami cybernetycznymi.

Czy polskie szpitale są gotowe na cyfrową rewolucję, która może oznaczać przymusową wymianę sprzętu i oprogramowania, zakłócenia świadczeń i wielomilionowe wydatki?

W tej chwili – nie.

Co zmienia nowelizacja KSC?

Projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) implementuje unijną dyrektywę NIS2, ale idzie dalej niż wymogi UE.

Rozszerza reżim tzw. dostawców wysokiego ryzyka (DWR) na wszystkie sektory w tym ochronę zdrowia.

To oznacza, że szpital może zostać zmuszony do usunięcia wskazanego sprzętu lub oprogramowania, jeśli ich producent zostanie uznany za DWR np. z powodu pochodzenia spoza UE/NATO.

Tyle że ten sprzęt działa, obsługuje kluczowe dane pacjentów i procedury medyczne.

Usunięcie go to nie tylko faktura to ryzyko operacyjne, logistyczny koszmar i niebezpieczeństwo dla pacjentów. 

Koszty? Imponujące. Finansowanie? Żadne.

Według raportu, przygotowanego na podstawie danych z 421 szpitali publicznych (52% populacji), przeciętny szpital będzie musiał zainwestować:

  • 1,238 mln zł w sprzęt już w pierwszym roku (łącznie 3,633 mln zł w 5 lat),

  • 640,8 tys. zł w oprogramowanie (łącznie 1,007 mln zł w 5 lat).

Łącznie: 4,64 mln zł netto na każdy szpital.

To tylko w scenariuszu, w którym placówka musi wymienić komponenty pochodzące od DWR. W praktyce wiele szpitali już dziś korzysta z infrastruktury dostarczonej przez chińskich lub rosyjskich producentów.

I tu pojawia się główny problem: żaden z kosztów nie został ujęty w ocenie skutków Regulacji. 

Rząd przewiduje pieniądze na struktury systemowe (CSIRT, kadry, normy), ale nie na wymianę sprzętu czy migrację oprogramowania. A to przecież główne źródło kosztów.

Szokująca nieświadomość w sektorze zdrowia

Z danych wynika, że 78% szpitali nie zna skutków nowelizacji KSC ani finansowych, ani organizacyjnych. Co więcej:

  • Tylko 31% przeprowadza regularne analizy ryzyk w obszarze cyberbezpieczeństwa,

  • Zaledwie 24% deklaruje zgodność systemów KOZ (koordynowana opieka zdrowotna) z przyszłymi wymaganiami KSC,

  • 57% nie widzi realnych zamienników dla używanego oprogramowania spoza UE/NATO.

Tymczasem czas ucieka. Nowe przepisy mogą wejść w życie szybciej, niż szpitale zdążą się przygotować.

Operacyjna bomba zegarowa: zagrożenie ciągłości świadczeń

Według raportu, to nie tylko temat dla informatyków. Jeśli szpital używa sprzętu od dostawcy uznanego za DWR, może być zmuszony do jego wymiany, nawet jeśli działa bez zarzutu.

  • 45% szpitali może mieć problemy z utrzymaniem ciągłości działania po takiej wymianie,

  • 2% jest narażone na czasowe zatrzymanie części świadczeń bo ponad połowa ich sprzętu pochodzi od potencjalnie „zakazanych” dostawców.

To może oznaczać w praktyce: odwołane zabiegi, problemy z dostępem do danych pacjentów, opóźnienia w diagnostyce.

Cyberbezpieczeństwo w wersji zero-jedynkowej nie uwzględnia faktu, że w szpitalu każda minuta ma znaczenie dla życia i zdrowia pacjenta.

KOZ i KSC – podwójne wyzwanie

Dodajmy do tego jeszcze jedno: szpitale są w trakcie wdrażania koordynowanej opieki zdrowotnej (KOZ). Zaledwie 3% już ją realnie świadczy, a 63% jest w trakcie wdrożeń. To również wymaga zasobów, przeszkolenia kadry i nowego oprogramowania.

Nowelizacja KSC oznacza, że te same zespoły muszą jednocześnie:

  • Wdrażać KOZ,

  • Zapewnić zgodność z KSC,

  • Przeprowadzić audyty i analizy ryzyk,

  • Prowadzić migrację sprzętu i oprogramowania.

To jak remont generalny, przeprowadzany w środku intensywnego dyżuru. Bez wsparcia – skazany na porażkę.

Co rekomenduje raport?

Eksperci nie zostawiają sprawy bez propozycji. W raporcie znalazły się konkretne rekomendacje:

  1. „Program gotowości KSC” dla szpitali – audyt dojrzałości cyberbezpieczeństwa, plan wymiany komponentów DWR, harmonogram i audyt końcowy.

  2. Finansowanie celowe – bez niego część szpitali nie będzie w stanie spełnić wymogów, nie zakłócając świadczeń.

  3. Szkolenia dla kadry zarządzającej i IT – podniesienie świadomości i kompetencji.

  4. Mapowanie zależności kliniczno-technologicznych – by wymiana sprzętu nie przerwała świadczeń.

  5. Standaryzacja i interoperacyjność danych – bez tego wymiana oprogramowania może prowadzić do utraty danych medycznych lub kosztownych przestojów.

Co dalej? Presja czasu i pytania bez odpowiedzi

Nowelizacja KSC ma sens, zagrożenia cybernetyczne dla infrastruktury krytycznej są realne i rosnące. Ale tempo wdrażania i brak finansowania mogą sprawić, że regulacja stanie się mieczem obosiecznym.

Z jednej strony – zwiększymy formalny poziom cyberbezpieczeństwa.

Z drugiej – ryzykujemy ograniczeniem dostępności świadczeń w publicznych szpitalach.

To moment na poważną rozmowę między resortami, płatnikiem a środowiskiem ochrony zdrowia.

Zanim ustawa wejdzie w życie trzeba wypracować realne, nieksiążkowe scenariusze działania.

Bo cyberbezpieczeństwo nie może oznaczać wyłączonego tomografu, niedziałającego systemu szpitalnego albo przesuniętej operacji.

To nie film science-fiction. To Polska ochrona zdrowia – w 2026 roku.

Autor: Agnieszka Jaćkowska

 

Share.

Powiązane

Exit mobile version