Ustawa o Krajowym Systemie Cyberbezpieczeństwa. Szpitale mają czas do końca roku
Nowa ustawa o Krajowym Systemie Cyberbezpieczeństwa ma na celu wzmocnienie ochrony danych w instytucjach publicznych i prywatnych, w tym w placówkach medycznych. To implementacja unijnej dyrektywy NIS2, która zobowiązuje państwa członkowskie do podniesienia poziomu bezpieczeństwa cyfrowego i lepszej ochrony przed cyberatakami.
Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa ma zostać przyjęta w czwartym kwartale 2025 roku. Polska musi przyspieszyć prace legislacyjne, ponieważ termin wdrożenia unijnej dyrektywy NIS2 minął już w październiku 2024 roku, a kraj jest zobowiązany do jak najszybszego dostosowania przepisów do wymogów Unii Europejskiej.
Zgodnie z projektem, szpitale będą musiały wdrożyć nowe procedury, systemy informatyczne oraz regularne audyty bezpieczeństwa. Oznacza to konieczność zakupu nowego sprzętu, oprogramowania i przeszkolenia personelu. Według szacunków, dostosowanie się do wymogów ustawy może kosztować polskie szpitale nawet 3,7 mld złotych, co budzi obawy o dodatkowe obciążenie i tak już napiętych budżetów służby zdrowia.
45 proc. placówek może mieć problem z wprowadzeniem przepisów. "Szpitale nie mają pieniędzy"
Z raportu Polskiego Towarzystwa Koordynowanej Ochrony Zdrowia wynika, że aż 45 proc. szpitali może mieć trudności z utrzymaniem ciągłości działania po wejściu w życie nowych przepisów, jeśli konieczna okaże się wymiana urządzeń pochodzących spoza krajów UE i NATO.
"Szpitale nie mają pieniędzy, więc ciężko z tym. Nasza jednostka stara się dopinać wszystko z projektów unijnych. Z KPO udało nam się uzyskać dofinansowanie. Będą też projekty regionalne, z których będziemy uzupełniać brakujące oprogramowanie. Na pewno zakup właśnie tych dodatkowych systemów, no to już jest koszt jednorazowo od 100 do 200 000. Później oczywiście licencje roczne" - mówi Paweł Zera, szef IT w Szpitalu Miejskim w Rudzie Śląskiej w rozmowie z Radiem Eska.
Dyrektor Wojewódzkiego Szpitala Specjalistycznego nr 4 w Bytomiu, Mariusz Kokosza, przyznaje, że wiele placówek już teraz zmaga się z problemem finansowania. Jak mówi, szpitale "szukają pieniędzy, których nie mają", starając się o wsparcie z różnych źródeł, w tym z Krajowego Planu Odbudowy, gdzie uwzględniono inwestycje związane z podniesieniem poziomu cyberbezpieczeństwa.
Eksperci zwracają uwagę, że Polska wprowadza unijną dyrektywę NIS2 w bardziej rygorystycznej formie niż większość krajów członkowskich. Prof. Artur Nowak-Far ze Szkoły Głównej Handlowej tłumaczy, że polskie przepisy przewidują możliwość tworzenia listy tzw. dostawców wysokiego ryzyka, czyli firm z państw trzecich, których technologie uznane zostaną za potencjalnie niebezpieczne. W takich przypadkach szpitale będą zobowiązane do wymiany sprzętu natychmiast lub w określonym czasie, w zależności od rodzaju urządzeń.
Z kolei Ministerstwo Zdrowia podkreśla, że szpitale miały czas na przygotowanie się do zmian. Szefowa resortu, Jolanta Sobierańska-Grenda, zaznacza, że o przepisach wiadomo od dawna, a w ramach KPO do placówek ma trafić ponad 3 miliardy złotych na inwestycje związane z bezpieczeństwem systemów informatycznych.
