Subskrybuj nas na Youtube
Zapisz się na newsletter
Nowe regulacje mają dostosować polskie prawo do wymogów unijnej dyrektywy NIS2. Jak przypominają autorzy raportu, projekt ustawy o KSC wprowadza szeroki katalog obowiązków, które obejmą między innymi wszystkie publiczne szpitale zatrudniające powyżej 50 osób. Nowe przepisy wymuszą m.in. wdrożenie systemu zarządzania ryzykiem, regularne audyty cyberbezpieczeństwa, raportowanie incydentów i – co najbardziej kosztowne – wycofanie z użytku sprzętu i oprogramowania pochodzącego od tzw. dostawców wysokiego ryzyka (DWR), czyli firm spoza UE i NATO, których działalność może budzić wątpliwości w kontekście bezpieczeństwa państwa.
Nieplanowane miliardowe wydatki
W przeprowadzonej akcji ankietowej, która była podstawą raportu, wzięło udział 421 szpitali publicznych, co stanowi około 52 proc. wszystkich podmiotów leczniczych tego typu w Polsce. Patronat nad raportem objęli: Polskie Towarzystwo Koordynowanej Ochrony Zdrowia, Ogólnopolska Izba Producentów Medycznych POLMED, Fundacja AI LAW TECH, Federacja Przedsiębiorców Polskich oraz Izba Gospodarcza „Farmacja Polska”.
Raport podsumowuje, że decyzja o uznaniu producenta za dostawcę wysokiego ryzyka może oznaczać dla pojedynczego szpitala konieczność inwestycji rzędu 4,6 mln zł netto w ciągu pięciu lat. W skali kraju to około 3,7 mld zł. Jak podkreślają autorzy analizy, tej kwoty nie ujęto w budżecie państwa ani w Ocenie Skutków Regulacji. Wszystkie te koszty będą musiały zostać pokryte z bieżących środków szpitali i ich organów tworzących.
– Koszty dla całego podsektora podmiotów leczniczych będą zdecydowanie wyższe, ze względu na konieczność dokonania wydatków przez szpitale prywatne, które nie brały udziały w badaniu – podkreślili autorzy analizy.
Raport alarmuje, że aż 78 proc. dyrektorów i osób odpowiedzialnych za zarządzanie przyznało, iż nie zna konsekwencji wejścia w życie nowelizacji. Co więcej, tylko 31 proc. szpitali przeprowadza regularne analizy ryzyk cyberbezpieczeństwa, a zaledwie 24 proc. deklaruje, że ich systemy IT są już zgodne z nowymi wymogami.
– To oznacza, że zdecydowana większość placówek dopiero będzie musiała rozpocząć kosztowny i czasochłonny proces dostosowawczy – od inwentaryzacji sprzętu i oprogramowania, przez planowanie migracji, aż po wdrażanie nowych procedur i szkolenie personelu – konkludują autorzy raportu.
W raporcie przedstawiono też szczegółowe wyliczenia. Wymiana sprzętu teleinformatycznego, urządzeń medycznych i serwerów to średnio 639 tys. zł na szpital, a koszty serwisu i wsparcia technicznego nowych urządzeń – kolejne setki tysięcy złotych. Do tego dochodzi wymiana oprogramowania, konfiguracja nowych systemów i migracja danych, wyceniona średnio na 550 tys. zł, oraz dodatkowe wydatki na serwis i utrzymanie. Raport zwraca uwagę, że są to wyłącznie koszty wymiany sprzętu i oprogramowania oraz usług wsparcia. Nie uwzględniają one innych obowiązków wynikających z ustawy, takich jak systematyczne audyty, raportowanie incydentów czy tworzenie nowych procedur zarządzania ryzykiem, które również będą wymagały zasobów finansowych i kadrowych.
Zagrożona ciągłość działania szpitali
Raport, że proponowany kształt przepisów może oznaczaćpotencjalne zagrożenie dla ciągłości działania szpitali. Aż 45 proc. placówek może napotkać trudności w utrzymaniu płynności realizacji świadczeń medycznych, gdyby nagle musiały wycofać znaczną część używanych urządzeń. Dla niewielkiej grupy – około 2 proc. szpitali – takie decyzje mogłyby oznaczać czasowe wstrzymanie działalności z powodu braku funkcjonalnych zamienników.
W badaniu zadano szczegółowe pytanie: ile w zasobach Pani/Pana szpitala znajduje się sprzętu teleinformatycznego, urządzeń elektronicznych, maszyn (komputery, serwery, routery, switche, drukarki, skanery, monitory, kamery, rezonans magnetyczny, tomograf komputerowy, RTG, USG, kardiomonitory, ciśnieniomierze, pompy infuzyjne, wyposażenie OIT itp.) od producentów pochodzących spoza państw Unii Europejskiej i NATO? 45 proc. odpowiedzi brzmiało: od 10 do 30 proc., 43 proc. – od 30 do 50 proc., 10 proc. – do 10 proc., 2 proc. pytanych oceniło ten udział na od 50 do 70 proc.
Raport wskazuje, że szczególnie skomplikowana jest sytuacja w zakresie oprogramowania. Ponad połowa szpitali uważa, że nie istnieje realna możliwość zastąpienia wykorzystywanych obecnie systemów alternatywami z UE i NATO.
– Choć w większości przypadków udział takiego oprogramowania nie przekracza 30 proc. zasobów IT, to i tak każda migracja wiąże się z ryzykiem utraty danych, przerwami w działaniu i koniecznością ponownego szkolenia personelu – czytamy.
Dodatkowe wyzwania z koordynowaną opieką zdrowotną
Raport nie ogranicza się do kwestii cyberbezpieczeństwa. Autorzy przeanalizowali także poziom wdrożenia koordynowanej opieki zdrowotnej (KOZ) w szpitalach. Okazało się, że tylko 3 proc. placówek w pełni realizuje KOZ, a większość jest dopiero w fazie wdrażania. Szpitale jako główne bariery wskazują brak przeszkolonego personelu i niewystarczające finansowanie.
– W połączeniu z koniecznością spełnienia nowych wymogów KSC może to oznaczać, że w najbliższych latach szpitale będą musiały jednocześnie modernizować swoje systemy IT, budować kompetencje zespołów i rozwijać model opieki koordynowanej – co stawia je w bardzo trudnej sytuacji organizacyjnej – zaznaczają autorzy raportu PTKOZ.
Jak podkreślono w raporcie, KOZ to obszar, który w ostatnich latach zyskuje na znaczeniu jako priorytet polityki zdrowotnej, a jednocześnie staje się coraz bardziej zależny od nowoczesnych technologii informatycznych. Wdrażanie koordynowanej opieki zdrowotnej wymaga bowiem integracji systemów IT, bezpiecznej wymiany danych medycznych oraz dostępu do stabilnych narzędzi cyfrowych wspierających procesy kliniczne i administracyjne.
Co warto zrobić wokół KSC
Autorzy raportu podkreślają, że kwestia dostawców wysokiego ryzyka to obszar – nie jedyny – w którym polskie regulacje zostały rozbudowane w porównaniu z unijną dyrektywą NIS2. Projekt ustawy określa ich jako dostawców technologii, usług ICT, sprzętu lub oprogramowania, których działalność, pochodzenie kapitału, powiązania z krajami spoza UE i NATO czy historia zgodności z międzynarodowymi standardami bezpieczeństwa mogą stwarzać zagrożenie dla bezpieczeństwa narodowego lub integralności systemów informatycznych. Zaliczenie dostawcy do tej kategorii ma opierać się na ocenie ryzyka, dokonywanej przez ministra cyfryzacji oraz opinii kolegium do spraw cyberbezpieczeństwa. Kryteria obejmują aspekty techniczne (m.in. historia incydentów bezpieczeństwa czy zidentyfikowanych podatności) i nietechniczne (zagrożenia ekonomiczne, wywiadowcze, terrorystyczne, wpływ państw spoza UE i NATO, ochrona danych osobowych oraz powiązania z podmiotami objętymi sankcjami międzynarodowymi). Po zaliczeniu dostawcy do grona DWR, tzw. podmioty kluczowe i ważne muszą zaprzestać użytkowania dostarczanych przez niego określonych w decyzji produktów, usług i procesów ICT w ciągu 4 lat (duzi operatorzy telekomunikacyjni) lub 7 lat (pozostałe podmioty).
– To z kolei będzie prowadzić do poniesienia przez podmioty znacznych nakładów finansowych na zakup nowych produktów i usług oraz ich wdrożenie w swojej organizacji – wyjaśniają autorzy raportu.
Eksperci wskazują, że niezbędne jest szybkie uruchomienie ogólnopolskiego programu przygotowującego szpitale do wdrożenia nowych wymogów. Potrzebne są szkolenia dla kadry zarządzającej i zespołów IT, wsparcie w planowaniu i realizacji migracji technologicznych oraz przede wszystkim – adresowane finansowanie, które zapobiegnie przerzuceniu kosztów na pacjentów poprzez ograniczenie dostępności świadczeń.
– Wdrażanie nowoczesnych standardów cyberbezpieczeństwa to krok w stronę bezpieczniejszej i bardziej odpornej na zagrożenia ochrony zdrowia. Jednak bez odpowiedniego przygotowania i środków finansowych może stać się kolejnym czynnikiem destabilizującym system. Najbliższe miesiące będą kluczowe dla wypracowania kompromisu między bezpieczeństwem a realiami organizacyjnymi i budżetowymi polskich szpitali – podsumowują autorzy raportu.
Materiał partnerski z serwisu Cyfrowa Gospodarka
partner merytoryczny
/>
