Polskie szpitala podobno boją się kosztów wdrożenia ustawy o Krajowym Systemie Cyberbezpieczeństwa

Polskie Towarzystwo Koordynowanej Ochrony Zdrowia opublikowało raport dotyczący skutków finansowych dla szpitali publicznych wynikających z projektu nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa.

Koszt dostosowania do nowych przepisów może wynieść nawet 3,7 miliarda złotych netto w skali całego sektora w ciągu pięciu lat.

Raport, przygotowany na podstawie ankiety przeprowadzonej wśród ponad 400 szpitali - obejmujących ponad połowę wszystkich publicznych placówek w kraju - jest opracowaniem na temat realnych kosztów, z jakimi przyjdzie się zmierzyć polskiej ochronie zdrowia w związku z implementacją dyrektywy NIS2 i przepisów dotyczących dostawców wysokiego ryzyka (DWR).

78% dyrektorów szpitali przyznało, że nie zna konsekwencji wejścia w życie nowelizacji ustawy KSC. „To pokazuje, jak poważnym wyzwaniem będzie nie tylko finansowe, ale także organizacyjne przygotowanie się do nowych wymogów” - podkreśla PTKOZ.

31% szpitali deklaruje regularne prowadzenie analizy ryzyka w zakresie cyberbezpieczeństwa, a jedynie 24% systemów IT wspierających opiekę koordynowaną jest obecnie zgodnych z projektowanymi wymogami.

Analiza kosztów objęła dwa kluczowe obszary: wymianę sprzętu i oprogramowania pochodzącego od DWR oraz wzrost kosztów serwisu i wsparcia technicznego.

• Średni koszt dla jednego szpitala: 4,64 mln zł w perspektywie 5 lat.
• Łączny koszt dla sektora: ok. 3,7 mld zł netto.

Największe pozycje w kosztorysie to wymiana sprzętu teleinformatycznego (średnio 3,63 mln zł na szpital) oraz oprogramowania (ok. 1,0 mln zł). Wszystkie te wydatki będą musiały zostać sfinansowane ze środków własnych szpitali i ich organów tworzących - projektodawca nie przewidział żadnych dodatkowych funduszy celowych na ten cel.

Choć tylko 2% szpitali posiada ponad połowę sprzętu spoza UE i NATO, aż 43% placówek wskazuje, że od 30 do 50% ich infrastruktury pochodzi od takich dostawców. W przypadku wydania decyzji administracyjnych nakazujących wymianę sprzętu w pełnym zakresie, może to doprowadzić do czasowych zakłóceń w realizacji świadczeń medycznych.

Sytuacja jest jeszcze bardziej złożona w przypadku oprogramowania - 57% szpitali twierdzi, że nie widzi realnej możliwości zastąpienia obecnych systemów alternatywami produkowanymi w UE lub NATO, co może oznaczać konieczność kosztownych i skomplikowanych migracji danych.

Autorzy raportu zwracają uwagę, że brak uwzględnienia w Ocenie Skutków Regulacji kosztów wycofania sprzętu i oprogramowania oznacza przerzucenie ich w całości na szpitale, które już teraz mierzą się z rosnącymi kosztami energii, wynagrodzeń i leków.