Jak wynika z najnowszych danych przekazanych serwisowi Prawo.pl przez Centrum e-Zdrowia, większość placówek medycznych objętych obowiązkiem dołączyła do Centralnej e-Rejestracji (CeR), wciąż jednak pozostał niewielki odsetek, który tego nie zrobił. Ma to spotkać się z konsekwencjami finansowymi. Przedstawiciele resortu zdrowia zapowiadają też nowe funkcjonalności systemu, w tym łatwiejszą weryfikację uprawnień pacjenta.
Na razie chodzi o trzy świadczenia: pierwszorazowe wizyty u kardiologa, mammografię (profilaktyka raka piersi) oraz realizację testów HPV HR (profilaktyka raka szyjki macicy). Placówki miały na to niemal pół roku. Z danych przekazanych nam przez CeZ wynika, że na koniec maja liczby kształtowały się następująco:
Z danych CeZ wynika również, że w maju, czyli ostatnim miesiącu na dołączenie do CeR, do systemu podłączyło się 42,12 proc. podmiotów. Najdłużej ze spełnieniem obowiązku zwlekały placówki oferujące profilaktykę raka szyjki macicy – miesięczny wzrost w tej grupie to aż 63,84 proc.
Przypomnijmy, że ustawa oraz przepisy wykonawcze przewidują konsekwencje dla placówek, które nie wywiążą się z obowiązku – jak wskazuje CeZ, od 1 czerwca NFZ wstrzyma wówczas ich rozliczanie. Z kolei od 1 lipca 2026 r. wszystkie te świadczenia muszą być już umawiane przez centralną e-rejestrację, dzięki czemu pacjenci będą mieć przegląd wszystkich dostępnych wizyt w całej Polsce w zakresie tych trzech świadczeń. Wizyty umówione w inny sposób, niezarejestrowane w CeR, nie będą finansowane przez NFZ. Projekt rozporządzenia w tej sprawie jest w trakcie prac legislacyjnych (chodzi o projekt nowelizacji rozporządzenie w sprawie ogólnych warunków umów o udzielanie świadczeń opieki zdrowotnej). Doprecyzowuje on, że NFZ ma prawo zastosować wspomniane sankcje, jeśli CeZ potwierdzi, że dana placówka nie wywiązała się z obowiązku przekazania harmonogramów. Potwierdza też, że NFZ będzie wstrzymywał płatności.
Od 1 sierpnia br. CeR obejmie kolejne pierwszorazowe wizyty u specjalistów. Te placówki muszą przekazać harmonogramy i dołączyć do systemu do końca roku, a od 1 stycznia 2027 NFZ będzie miał prawo wstrzymać płatności za niewywiązanie się z obowiązku. Od 1 lutego będzie to niezbędnym warunkiem rozliczania. Chodzi o następujące poradnie specjalistyczne:
O tym, że odpowiedzialność jest konieczna, mówiła podczas wspólnej konferencji CeZ i MZ „Perspektywy e-Zdrowia” Iwona Cikoto-Wawrzyniak, kierownik projektu wdrażającego CeR z ramienia Ministerstwa Zdrowia.
To jest dla nas bardzo ważny warunek, bo bez dołączenia wszystkich świadczeniodawców do CeZ ona po prostu nie będzie dobrze funkcjonowała – podkreśliła ekspertka.
Cikoto-Wawrzyniak wskazała również, że CeR w rzeczywistości jest mechanizmem wymiany danych, dlatego obawy dotyczące wyłącznie udostępniania terminów są bezpodstawne. Zapowiedziała także, że docelowo w systemie automatycznie będą weryfikowane szczególne uprawnienia pacjenta (chodzi np. o honorowych krwiodawców). Nad takimi rozwiązaniami pracuje już CeZ. – W tym momencie, na razie pacjent musi niestety zgłosić się do placówki, która, tak jak dotychczas, weryfikuje jego uprawnienia – wyjaśniła.
Ekspertka wskazała również, że dzięki CeR „odzyskano” terminy 172 247 odwołanych wizyt. To oznacza, że potencjalnie mogli z nich skorzystać inni pacjenci, co nierzadko się dzieje, zwłaszcza gdy odwołanie odbywa się z kilkudniowym wyprzedzeniem.
Podczas konferencji zaprezentowano również najnowszy raport CeZ „Krajobraz cyberbezpieczeństwa w sektorze ochrony zdrowia”, w którym znalazły się m.in. dane statystyczne dotyczące cyberataków na placówki medyczne w 2025 r. Wynika z nich, że utrzymuje się obserwowana wcześniej tendencja wzrostowa. Z danych CSIRT CeZ wynika, że w 2025 roku w sektorze zdrowia odnotowano 1441 incydentów bezpieczeństwa, w tym 5 incydentów poważnych oraz 8 ataków z wykorzystaniem ransomware. Jest to duży wzrost (ponad 60 proc.) w stosunku do roku 2024. Niektóre z ataków objęły również duże szpitale.
- Rosnąca skala i złożoność incydentów pokazują, że cyberbezpieczeństwo w ochronie zdrowia wykracza poza kwestie techniczne. Zakłócenia działania systemów lub naruszenia danych mogą bezpośrednio wpływać na bezpieczeństwo pacjentów i procesy kliniczne. Dlatego działania CSIRT CeZ koncentrują się także na prewencji i budowaniu odporności organizacyjnej – wskazuje dr Tomasz Jeruzalski, dyrektor Pionu Eksploatacji Systemów Teleinformatycznych, pełnomocnik ds. CSIRT CeZ.
Najczęściej placówki medyczne doświadczały incydentów polegających na oszustwach komputerowych. Dużą rolę odgrywały również podatne usługi, a więc luki w zabezpieczeniach, a także wycieki poświadczeń i szkodliwe oprogramowania. Jak wskazuje CSIRT CeZ, stosunkowo często w ubiegłym roku przestępcy wykorzystywali autorytet instytucji publicznych, np. wysyłając fałszywe maile w imieniu Narodowego Funduszu Zdrowia. - Przestępcy podszywali się pod NFZ, oferując rzekomo „darmową apteczkę” za symboliczną opłatą. Wiadomości kierowały do spreparowanych stron płatności, które do złudzenia przypominały oficjalne serwisy i służyły do wyłudzania danych kart płatniczych. Tego typu ataki łączyły element socjotechniki z próbą bezpośredniego osiągnięcia korzyści finansowych – wskazano w raporcie.
Jeśli chodzi o najczęstsze błędy, które popełniają placówki medyczne, CeZ wskazuje na pewne prawidłowości. W raporcie podkreślono, że najczęściej identyfikowane podatności wynikają przede wszystkim z zaniedbań w utrzymaniu i konfiguracji systemów. - Brak regularnych aktualizacji, nieaktualne certyfikaty oraz wykorzystywanie przestarzałych protokołów i systemów wycofanych ze wsparcia (End Of Life - EOL) istotnie zwiększają ryzyko skutecznych ataków. Dodatkowo pomijanie mechanizmów ochronnych, takich jak nagłówki bezpieczeństwa czy konfiguracje SPF/ DKIM/DMARC, osłabia poziom zabezpieczenia usług. Wszystkie te czynniki wskazują na potrzebę systematycznego i kompleksowego zarządzania bezpieczeństwem oraz aktualizacjami infrastruktury IT – wymieniają eksperci.
- Skala cyberzagrożeń stale rośnie. Cyberprzestępcy wciąż stosują podobne mechanizmy ataków, ale są one coraz bardziej dopracowane. Potwierdzają to również dane, które zebraliśmy w ostatnim roku. Jednocześnie wdrożona dyrektywa NIS2 oraz nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa istotnie zmieniły otoczenie regulacyjne, rozszerzając obowiązki w zakresie cyberbezpieczeństwa na szerszą grupę podmiotów, w tym wiele organizacji medycznych – zauważa Jeremi Olechnowicz, kierownik CSIRT CeZ.
Czytaj również: Cyberbezpieczeństwo w szpitalach wciąż na marginesie
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów LEX jest zależny od posiadanych licencji.
