Przesunięcie obligatoryjnego uruchomienia MFA w usługach eWUŚ na 24 listopada 2025 r. daje placówkom dodatkowy czas na przygotowanie. To dobry moment, by zaplanować wdrożenie bez zakłóceń pracy rejestracji i personelu.
#### Obowiązkowe MFA w eWUŚ – nowy termin: 24 listopada 2025 r.
Narodowy Fundusz Zdrowia poinformował o przesunięciu obowiązkowej aktywacji wieloskładnikowego uwierzytelniania (MFA) w usługach eWUŚ na 24 listopada 2025 r. Zmiana terminu pozwala menedżerom placówek medycznych uporządkować obszary dostępów do systemów, dopracować procedury i przetestować rozwiązania techniczne bez pośpiechu. Jednocześnie jest to wyraźny sygnał, że wdrożenie MFA w eWUŚ stanie się wymogiem – dlatego odkładanie przygotowań na ostatnią chwilę zwiększa ryzyko przestojów.
Źródło: NFZ, komunikat „Przesunięcie obligatoryjnego uruchomienia MFA w usługach eWUŚ na 24 listopada 2025 r.” (link w stopce materiału).
#### Na czym polega MFA w usługach eWUŚ i co to oznacza dla użytkowników
MFA (multi‑factor authentication) to logowanie potwierdzane co najmniej dwoma różnymi czynnikami, np. hasłem oraz dodatkowym kodem, powiadomieniem na urządzeniu, kluczem sprzętowym lub inną metodą. Celem jest ograniczenie ryzyka nieuprawnionego dostępu do weryfikacji uprawnień świadczeniobiorców, a w konsekwencji ochrona danych i procesów rozliczeniowych.
W praktyce dla użytkowników eWUŚ może to oznaczać:
– konieczność posiadania drugiego czynnika podczas logowania (telefon służbowy, aplikacja uwierzytelniająca, klucz U2F/FIDO, itp.),
– zmianę rutyny pracy w rejestracji (potwierdzenie logowania na początku zmiany, okresowe ponowne uwierzytelnienie),
– potrzebę uporządkowania kont (koniec kont współdzielonych; przypisanie kont indywidualnych).
Uwaga: w komunikacie NFZ nie opublikowano w momencie przygotowania niniejszego opracowania pełnej listy wspieranych metod MFA ani szczegółów procesowych. Należy śledzić komunikaty NFZ i specyfikacje techniczne, by dobrać zgodne rozwiązania.
#### Dlaczego to ważne dla placówek
– Bezpieczeństwo i zgodność: MFA jest jednym z najsilniejszych i rekomendowanych przez standardy branżowe mechanizmów ochrony. Ogranicza skutki wycieków haseł oraz błędów ludzkich. W sektorze ochrony zdrowia, gdzie przetwarzane są dane wrażliwe, to element realnie podnoszący poziom bezpieczeństwa.
– Ciągłość pracy: brak gotowości na termin 24 listopada 2025 r. może skutkować utrudnieniem lub brakiem dostępu do eWUŚ dla kont niespełniających wymagań. Dobrze przygotowane wdrożenie minimalizuje ryzyko przestojów w rejestracji pacjentów.
– Porządek w dostępach: wdrożenie MFA to dobry impuls, by zinwentaryzować konta, zlikwidować konta nieużywane, zrezygnować z kont współdzielonych i wdrożyć zasady najmniejszych uprawnień.
– Reputacja i zaufanie: bezpieczeństwo dostępu do eWUŚ wpływa na postrzeganie rzetelności organizacyjnej placówki przez pacjentów i kontrahentów.
– Przygotowanie budżetowe: część metod MFA wymaga nakładów (np. klucze sprzętowe, licencje MDM, dodatkowe telefony służbowe). Z wyprzedzeniem łatwiej zaplanować koszty i przetargi.
#### Wpływ MFA na procesy rejestracji i pracę z eWUŚ
– Logowanie a obsługa kolejek: potwierdzanie drugiego czynnika może wydłużyć pierwsze logowanie w danej zmianie. Warto przewidzieć wcześniejsze zalogowanie personelu lub model „pulpitu wspólnego” z zachowaniem indywidualnych sesji.
– Dyżury i zastępstwa: potrzebne są procedury na wypadek nieobecności pracownika (dostęp zastępczy, przejęcie sesji, uwierzytelnienie przy braku urządzenia).
– BYOD vs. sprzęt służbowy: jeśli drugi czynnik ma być realizowany przez urządzenie mobilne, należy zdecydować, czy używamy sprzętu służbowego, czy dopuszczamy urządzenia prywatne z polityką MDM/zgodności. To decyzja zarówno techniczna, jak i prawno‑organizacyjna.
– Punkty terenowe i filie: placówki z rozproszoną strukturą powinny zadbać o spójność polityk MFA, dostępność łączności i wsparcie lokalne.
– Szkolenia: krótkie instrukcje krok po kroku (logowanie, reset drugiego czynnika, procedura w razie utraty urządzenia) zmniejszą liczbę zgłoszeń do helpdesku w dniu wdrożenia.
#### Konsekwencje dla systemów HIS i integracji z eWUŚ API
Wiele placówek korzysta z eWUŚ poprzez integrację w systemie HIS (zapytania do eWUŚ wykonywane są automatycznie w tle). W kontekście obowiązkowego MFA powstają pytania o:
– model uwierzytelniania dla kont integracyjnych i usługowych,
– wymagania co do tokenów, sesji i odświeżania uprawnień,
– ewentualne zmiany w interfejsach API.
Na moment przygotowania artykułu komunikat NFZ nie zawiera szczegółów technicznych dla integracji i kont systemowych. Rekomendacja: skontaktować się z dostawcą HIS, zaplanować aktualizacje, śledzić repozytoria/specyfikacje NFZ oraz przewidzieć testy w środowisku pilotażowym, gdy tylko będą dostępne.
#### Harmonogram i wsparcie NFZ – co wiemy, a czego jeszcze nie wiemy
– Co wiemy: nowy obowiązkowy termin uruchomienia MFA w usługach eWUŚ wyznaczono na 24 listopada 2025 r. (zgodnie z komunikatem NFZ).
– Czego nie wiemy na pewno: pełny katalog metod MFA, proces rejestracji drugich czynników, wymagania dla kont integracyjnych, ewentualne okresy przejściowe, szczegółowe instrukcje dla dostawców oprogramowania, wsparcie dla placówek w procesie migracji (np. kanały helpdesku, okna serwisowe). Z uwagi na brak pełnych danych należy komunikować zmiany do wewnątrz organizacji ostrożnie i warunkowo, aktualizując plany wraz z nowymi informacjami NFZ.
Źródło: https://www.nfz.gov.pl/aktualnosci/aktualnosci-centrali/przesuniecie-obligatoryjnego-uruchomienia-mfa-w-uslugach-ewus-na-24-listopada-2025-r-,8851.html
#### Dobre praktyki wdrożenia MFA w eWUŚ
– Zasada najmniejszych uprawnień: każdy użytkownik powinien mieć tylko te uprawnienia, które są niezbędne do pracy.
– Koniec kont współdzielonych: MFA jest indywidualne – konta „rejestracja1”, „gabinet” powinny zostać zastąpione kontami osobistymi z audytem działań.
– Wielokanałowe odzyskiwanie dostępu: kody zapasowe, drugi zaufany klucz lub alternatywna metoda MFA do użycia w razie utraty urządzenia. Procedura resetu musi być odporna na nadużycia.
– Standardy i spójność: tam, gdzie to możliwe, stosować jednolity standard w całej placówce (np. preferowana metoda MFA), by uprościć wsparcie i szkolenia.
– Bezpieczeństwo urządzeń: jeżeli drugim czynnikiem jest telefon, zadbaj o blokadę ekranu, MDM, szyfrowanie i możliwość zdalnego unieważnienia.
– Testy wydajnościowe: sprawdź wpływ MFA na czasy logowania i obciążenie helpdesku w dniu startu. Zaplanuj „okres ochronny” z dodatkowym wsparciem.
#### Ryzyka zaniechania przygotowań i jak im przeciwdziałać
– Ryzyko utraty dostępu w dniu wejścia wymogu: przeciwdziałanie – pilotaż, stopniowe włączanie MFA, weryfikacja kont i urządzeń na długo przed terminem.
– Ryzyko „shadow IT” i obchodzenia MFA: przeciwdziałanie – czytelne zasady, dostępne metody, dobra komunikacja i wsparcie użytkowników.
– Ryzyko operacyjne (nieobecność osoby z urządzeniem MFA): przeciwdziałanie – jasne procedury zastępstw i alternatywne metody odzyskiwania.
#### Co zrobić teraz (checklista)
– Wyznacz właściciela wdrożenia MFA (IT/Security) i sponsora biznesowego (np. dyrektor ds. operacyjnych).
– Zrób inwentaryzację kont z dostępem do eWUŚ (portal i integracje HIS). Usuń konta nieaktywne, wyłącz współdzielone.
– Zweryfikuj z dostawcą HIS, jak MFA wpłynie na integracje z eWUŚ i jakie będą wymagane aktualizacje.
– Wybierz preferowane metody MFA (na podstawie wytycznych NFZ, gdy się pojawią) i określ politykę: sprzęt służbowy czy BYOD, klucze sprzętowe czy aplikacje.
– Zaplanuj budżet i zakupy (klucze, telefony, licencje MDM, ewentualne szkolenia).
– Opracuj procedury: rejestracja drugich czynników, reset i weryfikacja tożsamości, zasady zastępstw, obsługa utraty urządzeń.
– Przygotuj krótkie instrukcje dla personelu (logowanie, najczęstsze problemy, kontakt do wsparcia).
– Przeprowadź pilotaż na wybranych stanowiskach (rejestracja, gabinet, punkt przyjęć), zmierz wpływ na czas obsługi.
– Zaplanuj komunikację wewnętrzną: terminy, zakres zmian, „okres ochronny” po starcie.
– Ustal plan awaryjny na dzień uruchomienia (dodatkowe wsparcie IT, dyżur, gotowe narzędzia do resetu).
– Zaktualizuj dokumentację bezpieczeństwa i ochrony danych (rejestr czynności, ocena ryzyka, polityki haseł vs. MFA).
– Monitoruj komunikaty NFZ i producentów oprogramowania; aktualizuj plan wraz z pojawieniem się specyfikacji.
– Wprowadź monitoring i audyt dostępu (logi logowań, alerty anomaliów) – MFA to element szerszego systemu kontroli dostępu.
– Zaplanuj przegląd po wdrożeniu (lessons learned) i ewentualne korekty polityk.
#### Aspekty prawne i zgodność – na co zwrócić uwagę
– Proporcjonalność i prywatność: jeśli rozważasz BYOD do celów MFA, upewnij się, że polityka nie narusza prywatności pracowników i że zakres przetwarzania w MDM jest minimalny i transparentny.
– Upoważnienia i rejestry: aktualizacja upoważnień do systemów oraz rejestru kategorii upoważnionych użytkowników z uwzględnieniem zmian w sposobie logowania.
– Umowy z podmiotami przetwarzającymi: jeżeli w procesie MFA uczestniczą dostawcy zewnętrzni (np. dostawcy aplikacji uwierzytelniających), sprawdź zapisy dotyczące bezpieczeństwa i zgodności.
#### Co to oznacza dla strategii IT w ochronie zdrowia
Wdrożenie MFA w eWUŚ wpisuje się w szerszy trend podnoszenia poprzeczki bezpieczeństwa w systemach ochrony zdrowia. To dobry moment, aby:
– ujednolicić standard MFA w całej organizacji (także poza eWUŚ),
– rozważyć wdrożenie SSO z MFA dla kluczowych aplikacji,
– wzmocnić szkolenia z cyberbezpieczeństwa (phishing, higiena haseł, zasady pracy na urządzeniach mobilnych),
– zaktualizować mapę ryzyk i plany ciągłości działania.
#### Podsumowanie i rekomendacje dla menedżerów
Nowy termin – 24 listopada 2025 r. – to realna ulga w harmonogramach, ale nie powód do zwłoki. Im wcześniej rozpoczniesz porządkowanie kont, wybór metod i pilotaż, tym mniejsze ryzyko przestojów w krytycznych punktach kontaktu z pacjentem. Śledź komunikaty NFZ, współpracuj z dostawcami HIS i potraktuj MFA nie jako przykry obowiązek, lecz jako element trwałego podniesienia bezpieczeństwa operacyjnego placówki.
Źródło: https://www.nfz.gov.pl/aktualnosci/aktualnosci-centrali/przesuniecie-obligatoryjnego-uruchomienia-mfa-w-uslugach-ewus-na-24-listopada-2025-r-,8851.html