Polska wychodzi przed szereg. W projektowanej obecnie nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa chce wdrożyć rozwiązania wynikające zarówno z dyrektywy NIS2, jak i 5G Toolbox. Wielu przedsiębiorców i ekspertów szczególnie niepokoi rozszerzenie regulacji dotyczących dostawców wysokiego ryzyka (tzw. DWR), czyli dostarczających technologie, usługi ICT, sprzęt lub oprogramowanie, których działalność, pochodzenie kapitału, powiązania z krajami spoza Unii Europejskiej i NATO czy historia zgodności ze standardami bezpieczeństwa mogą stanowić zagrożenie dla bezpieczeństwa narodowego lub integralności systemów informatycznych. Regulacje te mają objąć wszystkie 18 sektorów, a nie tylko sieci 5G. Żadne z pozostałych państw UE nie wprowadza zaleceń 5G Toolbox w infrastrukturze innej niż telekomunikacyjna.

Bardzo skromna wiedza o skutkach regulacji

Oficjalna ocena skutków regulacji (OSR) przygotowana przez Ministerstwo Cyfryzacji wskazuje tylko, że nowelizacja wpłynie na 1248 podmiotów, ale nie precyzuje liczby podmiotów leczniczych ani firm farmaceutycznych objętych przepisami oraz wydatków, jakie będą musiały ponieść. Projektodawca stwierdza jedynie, że koszty związane z koniecznością usuwania sprzętu i usług oraz procesów ICT pochodzących od podmiotów uznanych za dostawców wysokiego ryzyka są „niemierzalne”.

Operatorzy telekomunikacyjni będą mieli na to takie działania 4 lata, a pozostali 7 lat. Choć, co do zasady, regulacje mają dotyczyć firm średnich i dużych, projekt przewiduje wyjątki, obejmując również małe i mikroprzedsiębiorstwa, jeśli zakłócenie świadczonej przez nie usługi mogłoby mieć istotny wpływ na porządek, bezpieczeństwo lub zdrowie publiczne. Szacuje się, że nowymi obowiązkami regulacyjnymi może zostać objętych nawet 38 tys. podmiotów.

W celu wypełnienia luki informacyjnej i wyliczenia potencjalnych skutków tzw. nadregulacji, zwłaszcza w branży farmaceutycznej, powstał raport bazujący na danych zebranych od 151 firm z tego sektora (apteki, hurtownie, importerzy, producenci) przez Polskie Towarzystwo Koordynowanej Ochrony Zdrowia. Wyniki ankiety przeprowadzonej wśród tych podmiotów są alarmujące: 61 proc. firm ma mały stan wiedzy na temat konsekwencji wejścia przepisów w życie dla prowadzenia działalności – zarówno w wymiarze organizacyjnym, jak i finansowym. W grupie producentów i hurtowni farmaceutycznych odsetek ten wynosi aż 82 proc.

Ryzyko zatrzymania produkcji i procesów biznesowych

Autorzy raportu przeanalizowali dostępność realnych alternatyw dla sprzętu i oprogramowania pochodzącego od dostawców spoza UE lub NATO, którzy mogliby zostać uznani za DWR. Problem braku funkcjonalnych zamienników jest kluczowy dla bezpieczeństwa państwa, ponieważ konieczność wycofania kluczowego sprzętu i oprogramowania bez dostępnych alternatyw może doprowadzić do zatrzymania lub znaczącego spowolnienia procesów i produkcji w sektorach krytycznych dla bezpieczeństwa wewnętrznego i stabilności państwa.

Aż 61 proc. ankietowanych firm farmaceutycznych stwierdziło, że nie istnieje opcja wymiany sprzętu. W grupie producentów i hurtowni farmaceutycznych brak możliwości wymiany sprzętu deklaruje jeszcze więcej, bo 81 proc. ankietowanych. Jako przyczynę wskazuje się najprawdopodobniej brak odpowiednich zamienników na rynku.

Kluczowe znaczenie ma całościowa ocena wykorzystywanych urządzeń i systemów – zarówno pod względem ich odporności na zagrożenia, jak i sposobu przetwarzania danych oraz lokalizacji systemów, z którymi się komunikują. Samo miejsce wytworzenia sprzętu czy oprogramowania nie powinno być traktowane jako decydujące kryterium – Ireneusz Wochlik, Fundacja AI Low Tech

W związku z powyższym 12 proc. firm przyznało, że może doświadczyć ryzyka zatrzymania produkcji i procesów biznesowych, ponieważ ponad połowa ich sprzętu pochodzi spoza UE i NATO. Kolejne 36 proc. firm może mieć realny problem z utrzymaniem niezakłóconej ciągłości prowadzenia działalności, gdyż 30–50 proc. ich zasobów sprzętowych pochodzi spoza tych obszarów. Podsumowując: w przypadku uznania producentów sprzętu spoza UE i NATO za DWR, blisko 50 proc. firm z branży farmaceutycznej może mieć problemy z utrzymaniem efektywności produkcji. W grupie producentów i hurtowni farmaceutycznych problem ten dotyczy 30 proc. podmiotów.

Sytuacja wygląda nieco inaczej w przypadku oprogramowania. Konieczność jego wymiany w razie uznania producentów spoza UE i NATO za DWR nie powinna negatywnie wpłynąć na realizowane procesy biznesowe i produkcyjne większości firm, powodując zakłócenia jedynie u ok. 11 proc. ankietowanych. Niemniej jednak 62 proc. podmiotów nie widzi dziś możliwości wymiany i zastąpienia oprogramowania wyłącznie produktami firm z państw UE i NATO.

Ogromne wydatki dla firm i szpitali w Polsce

Głównym celem analizy było oszacowanie wpływu nowelizacji ustawy KSC na finanse firm farmaceutycznych. Analizowano koszty wymiany sprzętu i oprogramowania, a także koszty serwisu i wsparcia technicznego dla nowo zakupionych produktów.

Całościowe wydatki związane z koniecznością wymiany sprzętu od producenta uznanego za DWR u jednego przedsiębiorcy szacuje się na poziomie 272 100 zł netto w pierwszym roku, natomiast w perspektywie 5 lat kwota ta może wynieść 816 700 zł netto. Podobnie całościowe koszty związane z koniecznością wymiany oprogramowania od producenta uznanego za DWR u jednego przedsiębiorcy szacuje się na poziomie 222 150 zł netto w pierwszym roku, a w ciągu 5 lat kwota ta może wynieść 703 750 zł netto.

Łączna kwota dla jednego przedsiębiorcy w pięcioletnim okresie, wynikająca z konieczności wymiany produktów i usług od dostawców wysokiego ryzyka, może więc sięgnąć 1 520 450 zł netto. Kwota ta obejmuje szacunkowy koszt zakupu nowych produktów, koszty deinstalacji starych i instalacji nowych urządzeń, koszt utylizacji zdemontowanego sprzętu oraz koszty pięcioletniej usługi serwisu i wsparcia technicznego.

Na podstawie tych wyliczeń szacowany skutek finansowy dla całego sektora farmaceutycznego (bazując na danych z OSR mówiących o ok. 450 podmiotach, na które ustawa będzie miała wpływ) wynosi ok. 675 mln zł netto w perspektywie pięciu lat – alarmują autorzy raportu.

Należy pamiętać, że przedmiotem analizy kosztów przedstawionej w raporcie były jedynie firmy z branży farmaceutycznej, która stanowi tylko jeden z dwóch podsektorów sektora ochrony zdrowia. Drugi, obejmujący podmioty lecznicze, w tym szpitale, nie został ujęty w analizie finansowej. OSR wskazuje, że łączna liczba podmiotów, na które ustawa wpłynie, wynosi 1248. Samych szpitali w Polsce jest ok. 800. Oznacza to, że ok. 65 proc. wszystkich objętych ustawą podmiotów (czyli w dużej mierze szpitali) nie zostało objętych analizą finansową. Tym samym skutek finansowy dla całego sektora ochrony zdrowia będzie zdecydowanie większy niż szacowane 675 mln zł dla podsektora farmaceutycznego.

Należy również zaznaczyć, że przedstawiona analiza kosztów dotyczyła jedynie potencjalnych kosztów związanych z decyzjami dotyczącymi dostawców wysokiego ryzyka. Poza badaniem pozostały inne obciążenia i obowiązki wynikające z ustawy, takie jak obowiązek wprowadzenia systemu zarządzania ryzykiem cyberbezpieczeństwa, zgłaszanie incydentów do właściwych CSIRT-ów sektorowych czy wykonywanie okresowych audytów. Te dodatkowe obowiązki również będą miały bezpośredni wpływ na organizację pracy i koszty funkcjonowania przedsiębiorstw.

Nadregulacja i bałagan w przepisach

Ireneusz Wochlik, członek zarządu Fundacja AI LAW TECH, komentując raport, podkreślił, że kwestie związane z bezpieczeństwem cyfrowym zyskują dziś kluczowe znaczenie. Coraz większą uwagę należy również poświęcać zapewnieniu ciągłości działania systemów krytycznych. Kluczowe znaczenie ma całościowa ocena wykorzystywanych urządzeń i systemów – zarówno pod względem ich odporności na zagrożenia, jak i sposobu przetwarzania danych oraz lokalizacji systemów, z którymi się komunikują. Samo miejsce wytworzenia sprzętu czy oprogramowania nie powinno być traktowane jako decydujące kryterium.

– W kontekście dynamicznej sytuacji geopolitycznej zasadne wydaje się opracowanie standardów certyfikacji, które regulowałyby dopuszczanie urządzeń i oprogramowania do użytku w sektorach kluczowych z punktu widzenia bezpieczeństwa państwa i obywateli – zaznaczył.

Dodatkowy chaos i niepewność prawną wprowadzają niektóre przepisy nowelizacji KSC. Z jednej strony projekt wskazuje, że podmiotami kluczowymi lub ważnymi co do zasady mają być przedsiębiorstwa średnie, z drugiej jednak minister właściwy do spraw cyberbezpieczeństwa może uznać każdą osobę fizyczną, prawną czy jednostkę organizacyjną za podmiot kluczowy lub ważny, niezależnie od jej wielkości, w drodze decyzji administracyjnej. Minister będzie także rozstrzygał o uznaniu przedsiębiorcy za DWR w drodze decyzji. Oznacza to, że obecnie nikt nie wie, kiedy i w stosunku do jakiej grupy podmiotów takie decyzje zostaną podjęte i na jaki wolumen podmiotów kluczowych i ważnych będzie to miało wpływ.

Urszula Szybowicz, ekspert zdrowia publicznego, po zapoznaniu się z raportem wyraża nadzieję, że stanie się on punktem wyjścia do konstruktywnej debaty na temat kierunków dalszego rozwoju opieki farmaceutycznej w Polsce.

Pobierz raport:

https://ptkoz.org/wp-content/uploads/2025/04/Raport-branza-farmaceutyczna-a-ustawa-KSC.pdf

Materiał partnerski z serwisu Cyfrowa Gospodarka

Partner merytoryczny