AI Act i NIS2 wymuszą nowe podejście do zarządzania ryzykiem w szpitalach

-Reklama-Biuro Tłumaczeń OnlineBiuro Tłumaczeń Online

Debata o ESG w ochronie zdrowia została zdominowana przez narracje o śladzie węglowym. To pomyłka. Prawdziwy driver zmian jest policzalny: w Polsce sam koszt wdrożenia NIS2 w szpitalach szacowany jest na 3,7 mld zł, średnio 4,6 mln zł na placówkę. Globalnie średni koszt naruszenia danych w zdrowiu sięgnął 39 mln zł (9,8 mln USD). W 2024 roku Polska zanotowała 1028 incydentów cyberbezpieczeństwa w sektorze zdrowia – aż 2,5 razy więcej niż rok wcześniej. Dyrektywa CSRD generuje wielomilionowe koszty compliance. A piaskownice regulacyjne AI – wymagane przez AI Act – to jedyne środowisko, w którym te koszty można oszacować i ograniczyć przed wdrożeniem na żywy system.

Według danych Centrum e-Zdrowia (CEZ), Polska zanotowała w 2024 roku 1028 incydentów cyberbezpieczeństwa w sektorze zdrowia – aż 2,5 razy więcej niż w 2023 roku. Do końca sierpnia 2025 roku było ich już 946. Polska jest w europejskiej czołówce państw atakowanych cybernetycznie, m.in. ze względów geopolitycznych.

W marcu 2025 roku celem ataku ransomware padł szpital MSWiA w Krakowie. Rok później, w marcu 2026, zaatakowany został Szpital Wojewódzki w Szczecinie – cyberprzestępcy zażądali kilku milionów dolarów okupu (szacunkowo 16–20 mln zł), prokuratura wszczęła śledztwo. Placówka przeszła na papierowy tryb pracy, ograniczyła przyjęcia i odsyała pacjentów do innych lecznic.

Tymczasem 72% polskich placówek nie dysponuje zespołami ds. cyberbezpieczeństwa, a tylko 25% zapewniło szkolenia w ciągu ostatniego roku. 60% podmiotów nie monitoruje podatności. NFZ oferuje do 900 tys. zł wsparcia – ale ustawa o KSC (NIS2) wygeneruje koszty rzędu 3,7 mld zł dla sektora szpitalnego, średnio 4,6 mln zł na placówkę w 5 lat. Państwo przeznaczyło rekordowe 4 mld zł na cyberbezpieczeństwo w 2025 roku, ale szpitale muszą znaleźć pozostałe środki same.

– Nie potrzebujemy kolejnych deklaracji o zrównoważonym rozwoju. Potrzebujemy narzędzi, które pozwolą każdemu dyrektorowi szpitala zobaczyć w złotówkach, ile kosztuje brak odporności – i ile można zaoszczędzić, testując innowację przed wdrożeniem. Tu wchodzi piaskownica regulacyjna AI (AI Act, Rozp. 2024/1689). Kontrolowane środowisko testowe z nadzorem regulatora. Jej wartość wykracza poza walidację technologiczną – pozwala oszacować trzy wymiary ESG w złotówkach. Nie ślad węglowy budzi dyrektorom szpitali bezsenność, lecz ryzyko operacyjne. W Polsce: 946 incydentów do VIII.2025. Szczecin III.2026: miliony dolarów okupu, tryb papierowy. Na świecie: +15% wizyt na SOR-ach po ransomware (JAMA). Change Healthcare: paraliż rozliczeń w USA. CrowdStrike: wyłączenie usług cyfrowych dla pacjentów. Realna treść ESG w zdrowiu nie polega na raporcie o emisjach. Polega na trzech pytaniach: ciągłość działania (E), bezpieczeństwo pacjenta w kryzysie (S), zdolność zarządzania ryzykiem systemowym (G). To ESG mierzone w złotówkach – wskazuje Michał Dybowski, Prezes Healthcare Poland Foundation, dyrektor Departamentu Bezpieczeństwa i Zrównoważonego Rozwoju Polskiej Federacji Szpitali, Forum Ekspertów Ad Rem.

Europejska dyrektywa bez procesów, standardów i narzędzi pomiaru nie będzie umożliwiać transgranicznej opieki

Dyrektywa 2011/24/UE ustanowiła ramy opieki transgranicznej, ale nie rozwiązała problemu standardów bezpieczeństwa cyfrowego. WHO wskazała 6 zasad etycznego AI – każda ma wymiar kosztowy. Piaskownice regulacyjne pozwalają porównywać rozwiązania między krajami w kontrolowanych warunkach. Dla Polski – jednego z najczęściej atakowanych krajów UE – to szansa na budowanie eksportowalnych kompetencji.

ESG + AI sandbox to jedno równanie kosztowe

ESG w zdrowiu jest równaniem kosztowym. Po jednej stronie: 39 mln zł per naruszenie, 3,7 mld zł za NIS2, 72–240 mln zł za CSRD, 19 dni przestoju. Po drugiej: możliwość oszacowania i konwersji tych kosztów w wartość – w środowisku pomiaru.

Piaskownica AI jest tym środowiskiem. Bez kontrolowanego testowania nie da się oddzielić innowacji obniżającej koszty od innowacji, która je generuje. Bez tego ESG to pusty raport – kosztowny, ale bez wartości.

O sile polskiego systemu zdrowia zdecyduje zdolność do mierzalnego wdrażania innowacji. To test dojrzałości – regulatora, NFZ, federacji szpitali i każdej placówki.

KLUCZOWE FAKTY W ZŁOTYCH

  • 39 mln zł (9,8 mln USD) – średni koszt naruszenia danych w zdrowiu (2024). Prognoza 2026: >48 mln zł
  • 4,6 mln zł – średni koszt NIS2 per szpital w Polsce (5 lat). Łącznie: 3,7 mld zł
  • 028 incydentów cyber w polskim zdrowiu (2024); 946 do VIII.2025
  • 72% polskich placówek nie ma zespołu cyber. 60% nie monitoruje podatności.
  • 72–240 mln zł – koszt zgodności z CSRD dla dużych organizacji
  • 19 dni – średni przestój szpitala po ransomware na świecie
  • AI Act wymaga krajowych piaskownic regulacyjnych – środowisk pomiaru kosztów i ryzyka
Autor/Źródło:

Disclaimer: Informacje zawarte w niniejszej publikacji służą wyłącznie do celów informacyjnych. Nie stanowią one porady finansowej lub jakiejkolwiek innej porady, mają charakter ogólny i nie są skierowane dla konkretnego adresata. Przed skorzystaniem z informacji w jakichkolwiek celach należy zasięgnąć niezależnej porady.

Polecane

Kancelaria podatkowa ukarana za przejęte konto e-mail. Prezes UODO nałożył ponad 11 tys. zł kary

Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski nałożył karę...

Od ochrony systemów do zarządzania ryzykiem. Tak ewoluuje rola CISO

Jeszcze kilka lat temu niewiele polskich przedsiębiorstw posiadało w...

Biały fartuch to nie immunitet. Lekarz powinien odnawiać zaufanie, nie tylko dyplom

Lekarz nie jest zwykłym usługodawcą. Pacjent nie przychodzi do...

Nowy atak przejmuje konta Microsoft 365 bez kradzieży hasła

Analitycy ESET ostrzegają przed nowym rodzajem phishingu, który tylko...

Baker McKenzie: Nowe przepisy o cyberbezpieczeństwie wyzwaniem dla wielu firm energetycznych w Polsce

Nowa unijna dyrektywa NIS2 zwiększająca poziom cyberbezpieczeństwa w infrastrukturze...
Wiadomości

Baker McKenzie: Nowe przepisy o cyberbezpieczeństwie wyzwaniem dla wielu firm energetycznych w Polsce

Nowa unijna dyrektywa NIS2 zwiększająca poziom cyberbezpieczeństwa w infrastrukturze...

Kancelaria podatkowa ukarana za przejęte konto e-mail. Prezes UODO nałożył ponad 11 tys. zł kary

Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski nałożył karę...

Biały fartuch to nie immunitet. Lekarz powinien odnawiać zaufanie, nie tylko dyplom

Lekarz nie jest zwykłym usługodawcą. Pacjent nie przychodzi do...

Od ochrony systemów do zarządzania ryzykiem. Tak ewoluuje rola CISO

Jeszcze kilka lat temu niewiele polskich przedsiębiorstw posiadało w...

Nowy atak przejmuje konta Microsoft 365 bez kradzieży hasła

Analitycy ESET ostrzegają przed nowym rodzajem phishingu, który tylko...

DeepSeek wskazał sposób na atak przez legalną funkcję przeglądarki

Nie potrzeba już exploita, złośliwego załącznika ani instalacji podejrzanej...

Magdalena Sobkowiak-Czarnecka nowym pełnomocnikiem rządu ds. odporności państwa

Magdalena Sobkowiak-Czarnecka zostanie Pełnomocnikiem Rządu do spraw Wzmocnienia Odporności...

Google: Polska potrzebuje odpornej architektury cyfrowej dla obronności

Spośród wszystkich członków NATO to Polska w 2025 roku...
Coś dla Ciebie

Wybrane kategorie