Ustawa o Krajowym Systemie Cyberbezpieczeństwa zrujnuje branżę farmaceutyczną?

Polskie Towarzystwo Koordynowanej Ochrony Zdrowia

2025-06-11 0:06 Materiał sponsorowany

Ustawa o Krajowym Systemie Cyberbezpieczeństwa ma być tarczą chroniącą polskie firmy i instytucje przed cyfrowymi zagrożeniami. Niestety, nie przewidziano jej wszystkich konsekwencji. Wzmocnienie cyberbezpieczeństwa to ogromne koszty nałożone na prywatne firmy. Wg. raportu PTKOZ szacowane koszty wdrożenia nowych przepisów idą w setki milionów złotych. Ustawa może mocno dać po kieszeni branży farmaceutycznej i zachwiać systemem ochrony zdrowia.

cyberbezpieczenstwo — Autor: shutterstock.com

Cyberataki tostanowią dzisiaj bardzo poważne zagrożenie, dlatego rządy państw Unii Europejskiej intensyfikują działania mające na celu zabezpieczenie infrastruktury krytycznej. W Polsce kluczowym instrumentem w tym zakresie ma być zmiana ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) będąca implementacją unijnej dyrektywy NIS2. Choć intencje twórców ustawy są jak najbardziej słuszne, to proponowane przez nich rozwiązania mogą być bardzo kosztowne m.in. dla branży farmaceutycznej. Problem może dotyczyć aż 450 podmiotów! Pokazuje to dobitnie najnowszy raport Polskiego Towarzystwa Koordynowanej Ochrony Zdrowia (PTKOZ): Wpływ projektu nowelizacji Ustawy o KSC na przedsiębiorców z branży farmaceutycznej. Okazuje się, że skutki wprowadzenia nowej ustawy mogą być nie tylko bardzo kosztowne i dotkliwe dla podmiotów w branży farmaceutycznej, ale także sprawić, że stanie produkcja. Tego autorzy nowelizacji ustawy nie przewidzieli.

Takich kosztów nie da się unieść!

Z danych przedstawionych w raporcie wynika, że przeciętny przedsiębiorca z sektora farmaceutycznego może ponieść nawet 1,5 mln zł netto kosztów w ciągu pięciu lat w związku z koniecznością dostosowania się do nowych przepisów. Obejmuje to wymianę sprzętu i oprogramowania, które zostały kupione od tzw. dostawców wysokiego ryzyka. To określenie oznacza, że mogą one w niewystarczający sposób bronić polskich przedsiębiorców przed atakami. Koszty obejmują nie tylko kupno nowego sprzętu i oprogramowania, ale także wzrost kosztów związanych z serwisem i wsparciem technicznym. W skali całego sektora farmaceutycznego oszacowano łączny koszt na poziomie ok. 675 mln zł netto!

Co istotne, aż 61 proc. ankietowanych przedsiębiorców nie ma nawet podstawowej wiedzy na temat konsekwencji nowelizacji ustawy KSC, a w przypadku producentów i hurtowni farmaceutycznych odsetek ten sięga aż 82 proc.! To oznacza, że znaczna część rynku nie jest w ogóle przygotowana na nadchodzące zmiany, co dodatkowo potęguje ryzyko operacyjne i finansowe.

Brakuje zamienników

Jednym z najbardziej alarmujących wniosków raportu jest brak alternatywy dla sprzętu i oprogramowania, które pochodzi od dostawców spoza Unii Europejskiej i NATO. 61 proc. firm twierdzi, że nie ma możliwości wymiany wykorzystywanych obecnie urządzeń na produkty pochodzące wyłącznie z państw unijnych i sojuszniczych. W przypadku oprogramowania podobnego zdania jest 62 proc. badanych. A to może doprowadzić do poważnych problemów w utrzymaniu ciągłości produkcji oraz realizacji usług. Autorzy raportu szacują, że może to dotyczyć nawet połowy firm!

Oprogramowanie i sprzęt pochodzące spoza UE i NATO w 12 proc. polskich firm stanowi ponad połowę zasobów technologicznych. Kolejnych 36 proc. ma ich niewiele mniej.

Wylanie dziecka kąpielą

Zmiana ustawy ma za zadanie wdrożyć przepisy ujęte w unijnej dyrektywie NIS2 oraz zaleceń tzw. 5G Toolbox, czyli dokumentu, w oparciu o który kraje Unii Europejskiej podejmują działania nakierowane na bezpieczeństwo sieci piątej generacji (5G). Jednak polska ustawa zakłada objęcie regulacjami aż 18 sektorów, zrzeszających ok. 38 tys. podmiotów – znacznie więcej niż wymaga tego sama unijna dyrektywa! Tak szerokie ujęcie problemu, choć może mieć pewne uzasadnienie z punktu widzenia obecnej sytuacji, w praktyce oznacza znaczące obciążenia dla firm prywatnych.

Autorzy raportu zwracają uwagę, że żadne inne państwo członkowskie Unii Europejskiej nie wprowadziło aż tak szerokiego wprowadzenia zaleceń 5G Toolbox poza sektorem telekomunikacyjnym.

W Polsce w dodatku rozszerzono definicję dostawcy wysokiego ryzyka m.in. o producentów sprzętu ICT, czyli wszystkich urządzeń elektronicznych i usług, które służą do przetwarzania, przechowywania, przekazywania i udostępniania informacji. Uznano, że one też mogą stwarzać zagrożenie dla bezpieczeństwa narodowego. Co to oznacza?

Przedstawiciele branży farmaceutycznej obawiają się, że w Europie nie będzie wystarczającej liczby odpowiednio bezpiecznych rozwiązań technologicznych, które mogłyby zastąpić wycofane produkty. Ich niedobór, to brak konkurencyjności polskich firm i zastopowanie prac związanych z innowacjami i przymusowe wycofanie się z globalnego wyścigu innowacyjności.

Potrzebna rozwaga i dialog z firmami!

Choć potrzeba podniesienia poziomu cyberbezpieczeństwa jest oczywista, to już sposób realizacji tych działań powinien być przedmiotem pogłębionej analizy i konsultacji z podmiotami, których dotyczą.

Branża farmaceutyczna to jeden z filarów bezpieczeństwa zdrowotnego państwa. Tymczasem może stanąć przed wyborem czy wdrożyć kosztowne zmiany, często niemożliwe do realizacji technicznie, organizacyjnie i finansowo, czy też narazić się na sankcje i ryzyko przerwania działalności. W dodatku skutki nowelizacji ustawy odczują nie tylko przedsiębiorcy, ale pośrednio także pacjenci i cały system ochrony zdrowia. Dlatego potrzeby jest dialog i takie podejście do przepisów ustawy, by były one możliwe do wejścia w życie.