Szpital bez dotacji KPO: jak utrzymać bezpieczeństwo, rozliczenia i tempo cyfryzacji
Poza listą KPO: co to oznacza dla Twojego szpitala
Według doniesień branżowych nawet około 300 szpitali mogło nie otrzymać środków z KPO na wzmocnienie cyberbezpieczeństwa. Informacje te nie mają szerokich, niezależnych potwierdzeń, ale jedno jest jasne: skala potrzeb przekroczyła dostępny budżet, a zagrożenia cyber systematycznie rosną.
Dla placówek, które znalazły się poza listą dofinansowania, oznacza to realną lukę inwestycyjną zarówno w CAPEX, jak i w OPEX. Część dyrektorów sygnalizuje, że jedynie fragment niezbędnych działań uda się sfinansować ze środków własnych. W praktyce przekłada się to na odkładanie kluczowych inwestycji, ryzyko incydentów i presję na wdrożenia „po kosztach”, które często nie wytrzymują próby audytów lub kontroli.
Jeśli Twój szpital nie uzyskał wsparcia, konieczne jest szybkie, priorytetowe ułożenie planu minimum: wskazanie systemów krytycznych, zabezpieczeń absolutnie niezbędnych oraz decyzji, które można odsunąć bez nadmiernego ryzyka. Brak takiej selekcji zwykle kończy się chaotycznymi zakupami, błędami w PZP i trudnym do utrzymania stosami licencji.
Niepewne jutro budżetu i przepisów
Na dziś brak jasnego komunikatu, czy i kiedy może pojawić się dodatkowy nabór bądź realokacja środków KPO na cyberbezpieczeństwo szpitali. Niepewny pozostaje także los odwołań, możliwe korekty list rankingowych i progi punktowe. Dla zarządów placówek to trudny horyzont planistyczny.
Otwarte jest również pytanie o jednolite minimalne standardy bezpieczeństwa dla podmiotów, które nie skorzystały z KPO. Ewentualne wytyczne MZ/CeZ mogłyby ujednolicić oczekiwania, ułatwić audyty i pomóc w priorytetyzacji. Warto śledzić komunikaty, ale nie warto czekać z działaniami – ryzyko nie stoi w miejscu.
W tle zbliża się transpozycja NIS2, z możliwym poszerzeniem katalogu zobowiązanych podmiotów ochrony zdrowia i zaostrzeniem wymogów oraz sankcji. To podniesie poprzeczkę i przyspieszy zegar inwestycyjny, niezależnie od dostępności grantów. Strategia „poczekamy na nowe przepisy” może okazać się kosztowna.
Ciągłość działania pod presją
Bez podstawowych inwestycji rośnie ryzyko przestojów HIS/LIS/RIS/PACS i e-usług (EDM, e-recepta, P1). Awaria lub atak potrafią w ciągu minut odciąć diagnostykę obrazową, laboratorium i dostęp do dokumentacji, a w efekcie sparaliżować świadczenia i logistykę oddziałów.
Na pierwszy plan wysuwają się zabezpieczenia o największym wpływie na ograniczenie skutków incydentów: wieloskładnikowe uwierzytelnianie, segmentacja sieci (w tym urządzeń medycznych w sieci), kopie zapasowe offline z testami odtwarzania, rozwiązania klasy EDR i monitoring z korelacją zdarzeń oraz skuteczne szkolenia personelu. Zaniedbanie któregokolwiek z tych obszarów zwykle zemści się w najmniej oczekiwanym momencie.
Niezależnie od technologii, trzeba zadbać o „papierową stronę” bezpieczeństwa: aktualne polityki, matryce ról i dostępów, oceny ryzyka/DPIA, plany BCP/DRP, procedury zarządzania incydentami i logami, a także właściwe zapisy w umowach z dostawcami (SLA, zobowiązania do współpracy w incydentach, DPA). To nie tylko compliance wobec RODO i KSC, ale też praktyczne narzędzia skracające czas od wykrycia do przywrócenia działania.
Skutkiem finansowej luki może być też spowolnienie innych projektów cyfryzacyjnych – integracji, rozbudowy EDM czy wdrażania nowych modułów. Priorytetyzacja to dziś wybór między „chcemy więcej” a „musimy być bezpieczni i dostępni”.
NFZ patrzy na terminy i dowody
Incydenty cyber i awarie mają bezpośredni wpływ na raportowanie do SZOI, eZWM i P1. Opóźnienia lub niespójności danych mogą prowadzić do blokad rozliczeń, kar umownych i konieczności składania wyjaśnień. O tym, czy szpital uniknie sankcji, często decyduje jakość dokumentacji incydentu i ścieżki naprawczej.
Warto z wyprzedzeniem uzgodnić z właściwym OW NFZ tryb postępowania: terminy i format zgłoszeń, katalog wymaganych dowodów (logi, oś czasu, notatki z działań technicznych), sposób odtwarzania i weryfikacji danych. Taki „protokół zgody” znacznie ułatwia rozmowę po fakcie i pozwala szybciej wrócić na tory rozliczeń.
Na dziś nie widać sygnałów, że konkursy NFZ formalnie premiują dojrzałość cyberbezpieczeństwa. Możliwe, że to się zmieni, jeśli wzrośnie skala incydentów – warto monitorować stanowiska OW NFZ. W przypadku trudności z odzyskaniem rytmu sprawozdawczości pomocne bywa zewnętrzne wsparcie w porządkowaniu dowodów i toku rozliczeń, np. wsparcie rozliczeń z NFZ.
Budżet planu B: gdzie szukać finansowania
Brak dofinansowania z KPO oznacza, że trzeba kreatywnie domknąć budżet bezpieczeństwa. Pierwszym kierunkiem są środki organów tworzących – szczególnie tam, gdzie jednostka realizuje świadczenia kluczowe dla regionu. Dla SPZOZ-ów możliwe są również dotacje celowe z poziomu MZ bądź wojewodów, choć dostępność i zakres wsparcia bywają ograniczone.
Warto sprawdzić, jakie linie interwencji przewidują programy regionalne w ramach perspektywy FE 2021–2027 (obszary cyfryzacji i bezpieczeństwa). Niekiedy pojawiają się także konkursy krajowe dedykowane cyber, ale kwalifikowalność podmiotów leczniczych bywa różna – konieczna jest weryfikacja zapisów.
Ubezpieczenie cyber nie zastąpi inwestycji, ale może sensownie przenieść część ryzyka finansowego i zapewnić dostęp do zespołów reagowania. Trzeba jednak uważać na wyłączenia dotyczące braku podstawowych zabezpieczeń – polisa nie zadziała, jeśli nie spełnimy minimalnych wymagań.
Szczególna uwaga należy się wydatkom „pomostowym”. Jeśli liczymy na ewentualną późniejszą refundację, konieczne są jednoznaczne wytyczne co do retrofinansowania i kwalifikowalności. W praktyce oznacza to dyscyplinę w PZP, rzetelną analizę ryzyka przed zakupem, pełną ścieżkę decyzyjną i archiwizację dowodów.
Błędy, których warto uniknąć
Najpoważniejszym błędem jest odkładanie „must-have” – MFA, segmentacji sieci, kopii offline z testami i stałego monitoringu. Drugi w kolejce to zakupy bez poprzedzającej analizy ryzyka i planu operacyjnego, co kończy się zaskakującym OPEX-em i rozwiązaniami, których nikt nie utrzymuje.
Ryzykowne jest rozdrabnianie zamówień i omijanie PZP – prócz ryzyka formalnego grozi to brakiem interoperacyjności i vendor lock-inem. Niedoszacowanie szkoleń sprzyja phishingowi i inżynierii społecznej, które pozostają najskuteczniejszym wektorem ataku.
Częsty problem to też niepełne lub spóźnione zgłaszanie incydentów do UODO i CSIRT, brak rejestrów naruszeń oraz deficyty w logach. To podnosi poziom sankcji, a przy okazji utrudnia rozliczenia z płatnikiem i rozmowy z ubezpieczycielem.
Plan na 90 dni: minimum, które ratuje dzień
Jeśli nie możesz zrobić wszystkiego, zrób to, co maksymalnie obniża skutki incydentu i jednocześnie wzmacnia Twoją pozycję wobec regulatorów oraz płatnika. Poniżej syntetyczny pakiet działań, które najczęściej da się uruchomić szybko i z mierzalnym efektem:
- Włącz MFA dla kont uprzywilejowanych i usług zdalnych, uporządkuj politykę haseł i dostępów.
- Rozrysuj i wdroż segmentację sieci, obejmującą także urządzenia medyczne (IoMT) i strefy krytyczne.
- Zabezpiecz kopie offline, z regularnymi testami odtwarzania i jasnym RTO/RPO dla systemów krytycznych.
- Uruchom monitoring 24/7 i reagowanie (np. SOC/SIEM/EDR), z procedurą eskalacji i retencją logów.
- Przeprowadź krótkie szkolenia „anti-phish” i ćwiczenia incydentowe, w tym ścieżkę komunikacji z NFZ.
Równolegle domknij dokumentację: matrycę ról, polityki, rejestr czynności i incydentów, DPIA dla newralgicznych procesów oraz zapisy w umowach z dostawcami. Szybki, zewnętrzny przegląd pomoże wskazać luki o największym ryzyku – rozważ niezależny audyt dla podmiotu leczniczego, który od razu powiąże zalecenia z realiami PZP i harmonogramem placówki.
Ustal z OW NFZ format i terminy zgłaszania przerw sprawozdawczości z przyczyn cyber oraz listę dowodów, jakie należy gromadzić. Taka pre-autoryzacja trybu postępowania ograniczy ryzyko korekt i przyspieszy odblokowanie wypłat.