Jak wskazuje opracowana przez Ministerstwo Cyfryzacji Ocena Skutków Regulacji (OSR) – nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa będzie miała wpływ na 1248 podmiotów branży farmaceutycznej, która jest elementem sektora ochrony zdrowia. Liczba podmiotów farmaceutycznych wynosi około 450 (estymacja według danych Polskiego Towarzystwa Koordynowanej Ochrony Zdrowia).
Projektodawca przyznaje, że wejście przepisów spowoduje wzrost kosztów, które podmioty będą musiały ponieść na wdrożenie systemu zarządzania cyberbezpieczeństwem. Konieczne będzie przeprowadzenie m.in. inwentaryzacji infrastruktury, przegląd procesów i procedur, szkolenia, koszty audytów bezpieczeństwa, zatrudnienia specjalistów ds. cyberbezpieczeństwa czy ewentualnego konsultingu. W grę wchodzi zatem również czas niezbędny do zbudowania tego systemu.
Analiza dowodzi ryzyka
Próbę analizy wpływu projektu nowelizacji ustawy o KSC na podmioty branży farmaceutycznej, podjęło Polskie Towarzystwo Koordynowanej Ochrony Zdrowia (PTKOZ), publikując w kwietniu 2025 r. raport „Wpływ projektu nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa na przedsiębiorców z branży farmaceutycznej”. Pokazuje on, że skutki nowelizacji mogą być znacznie bardziej kosztowne i dotkliwe niż zakładał ustawodawca.
Badanie, stanowiące podstawę raportu, objęło 151 podmiotów, w tym apteki oraz sieci aptek, hurtownie farmaceutyczne, importerów leków, importerów oraz producentów substancji czynnych, wyrobów medycznych i produktów leczniczych, spełniających kryteria co najmniej średniego przedsiębiorcy. W skład sektora ochrony zdrowia wchodzą też szpitale, które nie zostały objęte badaniem.
Raport skupia się na oszacowaniu kosztów, które będą ponosić przedsiębiorcy w związku z ewentualnymi decyzjami ministra ds. informatyzacji w kwestii uznania producentów sprzętu i oprogramowania za dostawców wysokiego ryzyka, co w konsekwencji będzie prowadziło do konieczności wycofania ich produktów z firm i zastąpienia ich nowymi.
Po wyliczeniu średniej ważonej całościowe koszty związane z koniecznością wymiany oprogramowania u jednego przedsiębiorcy można oszacować na poziomie 222 150 zł netto w pierwszym roku, natomiast w ciągu 5 lat kwota ta może wynosić 703 750 zł netto. Natomiast analizy kosztów związanych z koniecznością wymiany produktów i usług pochodzących od DWR, w przypadku wydania decyzji administracyjnej w pełnym zakresie, wynika, że łączna kwota dla jednego przedsiębiorcy w pięcioletnim okresie może wynieść 1 520 450 zł netto.
– Ocena skutków regulacji nie uwzględniła pełnej wyceny, a na podstawie badanej próbki widać, że firmy farmaceutyczne i apteki po raz kolejny będą musiały dopłacić – komentuje Urszula Szybowicz, wiceprezes zarządu Polskiego Towarzystwa Koordynowanej Ochrony Zdrowia, ekspert zdrowia publicznego.
Badanie objęło również ocenę poziomu świadomości podmiotów działających w branży co do wpływu, jaki będą mieć przepisy nowelizacji ustawy KSC. Spośród 151 odpowiedzi na pytanie: czy znane są̨ Pani/Panu konsekwencje dla przedsiębiorców wprowadzenia ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa przedstawionego przez Ministerstwo Cyfryzacji, w 92 przypadkach ankietowani wskazali odpowiedź „nie”. Stanowi to 61 proc. wszystkich odpowiedzi i prowadzi do wniosku, że przedsiębiorcy z tego sektora mają niski poziom wiedzy na temat konsekwencji wejścia przepisów na prowadzenie działalności – zarówno w wymiarze organizacyjnym, jak i finansowym. Natomiast wśród ankietowanych zajmujących się wytwarzaniem produktów leczniczych oraz prowadzących hurtownie farmaceutyczne odsetek odpowiedzi negatywnych, czyli na 73 ankiety w tych dwóch grupach padło aż 60 odpowiedzi „nie”, co stanowi 82 proc.
Co w zamian?
W przypadku konieczności wymiany sprzętu 92 z 151 ankietowanych stwierdziło, że inna opcja nie istnieje. Stanowi to 61 proc. wszystkich odpowiedzi. Natomiast w grupie producentów i hurtowni farmaceutycznych brak możliwości wymiany sprzętu deklaruje już 81 proc. ankietowanych. Tu pojawia się jeden z najbardziej alarmujących wniosków raportu – brak realnej alternatywy dla sprzętu i oprogramowania pochodzącego od dostawców spoza Unii Europejskiej i NATO.
Istotne było też pytanie ankietowe pozwalające ocenić skalę problemu w podmiotach branży farmaceutycznej – ile w zasobach Pani/Pana firmy znajduje się sprzętu teleinformatycznego, urządzeń elektronicznych, maszyn (komputery, serwery, routery, switche, drukarki, skanery, monitory, kamery, roboty przemysłowe, tabletkarki, reaktory chemiczne, bioreaktory, mieszalniki, kapsułkarki, systemy składowania i kompletacji itp.) od producentów pochodzących spoza państw Unii Europejskiej i NATO?
Z przedstawionych odpowiedzi wynika, że w praktyce 12 proc. firm może doświadczyć ryzyka zatrzymania produkcji i procesów biznesowych. Z kolei 36 proc. firm może mieć realny problem z utrzymaniem niezakłóconej ciągłości prowadzenia działalności gospodarczej, gdyż w tej grupie sprzęt spoza UE i NATO stanowi między 30 a 50 proc. zasobów.
Wnioski z raportu
Szacunkowa kwota wydatku na wymianę systemów dla jednego przedsiębiorcy może wynieść ponad 1,5 mln zł netto w pięcioletniej perspektywie. W tej kwocie zawarty jest szacunkowy koszt zakupu nowych produktów, koszt deinstalacji starych, instalacji nowych urządzeń, utylizacji zdemontowanego sprzętu oraz koszty pięcioletniej usługi serwisu i wsparcia technicznego. Szacując przybliżony skutek finansowy dla całego sektora obejmującego około 450, podmiotów, po przemnożeniu przez wartość finansową skutku dla jednego otrzymujemy kwotę około 675 mln zł netto w pięcioletniej perspektywie.
Choć konieczność podniesienia poziomu cyberbezpieczeństwa w kluczowych sektorach gospodarki nie budzi wątpliwości, sposób realizacji tych działań powinien być przedmiotem pogłębionej analizy i konsultacji. Autorzy raportu apelują o większy realizm legislacyjny i oparcie nowych regulacji na twardych danych, a nie ogólnych założeniach.
– Sprostanie tak wysokim kosztom w świetle coraz to nowych opłat nakładanych na branżę farmaceutyczną, jak ustawa ściekowa czy kaucyjna, ogranicza możliwość rozwoju i inwestowania branży, co zagraża bezpieczeństwu zdrowotnemu – tłumaczy Irena Rej, prezes zarządu Izby Gospodarczej FARMACJA POLSKA.
– Wszelkiego rodzaju innowacje można realizować tylko w drodze ewolucji, a nie rewolucji poprzez np. certyfikację oprogramowania obecnych urządzeń – dodaje.
Branża farmaceutyczna może stanąć przed poważnym dylematem: wdrożyć kosztowne zmiany, często niemożliwe do realizacji technicznie i organizacyjnie, lub narazić się na sankcje i ryzyko przerwania działalności.
– Raport podejmuje niezwykle ważny aspekt jakościowego stanowienia prawa, w tym rzetelnej oceny skutków regulacji. Firmy chętnie budują wartość gospodarczą i nie unikają niezbędnych inwestycji z zapewnienie bezpieczeństwa. Niemniej jeżeli celem instytucji publicznych jest jakościowe stanowienie prawa, warto zapoznać się z wynikami niniejszego raportu, który pokazuje, jak wiele podmiotów będzie musiało ponieść koszty niezbędnego dostosowania – podkreśla Wojciech Wiśniewski z Federacji Przedsiębiorców Polskich.
Branża pod presją
Ustawa o Krajowym Systemie Bezpieczeństwa (KSC) jest w Polsce kluczowym instrumentem prawnym w dziedzinie cyberbezpieczeństwa. Projekt jej nowelizacji implementuje do krajowego porządku prawnego dyrektywę NIS2, w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa cybernetycznego na terytorium Unii Europejskiej, w zakresie znacznie szerszym niż tego wymaga sama dyrektywa. Polska wdraża bowiem w jednym akcie rozwiązania dyrektywy NIS2 i 5G Toolbox, co rozszerza regulację o rozwiązania dotyczące dostawców wysokiego ryzyka (DWR) na 18 sektorów, a nie tylko sieci 5G.
Za dostawców wysokiego ryzyka (DWR) projekt ustawy uznaje dostawców technologii, usług ICT, sprzętu lub oprogramowania, których działalność, pochodzenie kapitału, powiązania z krajami spoza UE i NATO czy historia zgodności z międzynarodowymi standardami bezpieczeństwa mogą stwarzać zagrożenie dla bezpieczeństwa narodowego lub integralności systemów IT.
Problem polega więc na tym, że podmioty kluczowe i ważne (a do takich należą średnie i duże firmy farmaceutyczne) muszą przestać używać produktów dostarczonych przez dostawcę wysokiego ryzyka w ciągu od 4 do 7 lat. Ponieważ dotyczy to dostawców ICT, chodzi więc o komputery i hardware sieciowy, sieci, oprogramowanie, bazy danych itd. Za tym idzie wiele pytań, m.in. czym zastąpić posiadany przez firmy farmaceutyczne sprzęt i oprogramowanie i czy można liczyć na zamienniki z krajów UE i NATO? Z kolei wymiana całej infrastruktury informatycznej oznacza znaczne koszty związane z zakupem nowych produktów i usług.
– Samo miejsce wytworzenia sprzętu czy oprogramowania nie powinno być traktowane jako decydujące kryterium. Znacznie ważniejsze są mechanizmy kontroli, sterowania i dostępu do danych oraz to, kto faktycznie może te dane pozyskiwać i nimi zarządzać. W kontekście dynamicznej sytuacji geopolitycznej zasadne wydaje się opracowanie standardów certyfikacji, które regulowałyby dopuszczanie urządzeń i oprogramowania do użytku w sektorach kluczowych z punktu widzenia bezpieczeństwa państwa i obywateli – zauważa Ireneusz Wochlik, członek zarządu Fundacji AI LAW TECH.