- Nowa ustawa o Krajowym Systemie Cyberbezpieczeństwa, dostosowująca polskie prawo do dyrektywy NIS2, może kosztować szpitale do 3,7 mld zł, bez zapewnienia przez rząd finansowania na te wydatki.
- Szpitale będą zmuszone do wymiany sprzętu i oprogramowania od „dostawców wysokiego ryzyka”, co dla 45% placówek może oznaczać problemy z utrzymaniem ciągłości działania i średnio 4,6 mln zł kosztów na placówkę w ciągu 5 lat.
- Polska wdraża dyrektywę NIS2 w bardziej restrykcyjnej wersji niż inne kraje UE, co może skutkować koniecznością natychmiastowej wymiany niektórych systemów, mimo że termin wdrożenia dyrektywy minął w październiku 2024.
- Minister cyfryzacji podkreśla, że Polska jest w czołówce najlepiej zabezpieczonych państw, odpierając 99% z 50-60 tys. cyberataków miesięcznie, a na cyberbezpieczeństwo w 2025 roku zostanie przeznaczone rekordowe 4 mld zł.
Szpitale w Polsce na krawędzi: cyberbezpieczeństwo za miliardy
Wkrótce polskie szpitale mogą stanąć przed kolejnym poważnym wyzwaniem finansowym. Nowa ustawa o Krajowym Systemie Cyberbezpieczeństwa – mająca dostosować polskie prawo do unijnej dyrektywy NIS2 – ma wzmocnić ochronę infrastruktury krytycznej, w tym systemów informatycznych w służbie zdrowia. Jednak jej wdrożenie może kosztować placówki nawet 3,7 miliarda złotych, a rząd nie przewidział środków na pokrycie tych wydatków.
Celem ustawy jest zwiększenie poziomu cyberbezpieczeństwa w kluczowych sektorach gospodarki, w tym w ochronie zdrowia. Jednak planowane zmiany oznaczają, że szpitale będą musiały pozbyć się sprzętu i oprogramowania pochodzącego od tzw. „dostawców wysokiego ryzyka”. Jeśli po publikacji listy państw objętych zakazem okaże się, że dana placówka korzysta z systemów z tych krajów – konieczna będzie ich wymiana.
Finansowy cios w szpitale
Problem w tym, że ustawa nie przewiduje dodatkowego finansowania, a koszty wymiany sprzętu, modernizacji systemów i przeszkolenia personelu spadną bezpośrednio na placówki. To może być gwóźdź do trumny dla wielu szpitali, które już teraz borykają się z problemami finansowymi.
Szpitale nie mają pieniędzy, więc ciężko z tym. Nasza jednostka stara się dopinać wszystko z projektów unijnych. Z KPO udało nam się uzyskać dofinansowanie. Będą też projekty regionalne, z których będziemy uzupełniać brakujące oprogramowanie. Na pewno zakup właśnie tych dodatkowych systemów, no to już jest koszt jednorazowo od 100 do 200 000. Później oczywiście licencje roczne — mówi Paweł Zera, szef IT w Szpitalu Miejskim w Rudzie Śląskiej w rozmowie z Radiem Eska.Na skutki nowych przepisów mogą się przygotowywać także producenci sprzętu medycznego. Nie chodzi tylko o producentów oprogramowania, ale również o tych, którzy dostarczają sprzęt medyczny.
- Niektóre sprzęty, które są produkowane w Europie czy w Stanach Zjednoczonych mogą posiadać podzespoły chińskie i to już będzie też chyba wydaje mi się jeszcze większy problem producenta, niektórzy szpitala, żeby sobie z tym poradzić na później, nie? W kwestii serwisowania na przykład tego — podkreśla Mariusz Kaszubowski, dyrektor Szpitala Psychiatrycznego w Gdańsku.Według raportu Polskiego Towarzystwa Koordynowanej Ochrony Zdrowia, aż 45% szpitali może mieć problemy z utrzymaniem ciągłości działania po wprowadzeniu przepisów, jeśli będzie wymagana wymiana sprzętu spoza krajów UE i NATO. Średnio jedna placówka będzie musiała przeznaczyć 4,6 mln zł w ciągu pięciu lat, by dostosować się do nowych wymogów. To gigantyczny koszt, który dla wielu szpitali jest nie do udźwignięcia.
Dyrektorzy szpitali biją na alarm
„Szukamy pieniędzy, których nie mamy” - przyznaje Mariusz Kokosza, dyrektor Wojewódzkiego Szpitala Specjalistycznego nr 4 w Bytomiu. - Ubiegamy się o środki, których nie mamy, a które musimy posiadać. Ubiegamy się o te środki ze źródeł różnych zewnętrznych we wszelkich możliwych miejscach. Uwzględniliśmy potrzeby inwestycyjne związane z realizacją tych obowiązków dotyczących poziomu cyberbezpieczeństwa we wniosku w ramach Krajowego Planu Odbudowy.
Ministerstwo Zdrowia w rozmowie z Radiem Eska podkreśla, że szpitale miały czas na przygotowanie się do nowych wymagań. Czy jednak rzeczywiście tak było?
Warto takie pytanie na temat przygotowania zadać zarządzającym szpitalami, ponieważ o tych przepisach i o ustawie wiemy już od dłuższego czasu. Wiemy, że jesteśmy po rozdaniu KPO i ponad 3 miliardy złotych trafi do szpitali — powiedziała szefowa resortu Jolanta Sobierańska-Grenda.
Jednak czy te środki wystarczą na pokrycie wszystkich potrzeb związanych z cyberbezpieczeństwem? Wiele wskazuje na to, że nie.
Polska bardziej restrykcyjna niż UE?
Eksperci wskazują, że Polska wdraża unijną dyrektywę NIS2 w znacznie bardziej restrykcyjnej wersji niż inne państwa członkowskie. To oznacza, że polskie szpitale będą musiały spełnić wyższe standardy niż ich odpowiedniki w innych krajach UE.
Przyjęto inny model tego zabezpieczenia, takiego, który się opiera na tym, żeby wskazać kogoś konkretnego z państwa trzeciego i powiedzieć: No nie, no ty ty po prostu z uwagi na ryzyka geopolityczne, na ryzyka technologiczne, które twoje państwo w zasadzie stwarza, nie ty. To ty nie możesz dostarczać tutaj technologii — tłumaczy prof. Artur Nowak-Far ze Szkoły Głównej Handlowej.Tacy producenci trafią na listę „dostawców wysokiego ryzyka”, a szpitale będą musiały natychmiast lub w określonym czasie wymienić ich sprzęt.
W większości przypadków będzie miał pewien czas do wymiany. W niektórych przypadkach rzeczywiście to będzie musiało nastąpić natychmiast. — dodaje profesor.
Kiedy Ustawa Wejdzie w Życie?
Przyjęcie nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa planowane jest na IV kwartał 2025 roku. Warto przypomnieć, że termin wdrożenia unijnej dyrektywy NIS2 minął już w październiku 2024 roku, więc Polska jest zobowiązana do szybkiego uregulowania przepisów.
Dwa rządy PiS nie potrafiły tego zrobić przez 5 lat, nam się udało w niecałe dwa – mówi wicepremier, minister cyfryzacji Krzysztof Gawkowski o ustawie o Krajowym Systemie Cyberbezpieczeństwa (KSC), która przeszła przez rząd i trafiła do Sejmu. Ma ona wzmocnić polską "cybertarczę" w obliczu nawet 60 tys. ataków miesięcznie. Polska przeznaczy na ten cel rekordowe 4 mld zł.Minister cyfryzacji Krzysztof Gawkowski podkreśla, że przyjęcie ustawy to przełom. Czy jednak ten przełom nie okaże się zbyt kosztowny dla polskich szpitali? Jest to kluczowy dokument, dzięki której w Polsce nasza cybertarcza będzie jeszcze wyżej podniesiona – stwierdził w programie #NaPierwszejLinii. Szef resortu dodał, że jego gabinetowi udało się to, czego poprzednicy nie zrobili przez lata. - Jak przychodziłem do resortu mówiono, że też wam się nie uda – wspominał.
Cyberataki w Polsce: skala zagrożenia
Skala zagrożenia jest ogromna. Jak mówi minister, "czołgi cyfrowe w tej wojnie hybrydowej już stoją na naszych ulicach". Dane przytoczone przez szefa MC są alarmujące. W ciągu miesiąca dochodzi do ok. 50-60 tys. cyberataków, a w skali całego ubiegłego roku było ich ok. 600 tys. Mimo to, jak zaznacza wicepremier Krzysztof Gawkowski, Polska jest w czołówce. "Jesteśmy w TOP5 najlepiej zabezpieczonych państw na świecie. Odpieramy prawie 99 proc. ataków" – podkreślił minister. W 2025 roku Polska wyda rekordowe ponad 4 miliardy złotych na cyberbezpieczeństwo, co ma wzmocnić krajowy system.
Głównym celem nowelizacji jest wdrożenie unijnej dyrektywy NIS 2 oraz zaleceń Toolbox 5G, co ma dostosować polskie prawo do dynamicznie zmieniającego się krajobrazu cyberzagrożeń. Nowe przepisy rezygnują z podziału na operatorów usług kluczowych i dostawców usług cyfrowych na rzecz dwóch nowych kategorii: "podmiotów kluczowych" i "podmiotów ważnych".
Projekt nowelizacji ustawy o KSC wprowadza dla podmiotów kluczowych i ważnych bardziej surowe wymagania dotyczące zarządzania ryzykiem oraz obowiązek zgłaszania incydentów cybernetycznych. Każdy z takich podmiotów będzie musiał wyznaczyć kierownika odpowiedzialnego za cyberbezpieczeństwo, któremu za ewentualne zaniedbania będą grozić kary finansowe. Nowela usprawnia także system zgłaszania incydentów, które będą trafiać przez specjalny system teleinformatyczny do odpowiednich zespołów CSIRT – zarówno sektorowych, jak i krajowych.
Kogo obejmą nowe przepisy?
Nowe prawo znacząco rozszerza listę sektorów objętych krajowym systemem cyberbezpieczeństwa. Dołączą do niej m.in. gospodarka ściekami, zarządzanie usługami ICT, sektor kosmiczny, usługi pocztowe, a także produkcja, zaopatrzenie i dystrybucja chemikaliów oraz żywności. To odpowiedź na rosnącą cyfryzację kluczowych gałęzi gospodarki. Jedną z najważniejszych nowości jest wprowadzenie pojęcia "dostawcy wysokiego ryzyka". Minister cyfryzacji otrzyma kompetencje do wskazania takiej firmy na podstawie kryteriów technicznych i nietechnicznych. Sprzęt i oprogramowanie od dostawcy uznanego za wysokiego ryzyka będzie musiał zostać wycofany z użytku w podmiotach kluczowych i ważnych. Ustawa daje na to konkretny czas: 7 lat dla podmiotów kluczowych oraz 4 lata dla operatorów telekomunikacyjnych. Aby wesprzeć firmy w realizacji nowych zadań, powstaną także sektorowe zespoły reagowania na incydenty (CSIRT).
Podcasty
Playlisty tematyczne
