Autor : Marcin Powęska
2026-05-11 14:00
Polski system ochrony zdrowia stoi przed jedną z największych cyfrowych zmian ostatnich lat. Nowe przepisy dotyczące cyberbezpieczeństwa obejmą dziesiątki tysięcy podmiotów, także szpitale i placówki medyczne, które będą musiały wdrożyć nowe procedury ochrony danych i infrastruktury IT. Eksperci ostrzegają jednak, że wiele z nich może nie być gotowych na tempo nadchodzących zmian.
Polski system ochrony zdrowia stoi przed jedną z największych cyfrowych zmian ostatnich lat. Nowe przepisy dotyczące cyberbezpieczeństwa obejmą dziesiątki tysięcy podmiotów, także szpitale i placówki medyczne, które będą musiały wdrożyć nowe procedury ochrony danych i infrastruktury IT. Eksperci ostrzegają jednak, że wiele z nich może nie być gotowych na tempo nadchodzących zmian.
Komentarz opublikowany przez Forum Ekspertów Ad Rem wskazuje, że Polska wchodzi obecnie w decydującą fazę cyfrowej transformacji państwa. Równolegle trwają prace nad wdrożeniem przepisów dotyczących sztucznej inteligencji, centralizacją infrastruktury IT administracji publicznej oraz rozwojem europejskiego portfela tożsamości cyfrowej w aplikacji mObywatel.
Jednym z najważniejszych elementów tej układanki pozostaje nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), wdrażająca unijną dyrektywę NIS2. Nowe regulacje obejmą około 40 tys. podmiotów, z których wiele wcześniej nie podlegało podobnym wymogom compliance.
Szczególnie trudna sytuacja dotyczy sektora ochrony zdrowia. Szpitale od lat znajdują się w grupie najbardziej narażonych instytucji, jeśli chodzi o cyberataki. Problemem pozostają nie tylko ograniczone budżety, ale też niedobór specjalistów IT i rozproszona infrastruktura informatyczna.
W komentarzu podkreślono, że nowe przepisy przewidują zaledwie 12 miesięcy na dostosowanie się do wymogów. Tymczasem wiele placówek nadal nie dysponuje odpowiednimi kompetencjami i zasobami do wdrożenia zaawansowanych procedur cyberbezpieczeństwa.
- Ustawa o Krajowym Systemie Cyberbezpieczeństwa wprowadza obowiązki compliance dla ok. 40 tys. podmiotów, z 12-miesięcznym okresem dostosowawczym. Ministerstwo Cyfryzacji otwarcie charakteryzuje ten proces jako "naprawianie samolotu w locie" - co jest metaforą trafną, lecz niepokojącą. Szacowana konieczność interwencji w ok. 400 tys. incydentów w nadchodzących latach wymaga budowy nowych zespołów CSIRT, a wsparcie dla MŚP realizowane jest poprzez webinaria, podręczniki i konsultacje eksperckie. Z doświadczenia pracy z ponad 250 szpitalami w ramach Polskiej Federacji Szpitali i Koalicji CyberC4HE mogę potwierdzić, że skala wyzwania jest ogromna. Większość podmiotów ochrony zdrowia nie dysponuje ani kompetencjami, ani budżetami na wdrożenie wymagań NIS2/KSC w wyznaczonym terminie. Model regionalnych SOC (Security Operations Center) - współdzielonych przez grupy szpitali - pozostaje jednym z niewielu realistycznych podejść do osiągnięcia minimalnego poziomu bezpieczeństwa w sektorze, który jeszcze 5 lat temu w większości nie posiadał nawet podstawowej polityki cyberbezpieczeństwa - wskazuje Michał Dybowski, prezes Healthcare Poland Foundation i dyrektor Departamentu Bezpieczeństwa i Zrównoważonego Rozwoju Polskiej Federacji Szpitali.
Autorzy komentarza zwracają uwagę, że równolegle trwa centralizacja infrastruktury IT administracji publicznej. Rządowa chmura obliczeniowa obsługuje już 20 ministerstw, a Narodowe Centrum Przetwarzania Danych zabezpiecza systemy wykorzystywane przez kluczowe instytucje państwowe, w tym MSWiA, MON i służby specjalne. W każdym resorcie mają działać także pełnomocnicy IT odpowiedzialni za interoperacyjność systemów i ograniczanie dublowania wydatków. Trwają również prace nad przepisami określającymi, które systemy powinny działać w chmurze rządowej, a które w publicznej lub prywatnej infrastrukturze cloud computingowej.
Komentarz odnosi się również do przygotowywanej ustawy wdrażającej unijny AI Act (Rozporządzenie UE 2024/1689). Jednym z kluczowych elementów mają być tzw. piaskownice regulacyjne, które pozwolą firmom testować rozwiązania oparte na sztucznej inteligencji pod nadzorem regulatora.
Zdaniem autorów, sektor zdrowia będzie jednym z obszarów najmocniej dotkniętych tymi zmianami. Coraz więcej procesów medycznych opiera się bowiem na danych cyfrowych, systemach chmurowych i algorytmach AI, co zwiększa zarówno możliwości rozwoju e-zdrowia, jak i ryzyko związane z cyberatakami oraz z bezpieczeństwem danych pacjentów.
Czytaj także:
Resort zdrowia porządkuje finanse. Szpitale czeka trudna reforma?
Pacjenci czekają, system się zapętla. Politycy o zmianach