Rząd przyjął ostatnio projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), który służy wdrożeniu na polskim gruncie unijnej dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (w skrócie NIS2). Wprowadza ona istotne zmiany w zakresie obowiązków dotyczących zapewnienia ochrony przed cyberzagrożeniami i w znacznym stopniu będzie dotyczyła także sektora zdrowotnego. I choć do przyjęcia nowych przepisów droga już niedaleka (Krzysztof Gawkowski, minister cyfryzacji, zaznaczył na ostatniej konferencji prasowej, że chciałby, by ustawa trafiła na biurko prezydenta jeszcze przed końcem roku), nadal wiele osób, zwłaszcza zarządzających podmiotami medycznymi, nie wie dokładnie, z jakimi konsekwencjami dla placówek będzie się to wiązać.
Czytaj też: 300 milionów na ofensywę w cyberbezpieczeństwie
Wszystkie szpitale objęte obowiązkami
Ustawa o KSC przede wszystkim kompleksowo reguluje kwestie związane z cyberbezpieczeństwem na poziomie krajowym, dostosowując regulacje do przepisów unijnych. Jak podkreślono w uzasadnieniu, jest to przede wszystkim związane z rosnącą z każdym rokiem liczbą cyberataków, ale także ich zmieniającą się formą. - Liczba, skala, zaawansowanie, częstotliwość oraz wpływ incydentów stają się coraz większe i stanowią poważne zagrożenie dla funkcjonowania sieci i systemów informatycznych. W rezultacie incydenty mogą utrudniać prowadzenie działalności gospodarczej na rynku wewnętrznym, powodować straty finansowe, podważać zaufanie użytkowników oraz powodować poważne szkody dla gospodarki i społeczeństw – wskazano.
Zobacz w LEX: Identyfikowanie i zgłaszanie incydentów na gruncie NIS 2 i RODO >
Jest to widoczne także w placówkach ochrony zdrowia. Jak wynika z ostatnich danych Centrum e-Zdrowia, do końca sierpnia br. odnotowano już 946 cyberataków w sektorze ochrony zdrowia. To niemal tyle samo, co przez cały ubiegły rok, gdy do końca 2024 r. było ich 1028. Szacunki CeZ wskazują, że do końca roku w porównaniu z ubiegłym rokiem realny jest wzrost liczby cyberataków o ponad 400 (szacunkowo 1400 na koniec 2025 r.). Odnotowywanych jest też coraz więcej przypadków ataków, które paraliżują pracę szpitali, a wszystko wskazuje na to, że będzie tylko gorzej.
Nowelizacja ustawy o KSC, w ślad za dyrektywą NIS2, wprowadza podział na podmioty kluczowe oraz podmioty ważne. W zależności od zakwalifikowania, różne będą także obowiązki i obciążenia. Jak wskazano w raporcie „Wpływ projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa na szpitale publiczne” Polskiego Towarzystwa Koordynowanej Ochrony Zdrowia (PTKOZ), w przypadku podmiotów leczniczych przewidziano, że za podmioty kluczowe i ważne zostaną uznane te placówki, które zatrudniają co najmniej 50 pracowników. Wynika z tego, że skutki ustawy obejmą więc prawdopodobnie wszystkie szpitale w Polsce.
Czytaj również: Sektor ochrony zdrowia w Polsce coraz częściej pada ofiarą cyberataków
Cena promocyjna: 111.2 zł
Cena regularna: 139 zł
Najniższa cena w ostatnich 30 dniach: 83.4 zł
Nawet 4,6 mln zł na jeden podmiot, a pieniędzy nie ma
Jednocześnie z badania ankietowego przeprowadzonego przez autorów opracowania wynika, że aż 78 proc. kierowników podmiotów leczniczych nie ma świadomości, z jakimi konsekwencjami będzie się dla nich wiązało wejście w życie nowelizacji. Z drugiej strony, jak wskazuje PTKOZ, w ocenie skutków regulacji dołączonej do projektu w ogóle nie przewidziano kosztów, z jakimi będzie musiał zmierzyć się sektor zdrowotny – a te mogą okazać się wysokie. Jak wyliczono, w oparciu o zebrane na podstawie ankiet dane dotyczące potencjalnych kosztów wymiany sprzętu i oprogramowania pochodzącego od dostawców wysokiego ryzyka, a także kosztów związanych z serwisem i wsparciem technicznym dla nowo zakupionych produktów pochodzących od firm z terenu UE i NATO można przyjąć, że szacunkowa kwota dla jednego szpitala publicznego może wynieść średnio 4,6 mln zł netto w pięcioletniej perspektywie. W tej kwocie został ujęty także szacunkowy koszt zakupu nowych produktów, koszt deinstalacji starych i instalacji nowych urządzeń, koszt utylizacji zdemontowanego sprzętu oraz koszty pięcioletniej usługi serwisu i wsparcia technicznego. Autorzy zastrzegają przy tym, że oszacowana kwota ma zastosowanie wyłącznie w przypadku kumulatywnego zbiegu decyzji administracyjnych o uznaniu za dostawców wysokiego ryzyka wszystkich producentów sprzętu i oprogramowania, których produkty są wykorzystywane przez poszczególne szpitale. - W oparciu o wyliczoną szacunkową kwotę kosztów, jakie może ponieść pojedynczy podmiot leczniczy, można także oszacować przybliżony skutek finansowy dla wszystkich szpitali publicznych. Według danych PTKOZ w Polsce jest obecnie około 800 szpitali publicznych, co po przemnożeniu przez wartość finansową skutku dla jednego podmiotu daje kwotę około 3,7 mld zł netto w pięcioletniej perspektywie – wskazano w raporcie.
Zobacz też w LEX: Prawne aspekty cyberbezpieczeństwa - ramy prawne i praktyczne zagadnienia >
Biorąc pod uwagę, że kierownicy szpitali już teraz wskazują na ogromne koszty dostosowania systemów informatycznych do Centralnej e-Rejestracji, na które placówek po prostu nie stać, można się spodziewać, że kolejne wydatki tego typu będą dla nich niezwykle trudne, a wręcz niemożliwe do przejścia.
Czytaj również: Nie ma e-rejestracji? Placówka nie dostanie pieniędzy za świadczenie
Środki z KPO tylko dla części placówek, a potrzebne wszystkim
W połowie września zakończył się nabór ogłoszony w ramach inwestycji ze środków Krajowego Planu Odbudowy (D1.1.2: Przyspieszenie procesów transformacji cyfrowej ochrony zdrowia poprzez dalszy rozwój usług cyfrowych w ochronie zdrowia). Jego łączna wartość to ponad 3,1 mld zł. Wsparcie jest kierowane do podmiotów leczniczych wykonujących działalność leczniczą w rodzaju świadczenia szpitalne w zakładzie leczniczym, zakwalifikowanych do systemu podstawowego szpitalnego zabezpieczenia świadczeń opieki zdrowotnej. Placówki mogą je wykorzystać następnie np. na integrację i rozbudowę systemów informatycznych szpitali. Wsparcie ma otrzymać 325 z 457 ocenionych pozytywnie wniosków (o czym jako pierwsza po rozstrzygnięciu konkursu informowała „Rzeczpospolita”).
Zapraszamy na szkolenie online w LEX: Reforma szpitali - przed czym nie uciekniesz? >
Jak mówił podczas debaty „Zarządzanie w erze digitalizacji – wyzwania dla liderów zdrowia” na XXI Forum Rynku Zdrowia dr Tomasz Kopiec, dyrektor Samodzielnego Publicznego Szpitala Klinicznego im. Prof. W. Orłowskiego, nie jest to kwestia wygranej, przegranej czy rywalizacji między podmiotami. Brak pieniędzy to bowiem zwyczajnie brak możliwości zapewnienia lepszego poziomu bezpieczeństwa. - My leczymy pacjentów, nie mamy wykształconych kadr, takich „oficerów cyberwojska”, które chroniłoby szpital przed atakami zewnętrznymi. To nie jest też kwestia rywalizacji sportowej, tylko kwestia tego, czy my możemy stworzyć dzisiaj warunki bezpieczeństwa danych. Dzisiaj tych warunków nie mamy – podkreślił.
Jak zaznaczył, w jego szpitalu tylko 5 października odnotowano 180 prób dokonania cyberataku. Widać więc, że jest to coraz poważniejszy problem. - Pracując w systemie publicznym, nie jesteśmy sobie w stanie pozwolić na stawki rynkowe. Nas nie stać dzisiaj, by płacić wielu świetnym ekspertom z rynku informatycznego. Prowadzimy rekrutację, nie możemy znaleźć, albo oczekiwania finansowe są takie, że nie mamy możliwości ich spełnić. W związku z tym nie posiadamy tych kompetencji, chcemy je „kupować”, ale znowu po stronie regulatora nie ma w tym momencie finansowań albo nie są dostępne dla wszystkich – podkreślił.
- Nie wiem, ile koleżanek i kolegów spoza naszego województwa ma pełnomocników ds. cyberbezpieczeństwa. Sama mam w placówce ponad sto komputerów, które mają jeszcze system Windows 10. Sami możecie sobie państwo wyobrazić, jakie to jest zagrożenie. Czekam na to, by podpisać umowy i szkolę pracowników, bo coraz częściej dochodzi do ataków, nawet nie takich, jak w szpitalu w Krakowie (w marcu br. doszło do dużego cyberataku na szpital MSWiA w Krakowie – przyp. red.), w mniejszej skali, ale z równie dotkliwymi konsekwencjami – podkreśliła podczas dyskusji Wioletta Śląska-Zyśk, dyrektorka naczelna Warmińsko-Mazurskiego Centrum Chorób Płuc w Olsztynie.
Czytaj też w LEX: Prawo ochrony zdrowia dla managerów >
Do jednego z głośnych cyberataków typu ransomware (a więc z żądaniem okupu i zaszyfrowaniem danych) doszło w czerwcu ub. roku na brytyjskie laboratorium wykonujące m.in. badania krwi. Spowodował on bardzo duże utrudnienia - szacunkowo w przypadku ponad 10 tys. wizyt lekarskich - oraz opóźnienia w wydawaniu wyników badań. King's College Hospital NHS Foundation Trust wskazał, że była to jedna z istotnych przyczyn śmierci pacjenta, który musiał wówczas długo oczekiwać na wyniki morfologii. To pierwszy przypadek, w którym śmierć pacjenta powiązano bezpośrednio z cyberatakiem.
Sprawdź w LEX: Czy dyrektywa NIS 2 dotyczy także szpitala psychiatrycznego? >
Cena promocyjna: 111.2 zł
|Cena regularna: 139 zł
|Najniższa cena w ostatnich 30 dniach: 83.4 zł
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.
