Debata o ESG w ochronie zdrowia została zdominowana przez narracje o śladzie węglowym. To pomyłka. Prawdziwy driver zmian jest policzalny: w Polsce sam koszt wdrożenia NIS2 w szpitalach szacowany jest na 3,7 mld zł, średnio 4,6 mln zł na placówkę. Globalnie średni koszt naruszenia danych w zdrowiu sięgnął 39 mln zł (9,8 mln USD). W 2024 roku Polska zanotowała 1028 incydentów cyberbezpieczeństwa w sektorze zdrowia – aż 2,5 razy więcej niż rok wcześniej. Dyrektywa CSRD generuje wielomilionowe koszty compliance. A piaskownice regulacyjne AI – wymagane przez AI Act – to jedyne środowisko, w którym te koszty można oszacować i ograniczyć przed wdrożeniem na żywy system.
Według danych Centrum e-Zdrowia (CEZ), Polska zanotowała w 2024 roku 1028 incydentów cyberbezpieczeństwa w sektorze zdrowia – aż 2,5 razy więcej niż w 2023 roku. Do końca sierpnia 2025 roku było ich już 946. Polska jest w europejskiej czołówce państw atakowanych cybernetycznie, m.in. ze względów geopolitycznych.
W marcu 2025 roku celem ataku ransomware padł szpital MSWiA w Krakowie. Rok później, w marcu 2026, zaatakowany został Szpital Wojewódzki w Szczecinie – cyberprzestępcy zażądali kilku milionów dolarów okupu (szacunkowo 16–20 mln zł), prokuratura wszczęła śledztwo. Placówka przeszła na papierowy tryb pracy, ograniczyła przyjęcia i odsyała pacjentów do innych lecznic.
Tymczasem 72% polskich placówek nie dysponuje zespołami ds. cyberbezpieczeństwa, a tylko 25% zapewniło szkolenia w ciągu ostatniego roku. 60% podmiotów nie monitoruje podatności. NFZ oferuje do 900 tys. zł wsparcia – ale ustawa o KSC (NIS2) wygeneruje koszty rzędu 3,7 mld zł dla sektora szpitalnego, średnio 4,6 mln zł na placówkę w 5 lat. Państwo przeznaczyło rekordowe 4 mld zł na cyberbezpieczeństwo w 2025 roku, ale szpitale muszą znaleźć pozostałe środki same.
– Nie potrzebujemy kolejnych deklaracji o zrównoważonym rozwoju. Potrzebujemy narzędzi, które pozwolą każdemu dyrektorowi szpitala zobaczyć w złotówkach, ile kosztuje brak odporności – i ile można zaoszczędzić, testując innowację przed wdrożeniem. Tu wchodzi piaskownica regulacyjna AI (AI Act, Rozp. 2024/1689). Kontrolowane środowisko testowe z nadzorem regulatora. Jej wartość wykracza poza walidację technologiczną – pozwala oszacować trzy wymiary ESG w złotówkach. Nie ślad węglowy budzi dyrektorom szpitali bezsenność, lecz ryzyko operacyjne. W Polsce: 946 incydentów do VIII.2025. Szczecin III.2026: miliony dolarów okupu, tryb papierowy. Na świecie: +15% wizyt na SOR-ach po ransomware (JAMA). Change Healthcare: paraliż rozliczeń w USA. CrowdStrike: wyłączenie usług cyfrowych dla pacjentów. Realna treść ESG w zdrowiu nie polega na raporcie o emisjach. Polega na trzech pytaniach: ciągłość działania (E), bezpieczeństwo pacjenta w kryzysie (S), zdolność zarządzania ryzykiem systemowym (G). To ESG mierzone w złotówkach – wskazuje Michał Dybowski, Prezes Healthcare Poland Foundation, dyrektor Departamentu Bezpieczeństwa i Zrównoważonego Rozwoju Polskiej Federacji Szpitali, Forum Ekspertów Ad Rem.
Europejska dyrektywa bez procesów, standardów i narzędzi pomiaru nie będzie umożliwiać transgranicznej opieki
Dyrektywa 2011/24/UE ustanowiła ramy opieki transgranicznej, ale nie rozwiązała problemu standardów bezpieczeństwa cyfrowego. WHO wskazała 6 zasad etycznego AI – każda ma wymiar kosztowy. Piaskownice regulacyjne pozwalają porównywać rozwiązania między krajami w kontrolowanych warunkach. Dla Polski – jednego z najczęściej atakowanych krajów UE – to szansa na budowanie eksportowalnych kompetencji.
ESG + AI sandbox to jedno równanie kosztowe
ESG w zdrowiu jest równaniem kosztowym. Po jednej stronie: 39 mln zł per naruszenie, 3,7 mld zł za NIS2, 72–240 mln zł za CSRD, 19 dni przestoju. Po drugiej: możliwość oszacowania i konwersji tych kosztów w wartość – w środowisku pomiaru.
Piaskownica AI jest tym środowiskiem. Bez kontrolowanego testowania nie da się oddzielić innowacji obniżającej koszty od innowacji, która je generuje. Bez tego ESG to pusty raport – kosztowny, ale bez wartości.
O sile polskiego systemu zdrowia zdecyduje zdolność do mierzalnego wdrażania innowacji. To test dojrzałości – regulatora, NFZ, federacji szpitali i każdej placówki.
KLUCZOWE FAKTY W ZŁOTYCH
- 39 mln zł (9,8 mln USD) – średni koszt naruszenia danych w zdrowiu (2024). Prognoza 2026: >48 mln zł
- 4,6 mln zł – średni koszt NIS2 per szpital w Polsce (5 lat). Łącznie: 3,7 mld zł
- 028 incydentów cyber w polskim zdrowiu (2024); 946 do VIII.2025
- 72% polskich placówek nie ma zespołu cyber. 60% nie monitoruje podatności.
- 72–240 mln zł – koszt zgodności z CSRD dla dużych organizacji
- 19 dni – średni przestój szpitala po ransomware na świecie
- AI Act wymaga krajowych piaskownic regulacyjnych – środowisk pomiaru kosztów i ryzyka
