Dynamiczny rozwój zagrożeń cyfrowych i coraz większe uzależnienie kluczowych sektorów gospodarki od nowoczesnych technologii zmuszają ustawodawcę do działania. Polska, wychodząc przed szereg, przygotowuje nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC), która ma wdrożyć wymagania wynikające z unijnej dyrektywy NIS2 oraz rekomendacji 5G Toolbox.
Choć cele zmian są szczytne – zwiększenie odporności systemów IT i zapewnienie ciągłości działania usług – wiele branż, a zwłaszcza sektor farmaceutyczny, alarmuje o ogromnych kosztach, chaosie regulacyjnym i potencjalnym ryzyku zakłócenia funkcjonowania całej infrastruktury zdrowotnej.
Nowe obowiązki dla podmiotów kluczowych i ważnych
Zgodnie z projektem nowelizacji, przedsiębiorstwa uznane za „podmioty kluczowe” lub „podmioty ważne” będą zobowiązane do wdrożenia systemów zarządzania bezpieczeństwem informacji w systemach informatycznych. Chodzi tu m.in. o analizę ryzyka, wdrożenie środków zabezpieczających, monitorowanie podatności i gotowość do reagowania na incydenty – niezależnie, czy są one skutkiem ataku zewnętrznego, błędu wewnętrznego czy awarii.
W praktyce – jak podkreślono w analizie Dziennika Gazety Prawnej – może to oznaczać konieczność reorganizacji procesów w firmach produkujących lub dystrybuujących leki. Ustawa nie wprowadza wprawdzie osobnych przepisów wyłącznie dla sektora farmaceutycznego, ale zgodnie z art. 2 ust. 2 lit. b dyrektywy NIS2, nawet niewielka firma może zostać uznana za podmiot kluczowy, jeśli świadczy usługę o strategicznym znaczeniu dla bezpieczeństwa publicznego.
Cyberbezpieczeństwo w farmacji – wyzwanie i koszt
Branża farmaceutyczna już dziś znajduje się na celowniku ustawodawców, mimo że dotychczas nie była głównym obszarem zainteresowania 5G Toolbox. Jak donosi Dziennik Gazeta Prawna, Polska jako jedyny kraj UE planuje objąć rozwiązaniami przewidzianymi dla infrastruktury telekomunikacyjnej również inne sektory – w tym farmację. W praktyce oznacza to konieczność wymiany sprzętu, usług i oprogramowania dostarczanego przez tzw. dostawców wysokiego ryzyka (DWR) – czyli firm spoza UE i NATO.
Z raportu Polskiego Towarzystwa Koordynowanej Ochrony Zdrowia (PTKOZ), przygotowanego na potrzeby oceny skutków regulacji, wynika, że koszty te mogą być ogromne. W samej branży farmaceutycznej nowelizacja ustawy KSC może kosztować nawet 675 mln zł netto w ciągu pięciu lat. Koszty dla pojedynczego przedsiębiorstwa mogą sięgnąć 1,5 mln zł – przy czym wydatek obejmuje zakup nowego sprzętu, jego wdrożenie, utylizację starego oraz wsparcie techniczne.
Brak alternatyw i ryzyko przerw w dostawach leków
Największe zagrożenie związane z przepisami nowelizacji to potencjalne zakłócenia w produkcji i dystrybucji leków. Aż 61 proc. ankietowanych firm z sektora farmaceutycznego zadeklarowało brak realnych alternatyw dla sprzętu od dostawców spoza UE i NATO. W przypadku producentów i hurtowni ten odsetek sięga aż 81 proc. – co oznacza, że dla wielu firm wymiana zasobów IT może być niewykonalna w praktyce.
Brak zamienników rodzi realne ryzyko przerwania działalności – w skrajnym przypadku zatrzymania produkcji leków lub przerwania ciągłości łańcuchów dostaw. Zdaniem cytowanego przez Dziennik Gazeta Prawna eksperta Ireneusza Wochlika z Fundacji AI LAW TECH, nie sama lokalizacja producenta sprzętu czy oprogramowania powinna być kryterium, ale całościowa ocena ryzyka – w tym zgodność z normami i jakość produktów.
Obawy o nadregulację i niepewność interpretacyjną
W projekcie nowelizacji wskazano, że to minister właściwy ds. cyfryzacji będzie mógł decydować, kto zostanie uznany za podmiot kluczowy oraz kto znajdzie się na liście DWR. Stwarza to pole do uznaniowości i niepewności regulacyjnej – firmy w praktyce nie wiedzą, kiedy i na jakiej podstawie zostaną objęte nowymi obowiązkami. Brak jasnych kryteriów to poważna luka prawna, która wprowadza niepokój wśród przedsiębiorców.
Dodatkowym problemem jest to, że ocena skutków regulacji przygotowana przez Ministerstwo Cyfryzacji nie zawiera precyzyjnych danych dla sektora ochrony zdrowia. Choć liczba podmiotów objętych przepisami wynosi 1248, to tylko 450 z nich to firmy farmaceutyczne – a analiza kosztów nie objęła szpitali, które również poniosą ogromne wydatki.
Ustawa potrzebna, ale z rozwagą
Choć cele nowelizacji ustawy o KSC są zasadne i wynikają z potrzeby dostosowania polskiego prawa do wymogów NIS2, to wdrożenie przepisów bez konsultacji z branżą i bez realnej oceny dostępnych zasobów może przynieść więcej szkód niż pożytku. Zapewnienie cyberbezpieczeństwa sektora farmaceutycznego jest kluczowe – ale równie istotne jest to, aby regulacje były wykonalne i adekwatne.
Potrzebna jest szeroka debata z udziałem przedstawicieli sektora zdrowia, regulatorów i ekspertów ds. cyberbezpieczeństwa. Dopiero wspólne wypracowanie mechanizmów pozwoli nie tylko na skuteczne zabezpieczenie infrastruktury cyfrowej, ale także na zachowanie ciągłości działania tak wrażliwego obszaru, jakim jest ochrona zdrowia.
Branża farmaceutyczna w Polsce staje dziś przed jednym z największych wyzwań ostatnich lat – musi połączyć wymogi wynikające z prawa europejskiego, nowelizacji krajowych przepisów i realiów rynkowych. Cyberbezpieczeństwo nie jest już wyborem – to konieczność. Jednak droga do jego wdrożenia powinna być oparta na rzetelnych danych, dostępnych technologiach i partnerskiej współpracy między państwem a przedsiębiorcami. W przeciwnym razie możemy zapłacić wysoką cenę – zarówno finansową, jak i zdrowotną.
Czytaj dalej: