Przesunięcie obligatoryjnego uruchomienia MFA w usługach eWUŚ na 24 listopada 2025 r. daje placówkom dodatkowy czas na przygotowania. Wyjaśniamy, co to oznacza operacyjnie i jak zaplanować prace, aby przejście było bezpieczne i bez przestojów.
#### Obligatoryjne uruchomienie MFA w eWUŚ – co wiemy na dziś
Zgodnie z komunikatem Narodowego Funduszu Zdrowia, obowiązkowe uruchomienie wieloskładnikowego uwierzytelniania (MFA) dla usług eWUŚ zostało przesunięte na 24 listopada 2025 r. Na moment przygotowania tego materiału NFZ nie opublikował pełnego, technicznego zestawu wymagań dla wszystkich scenariuszy użycia i integracji. Oznacza to, że część szczegółów (np. obsługiwane metody MFA, wyjątkowe ścieżki dla systemów zintegrowanych czy mechanizmy awaryjne) może zostać doprecyzowana w kolejnych komunikatach i instrukcjach.
W praktyce trzeba założyć, że logowanie do eWUŚ – zarówno przez interfejs użytkownika, jak i przez systemy HIS/ESKULAP/inna aplikacja integrująca – będzie wymagało drugiego czynnika. To powszechny standard podnoszenia bezpieczeństwa dostępu do danych wrażliwych, jakimi są informacje o uprawnieniach do świadczeń.
#### Nowy termin: 24 listopada 2025 r. – konsekwencje dla harmonogramów placówek
Nowa data wymusza rewizję planów wdrożeniowych. Dodatkowe miesiące to szansa na:
– rozłożenie projektu na etapy (analiza – pilotaż – rollout),
– uporządkowanie tożsamości i kont personelu,
– testy integracyjne z dostawcą HIS i ePUAP/innym IdP, jeśli ma to zastosowanie,
– zaplanowanie budżetu na ewentualne licencje, tokeny lub urządzenia.
Jednocześnie nie warto zwlekać. Wdrażanie MFA to zmiana zarówno technologiczna, jak i organizacyjna. Późny start może prowadzić do spiętrzenia prac, większego ryzyka błędów i przestojów na styku recepcji, gabinetów i rejestracji.
#### Zakres zmian w usługach eWUŚ a MFA – wstępne założenia i niewiadome
W oparciu o najlepsze praktyki i doświadczenia z podobnych wdrożeń w ochronie zdrowia można przyjąć, że:
– Drugi czynnik będzie wymagany przy logowaniu użytkownika uprawnionego do korzystania z eWUŚ lub przy wywołaniu operacji w imieniu użytkownika z systemu zintegrowanego.
– Akceptowalne metody MFA mogą obejmować aplikację uwierzytelniającą (kody TOTP), powiadomienia push, klucze sprzętowe (FIDO2/WebAuthn) lub – w modelu awaryjnym – kody SMS. Ostateczny katalog metod zależy od wytycznych NFZ i użytego dostawcy tożsamości. Na dziś nie ma pełnego potwierdzenia listy obsługiwanych metod.
– Może zostać wprowadzony mechanizm podwyższonego uwierzytelnienia przy wybranych operacjach (np. potwierdzenie wrażliwych akcji). To również wymaga oficjalnych specyfikacji.
Dopóki NFZ nie opublikuje kompletnych dokumentów technicznych, rekomendujemy planowanie w kilku wariantach (np. aplikacja uwierzytelniająca jako domyślna, klucze sprzętowe dla stanowisk o podwyższonym ryzyku, procedury awaryjne na wypadek utraty drugiego czynnika).
#### Dlaczego to ważne dla placówek
– Ochrona danych pacjentów: MFA znacząco ogranicza ryzyko przejęcia konta pracownika i nieuprawnionego dostępu do danych, co wpisuje się w obowiązki administratora danych wynikające z RODO i zasad minimalizacji ryzyka.
– Ciągłość pracy rejestracji i gabinetów: eWUŚ jest elementem krytycznym ścieżki pacjenta. Niewdrożenie MFA na czas lub błędy konfiguracyjne mogą skutkować utrudnieniami w potwierdzaniu uprawnień i kolejkami.
– Zgodność i audyty: wprowadzenie MFA może stać się punktowym wymaganiem kontroli płatnika czy audytu bezpieczeństwa. Posiadanie polityk, rejestrów oraz śladu audytowego jest korzystne.
– Dojrzałość cyfrowa placówki: wdrożenie MFA porządkuje zarządzanie tożsamościami (IAM), dostępami i rozliczalnością działań. To inwestycja, która procentuje także w innych systemach (P1, gabinetowe, EDM).
– Zarządzanie ryzykiem operacyjnym: właściwe zaprojektowanie ścieżek awaryjnych (np. reset drugiego czynnika, konta zastępcze) zapobiega realnym przestojom.
#### Wpływ MFA w eWUŚ na procesy rejestracji i obsługi pacjenta
– Logowanie i zmiany kontekstu stanowiska mogą trwać nieco dłużej (wprowadzenie kodu, dotknięcie klucza). Warto optymalizować grafiki i przygotować personel na ten element.
– Stanowiska współdzielone wymagają jasnych zasad: zakaz współdzielenia kont, częstsze wylogowywanie, czytniki/narzędzia ułatwiające szybkie uwierzytelnienie.
– Praca mobilna lub z innych lokalizacji (filie, poradnie wyjazdowe) musi mieć dostęp do wybranej metody MFA offline (np. aplikacja TOTP) lub zapewnioną łączność.
– W punktach o dużym wolumenie ruchu (SOR, NPL, duże rejestracje) przyda się wsparcie „floor support” w pierwszych dniach po wdrożeniu.
#### Wymogi prawne i bezpieczeństwo: RODO, dobre praktyki i zgodność
– RODO: MFA jest środkiem technicznym adekwatnym do ryzyka (art. 32). Placówka powinna uaktualnić rejestr czynności przetwarzania i analizę ryzyka, uwzględniając nowy mechanizm uwierzytelnienia oraz procedury awaryjne.
– Zasady bezpieczeństwa informacji: aktualizacja Polityki Bezpieczeństwa Informacji i Instrukcji Zarządzania Systemem Informatycznym o MFA, cykle przeglądu uprawnień i zasady resetu drugiego czynnika.
– Logowanie i rozliczalność: zapewnienie śladów audytowych kto i kiedy potwierdzał uprawnienia w eWUŚ. To ułatwia wyjaśnianie incydentów i nadużyć.
– Standardy branżowe: nawet jeśli nie wszystkie jednostki podlegają tym samym reżimom, warto wzorować się na dobrych praktykach (zasada najmniejszych uprawnień, brak współdzielenia kont, regularne przeglądy).
Uwaga: szczegółowe wymagania techniczne i compliance dotyczące eWUŚ i MFA będą wynikać z dokumentów NFZ. Na dziś brak pełnych danych, dlatego rekomendujemy śledzenie kolejnych komunikatów.
#### Integracje, HIS i konta personelu – jak przygotować architekturę
– Inwentaryzacja kont i ról: uporządkuj listę użytkowników mających dostęp do eWUŚ z podziałem na role. Usuń konta nieużywane, scal duplikaty, zweryfikuj uprawnienia z przełożonymi.
– Model tożsamości: zdecyduj, czy MFA będzie wdrażane per system (np. logowanie bezpośrednie do eWUŚ) czy centralnie (SSO/IdP placówki, jeśli zgodny z wymaganiami). Sprawdź zgodność z nadchodzącymi wytycznymi NFZ.
– Współpraca z dostawcą HIS: zapytaj o mapę drogową wsparcia MFA dla eWUŚ, wersję oprogramowania wymaganą do obsługi, terminy udostępnienia aktualizacji i dokumentację konfiguracji.
– Wybór metody MFA: przygotuj politykę preferowanych metod (np. aplikacja uwierzytelniająca jako standard, klucze sprzętowe dla stanowisk o wysokim ryzyku), ale pozostaw elastyczność do zgodności z finałową specyfikacją NFZ.
– Urządzenia i logistyka: jeśli rozważasz klucze sprzętowe, oszacuj liczbę sztuk, zapas na utraty, zgodność z portami w stacjach roboczych (USB-A/C, NFC), oraz proces dystrybucji i ewidencji.
– Mechanizmy awaryjne: procedury resetu i odwołania drugiego czynnika, dostęp zastępczy dla dyżurów krytycznych, kontakt do wsparcia IT w godzinach szczytu.
#### Zarządzanie zmianą i szkolenia personelu przed 24 listopada 2025 r.
– Komunikacja: z wyprzedzeniem poinformuj zespoły o zmianie, jej powodach i wpływie na codzienną pracę. Jasna narracja zmniejsza opór i błędy.
– Szkolenia: krótkie, praktyczne instrukcje z obrazami (instalacja aplikacji uwierzytelniającej, rejestracja klucza, odzyskiwanie dostępu). Dla dyżurów – wariant offline i awaryjne kody.
– Pilotaż: wybierz 1–2 komórki (np. rejestracja, poradnia) do testów. Zbieraj uwagi, mierz czasy logowania i wprowadzaj poprawki.
– Wsparcie w dniu „go‑live”: dodatkowy personel IT na miejscu, punkty szybkiej pomocy, gotowe Q&A.
#### Co zrobić teraz (checklista)
– [ ] Przeczytaj aktualny komunikat NFZ i zapisz nowy termin: 24 listopada 2025 r.
– [ ] Wyznacz właściciela projektu MFA dla eWUŚ (sponsor biznesowy + lider IT).
– [ ] Sporządź inwentaryzację użytkowników i ról z dostępem do eWUŚ; uporządkuj konta.
– [ ] Skontaktuj się z dostawcą HIS/oprogramowania: zapytaj o roadmapę wsparcia MFA, wymagane wersje i terminy aktualizacji.
– [ ] Oceń i wybierz preferowane metody MFA (TOTP/aplikacja, klucze sprzętowe, alternatywy) – decyzję zweryfikuj po publikacji szczegółów NFZ.
– [ ] Zaplanuj budżet (licencje, sprzęt, szkolenia, wsparcie wdrożeniowe).
– [ ] Przygotuj procedury awaryjne: reset MFA, dostęp zastępczy, kontakt do wsparcia 24/7 dla dyżurów krytycznych.
– [ ] Zaktualizuj polityki bezpieczeństwa i rejestry RODO (art. 32 – środki techniczne).
– [ ] Uruchom pilotaż na ograniczonej grupie użytkowników; zbierz feedback.
– [ ] Opracuj materiały szkoleniowe i harmonogram szkoleń dla całego personelu.
– [ ] Zaplanuj termin produkcyjnego wdrożenia z buforem przed 24.11.2025 (np. 4–8 tygodni wcześniej).
– [ ] Ustal plan komunikacji wewnętrznej i wskaźniki sukcesu (np. odsetek aktywowanych drugich czynników, liczba incydentów).
– [ ] Monitoruj kolejne komunikaty NFZ i aktualizuj plan w miarę publikacji szczegółów technicznych.
#### Najczęstsze ryzyka i jak im zapobiegać
– Spadek wydajności rejestracji w pierwszych dniach: przewidź dodatkowe stanowiska i wsparcie „na sali”; włącz MFA wcześniej niż deadline, aby rozłożyć efekt nauki.
– Utrata drugiego czynnika przez użytkownika: wprowadź szybki proces odzyskiwania dostępu po weryfikacji tożsamości; utrzymuj niewielką pulę zapasowych kluczy sprzętowych.
– Brak kompatybilności sprzętu: sprawdź porty USB/NFC w stacjach roboczych; przetestuj rozwiązanie na typowych konfiguracjach.
– Niewystarczające testy integracji: przeprowadź testy end‑to‑end na środowisku zbliżonym do produkcji; sprawdź scenariusze wygaśnięcia sesji i przełączania użytkowników.
– Zależność od jednego kanału (np. SMS): zapewnij alternatywną metodę (aplikacja TOTP lub klucz), zwłaszcza dla dyżurów w lokalizacjach o słabszym zasięgu.
#### Podsumowanie i rekomendacje dla managerów
Przesunięcie obowiązkowego MFA w eWUŚ do 24 listopada 2025 r. to realna ulga czasowa, ale także sygnał, aby uporządkować dostęp do krytycznych systemów i podnieść poziom bezpieczeństwa. Najważniejsze kroki to: inwentaryzacja kont i ról, decyzja o metodach MFA, współpraca z dostawcą HIS, pilotaż oraz przygotowanie procedur i szkoleń. Zachowaj elastyczność – część szczegółów technicznych zależy od finalnych wytycznych NFZ. Placówki, które rozpoczną przygotowania teraz, zminimalizują ryzyko przestojów, przeprowadzą zmianę bezboleśnie dla pacjentów i zyskają trwalsze fundamenty bezpieczeństwa na przyszłość.
#### Źródło
Komunikat NFZ: Przesunięcie obligatoryjnego uruchomienia MFA w usługach eWUŚ na 24 listopada 2025 r. https://www.nfz.gov.pl/aktualnosci/aktualnosci-centrali/przesuniecie-obligatoryjnego-uruchomienia-mfa-w-uslugach-ewus-na-24-listopada-2025-r-,8851.html