Wyniki są alarmujące: koszt dostosowania się do nowych przepisów w samym sektorze publicznym może sięgnąć nawet 3,7 mld zł netto w perspektywie pięciu lat, a cały ciężar finansowy zostanie przerzucony na placówki — bez przewidzianych środków kompensacyjnych ze strony państwa.
Ambitna implementacja czy nadregulacja?
Projekt nowelizacji ma na celu implementację unijnej dyrektywy NIS2, a jednocześnie znacznie wykracza poza jej ramy. Polska jako jedyny kraj UE wdraża w jednym akcie różne rozwiązania, m.in. tzw. 5G Toolbox, przy okazji rozszerzając wymagania dla tzw. dostawców wysokiego ryzyka (DWR) na wszystkie 18 sektorów infrastruktury krytycznej, a nie wyłącznie na sieci 5G. W praktyce oznacza to, że nowe przepisy obejmą blisko 38 tys. podmiotów średnich i dużych, w tym szpitale zatrudniające co najmniej 50 osób.
Z perspektywy szpitali kluczowym elementem projektu jest obowiązek całkowitej wymiany sprzętu i oprogramowania pochodzącego od DWR. Za takich uznawani mają być producenci technologii, usług ICT lub oprogramowania, których działalność, struktura kapitałowa czy powiązania z krajami spoza UE i NATO mogą stanowić zagrożenie dla bezpieczeństwa narodowego lub integralności systemów informatycznych. Placówki będą miały siedem lat na wycofanie produktów tych firm, przy czym lista zakazanych dostawców będzie mogła być aktualizowana decyzją ministra cyfryzacji po zasięgnięciu opinii kolegium ds. cyberbezpieczeństwa.
Kosztowna rewolucja dla szpitali
Analiza Polskiego Towarzystwa Koordynowanej Ochrony Zdrowia (PTKOZ) obejmująca 421 szpitali publicznych, czyli ponad połowę wszystkich tego typu placówek w kraju, wskazuje, że średni koszt dostosowania się do nowych wymogów wyniesie ok. 4,64 mln zł netto na jeden szpital w perspektywie pięciu lat. W kwocie tej mieszczą się wydatki na zakup i wdrożenie nowego sprzętu, utylizację starego, migrację danych oraz serwis i wsparcie techniczne. Łącznie daje to około 3,7 mld zł netto dla całego sektora. Faktyczny koszt będzie jednak wyższy, ponieważ wyliczenia nie obejmują szpitali prywatnych, które również będą zobowiązane do wdrożenia zmian.
Największym obciążeniem finansowym będzie wymiana sprzętu teleinformatycznego (średnio 3,63 mln zł na jeden szpital w ciągu pięciu lat) oraz systemów i oprogramowania (ok. 1 mln zł na jednostkę). Placówki muszą się też przygotować na wyraźny wzrost wydatków na serwis i wsparcie techniczne, które w wielu przypadkach mogą wzrosnąć o kilkaset tysięcy złotych rocznie w porównaniu z obecnym poziomem.
Jak podkreśla PTKOZ, żadne z powyższych kosztów nie zostały uwzględnione w Ocenie Skutków Regulacji (OSR) przygotowanej przez projektodawcę. Oznacza to, że szpitale będą zmuszone sfinansować modernizację infrastruktury z własnych kieszeni, bez wsparcia zewnętrznego. Tymczasem wiele z nich już dziś zmaga się z rosnącymi kosztami energii, wynagrodzeń i leków, co sprawia, że realizacja nowych obowiązków może okazać się dla części placówek finansowo niemożliwa.
Cyberbezpieczeństwo w teorii, dezorganizacja w praktyce
To jednak nie jedyne zagrożenie, na jakie wskazuje raport. Aż 78 proc. dyrektorów szpitali przyznaje, że nie zna finansowych ani organizacyjnych konsekwencji wdrożenia nowelizacji KSC. Problemem jest więc nie tylko brak środków, ale także głęboki chaos informacyjny i zarządczy. Skalę ryzyka potęguje fakt, że 43 proc. placówek korzysta w 30–50 proc. z infrastruktury pochodzącej od dostawców spoza UE i NATO, a 57 proc. Deklaruje brak realnych możliwości jej wymiany na rozwiązania produkowane w krajach członkowskich. Oznacza to konieczność skomplikowanej, kosztownej migracji systemów, a w konsekwencji — ryzyko zakłóceń w ciągłości świadczeń i funkcjonowaniu całych placówek.
Dodatkowy obszar ryzyka
Nowelizacja KSC w szczególny sposób uderza w szpitale, które dopiero wdrażają model koordynowanej opieki zdrowotnej (KOZ) — wymagający zintegrowanych systemów informatycznych i bezpiecznego zarządzania danymi. Z raportu wynika, że jedynie 3 proc. placówek w pełni realizuje KOZ w ramach umowy z NFZ, 63 proc. znajduje się w fazie wdrożenia, a aż 34 proc. nie rozpoczęło jeszcze żadnych działań. Oznacza to, że proces ten jest mocno opóźniony i wymaga większego wsparcia organizacyjnego i finansowego niż obecnie. Jednocześnie tylko 24 proc. szpitali posiada systemy IT spełniające wymogi cyberbezpieczeństwa zawarte w projekcie ustawy, a jedynie 31 proc. regularnie analizuje ryzyka związane z bezpieczeństwem danych. W efekcie większość placówek wdraża rozwiązania technologiczne bez pełnej oceny zagrożeń, co rodzi poważne ryzyko dla ochrony danych pacjentów i ciągłości świadczeń.
Z badania wynika, że dla większości szpitali kluczową barierą we wdrażaniu KOZ pozostaje brak odpowiednich kompetencji. Aż 56 proc. placówek wskazuje na potrzebę szkoleń dla personelu, a 27 proc. na konieczność dodatkowego dofinansowania. Wyzwanie ma więc charakter wielowymiarowy: dotyczy zarówno kompetencji, jak i technologii oraz finansów, które razem decydują o skuteczności wdrażania modelu opieki koordynowanej.
Branża apeluje o dialog i pomoc
PTKOZ zwraca uwagę, że problem nie ogranicza się do kosztów wdrożenia, ale ma charakter systemowy. Autorzy raportu podkreślają, że projekt nowelizacji KSC powstał bez rzetelnych analiz i szacunków finansowych dotyczących skutków dla szpitali. Nie uwzględniono przy tym rzeczywistych uwarunkowań technologicznych, w tym dostępności i jakości rozwiązań alternatywnych wobec produktów uznanych za pochodzące od dostawców wysokiego ryzyka. Cała odpowiedzialność — zarówno finansowa, jak i organizacyjna — została przerzucona na placówki, mimo braku jakichkolwiek mechanizmów pomocowych czy funduszy wsparcia. Brak jasnych wytycznych i procedur dostosowawczych może doprowadzić do poważnych zakłóceń w działalności operacyjnej szpitali. Zdaniem PTKOZ bez otwartego dialogu między rządem a środowiskiem medycznym i wypracowania realnych form wsparcia finansowego wejście w życie nowych regulacji może mieć katastrofalne skutki — zarówno dla szpitali, jak i dla pacjentów.
Bezpieczeństwo zdrowotne kosztem cyfrowego?
Raport PTKOZ jasno pokazuje, że planowana nowelizacja KSC, choć motywowana potrzebą wzmocnienia cyberbezpieczeństwa, może w obecnym kształcie uderzyć w samo serce systemu ochrony zdrowia. Szpitale publiczne staną przed ogromnym wysiłkiem finansowym i organizacyjnym, który grozi dezorganizacją pracy, a w konsekwencji — obniżeniem jakości i ciągłości leczenia. Bezpieczeństwo cyfrowe nie może być jednak budowane kosztem bezpieczeństwa zdrowotnego. Bez rzetelnych analiz, realnego wsparcia finansowego i jasno określonych wytycznych polska służba zdrowia może stanąć wobec kryzysu, którego skutki odczują wszyscy, a przede wszystkim pacjenci.