W związku z planowaną nowelizacją ustawy o Krajowym Systemie Cyberbezpieczeństwa, sektor farmaceutyczny w Polsce stanie przed ogromnymi wyzwaniami organizacyjnymi i finansowymi. Nowe przepisy mogą wymusić wymianę sprzętu i oprogramowania pochodzącego od tzw. dostawców wysokiego ryzyka.
Nowelizacja ustawy o cyberbezpieczeństwie może kosztować branżę farmaceutyczną 675 mln zł
Opublikowano 17 kwietnia 2025 09:25
Fot. Thinkstock/Getty Images
Jak czytamy w raporcie, który powstał pod patronatem Polskiego Towarzystwa Koordynowanej Ochrony Zdrowia, Izby Gospodarczej „Farmacja Polska” i Fundacji AI LAW TECH, w kwietniu 2024 r. na stronie Rządowego Centrum Legislacji został opublikowany projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. Projekt ma implementować do krajowego porządku prawnego tzw. dyrektywę NIS2, czyli dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii. Zgodnie z ogólnie dostępnymi stanowiskami i opiniami prawnymi, projekt dokonuje transpozycji postanowień NIS2 w szerszym zakresie niż wymaga tego sama dyrektywa. Polska jako jedyny kraj postanowiła w jednym akcie prawnym wdrożyć rozwiązania wynikające z dyrektywy NIS2 oraz 5G Toolbox, rozszerzając przy tym regulacje dotyczące dostawców wysokiego ryzyka (tzw. DWR) na wszystkie 18 sektorów, a nie tylko sieci 5G. W liście podmiotów w obszarze ochrony zdrowia znalazły się również te, które odpowiadają za produkcję i dystrybucję leków oraz substancji czynnych.
Według autorów raportu, średni koszt operacji wymiany oprogramowania i sprzętu dla jednej firmy może przekroczyć 1,5 mln zł netto w pięcioletniej perspektywie. Dla całej branży oznacza to łączny koszt rzędu 675 mln zł. Co więcej, aż 61 proc. ankietowanych firm nie zna szczegółów nadchodzących zmian, co dodatkowo potęguje niepewność regulacyjną.
Przedstawiciele branży apelują o większą precyzję przepisów i realne wsparcie w procesie transformacji technologicznej, zwłaszcza że aż 81 proc. firm nie widzi możliwości łatwej wymiany sprzętu na odpowiedniki z UE czy NATO.
– Skupienie się wyłącznie na punktowych aspektach, takich jak sprzęt czy konkretne elementy oprogramowania, może okazać się niewystarczające. Co więcej, takie podejście może prowadzić do braku realnego wzrostu poziomu bezpieczeństwa, a jednocześnie generować dodatkowe koszty i utrudnienia. Kluczowe znaczenie w kontekście cyberbezpieczeństwa ma całościowa ocena wykorzystywanych
urządzeń i systemów – zarówno pod względem ich odporności na zagrożenia, jak i sposobu przetwarzania danych oraz lokalizacji systemów, z którymi się komunikują (zarówno w trybie serwisowym, jak i podczas standardowej eksploatacji). Samo miejsce wytworzenia sprzętu czy oprogramowania nie powinno być traktowane jako decydujące
kryterium. Znacznie ważniejsze są mechanizmy kontroli, sterowania i dostępu do danych – oraz to, kto faktycznie może te dane pozyskiwać i nimi zarządzać – komentuje Ireneusz Wochlik, członek zarządu Fundacji AI LAW TECH.
