Materiał powstał we współpracy z Polskim Towarzystwem Koordynowanej Ochrony Zdrowia (PTKOZ)
Jak wynika z raportu PTKOZ, branża wyraża duże zaniepokojenie nie tylko z powodu wielomilionowych kosztów, ale także ryzyka wstrzymania produkcji. Jak wyliczają autorzy raportu pt. „Wpływ projektu nowelizacji Ustawy o KSC na przedsiębiorców z branży farmaceutycznej”, problem, tylko w tym przypadku, może dotyczyć nawet 450 podmiotów. Liczba ta została oszacowana na podstawie danych zawartych w ocenie skutków regulacji (OSR) opracowanej przez Ministerstwo Cyfryzacji, zgodnie z którą nowelizacja ustawy obejmie łącznie 1248 podmiotów z sektora ochrony zdrowia. Choć OSR nie rozróżnia, ile z tej liczby dotyczy podmiotów leczniczych, a ile farmaceutycznych, autorzy raportu przyjmują, że regulacjami objęte będą głównie szpitale – obecnie około 800 według danych PTKOZ. W konsekwencji można założyć, że pozostałe około 450, to właśnie podmioty z branży farmaceutycznej. Szacowane koszty wdrożenia nowych przepisów idą w setki milionów złotych, a brak technologicznych zamienników z państw UE grozi wstrzymaniem produkcji i regresją konkurencyjności całego sektora. Czy Polska jest gotowa na taką cenę?
W obliczu rosnących zagrożeń cybernetycznych rządy państw Unii Europejskiej intensyfikują działania mające na celu zabezpieczenie infrastruktury krytycznej. W Polsce kluczowym instrumentem w tym zakresie ma być nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) będąca implementacją unijnej dyrektywy NIS2. Choć intencje legislatora wydają się słuszne, proponowane regulacje budzą poważne obawy wśród przedstawicieli branży farmaceutycznej. Raport PTKOZ pokazuje, że skutki nowelizacji mogą być znacznie bardziej kosztowne i dotkliwe, niż zakładają ustawodawcy.
Ogromne koszty
Z danych przedstawionych w raporcie wynika, że przeciętny przedsiębiorca z sektora farmaceutycznego może ponieść nawet 1,5 mln zł netto kosztów w ciągu pięciu lat w związku z koniecznością dostosowania się do nowych przepisów. Obejmuje to zarówno wymianę sprzętu i oprogramowania od tzw. dostawców wysokiego ryzyka, jak i wzrost kosztów związanych z serwisem i wsparciem technicznym. Łączny koszt w skali całego sektora oszacowano na ok. 675 mln zł netto.
– Nowelizacja ustawy o cyberbezpieczeństwie może kosztować branżę farmaceutyczną ponad 600 mln. zł. Sprostanie tak wysokim kosztom w świetle coraz to nowych opłat nakładanych na branżę farmaceutyczną, jak np. ustawa ściekowa, kaucyjna ogranicza de facto możliwość rozwoju i inwestowania branży, co zagraża bezpieczeństwu zdrowotnemu – podkreśla Irena Rej, prezes Izby Gospodarczej Farmacja Polska.
Co istotne, 61 proc. ankietowanych przedsiębiorców nie posiada podstawowej wiedzy na temat konsekwencji nowelizacji ustawy KSC, a w przypadku producentów i hurtowni farmaceutycznych odsetek ten sięga aż 82 proc.. Oznacza to, że znaczna część rynku nie jest przygotowana na nadchodzące zmiany, co dodatkowo potęguje ryzyko operacyjne i finansowe.
Sprzęt i produkcja zagrożone?
Jednym z najbardziej alarmujących wniosków raportu jest brak realnych alternatyw dla sprzętu i oprogramowania pochodzących od dostawców spoza Unii Europejskiej i NATO. 61 proc. firm twierdzi, że nie ma możliwości wymiany wykorzystywanych obecnie urządzeń na produkty pochodzące wyłącznie z państw unijnych i sojuszniczych. W przypadku oprogramowania, analogicznego zdania jest 62 proc. badanych.
Taki stan rzeczy może doprowadzić do poważnych problemów w utrzymaniu ciągłości produkcji oraz realizacji usług. Autorzy raportu szacują, że nawet połowa firm może mieć trudności z utrzymaniem efektywności operacyjnej po wejściu w życie przepisów skutkujących wykluczeniem obecnych dostawców. W 12 proc. firm ponad połowa zasobów technologicznych pochodzi spoza UE i NATO, a kolejne 36 proc. przedsiębiorstw wskazuje, że udział ten mieści się w przedziale 30–50 proc..
– Skupienie się wyłącznie na punktowych aspektach, takich jak sprzęt czy konkretne elementy oprogramowania, może okazać się niewystarczające. Co więcej, takie podejście może prowadzić do braku realnego wzrostu poziomu bezpieczeństwa, a jednocześnie generować dodatkowe koszty i utrudnienia. Kluczowe znaczenie w kontekście cyberbezpieczeństwa ma całościowa ocena wykorzystywanych urządzeń i systemów, zarówno pod względem ich odporności na zagrożenia, jak i sposobu przetwarzania danych oraz lokalizacji systemów, z którymi się komunikują (zarówno w trybie serwisowym, jak i podczas standardowej eksploatacji) – mówi Ireneusz Wochlik, członek zarządu Fundacja AI LAW TECH.
Nadregulacja, a konkurencyjność
Projekt nowelizacji ustawy KSC, będący implementacją unijnej dyrektywy NIS2 oraz zaleceń tzw. 5G Toolbox, zakłada objęcie regulacjami aż 18 sektorów, zrzeszających ok. 38 000 podmiotów, czyli znacznie więcej niż wymaga tego sama dyrektywa. Tak szerokie ujęcie problemu w praktyce oznacza znaczące obciążenia dla firm prywatnych.
Autorzy raportu zwracają uwagę, że żadne inne państwo członkowskie UE nie zdecydowało się na równie szerokie wdrożenie zaleceń 5G Toolbox poza sektorem telekomunikacyjnym. W Polsce rozszerzono definicję dostawcy wysokiego ryzyka m.in. o producentów sprzętu ICT, których działalność, zdaniem organów administracyjnych, może stwarzać zagrożenie dla bezpieczeństwa narodowego.
W efekcie istnieje ryzyko, że po wykluczeniu największych dostawców spoza UE w Europie nie będzie wystarczającej podaży rozwiązań technologicznych, które mogłyby zastąpić wycofane produkty. To może doprowadzić do spadku konkurencyjności całej branży, a nawet technologicznego regresu, szczególnie w kontekście globalnego wyścigu innowacyjności.
Niepewność i brak precyzji
W raporcie wskazano też na nieprecyzyjność nowych regulacji. Choć projekt zakłada objęcie przepisami firm średnich i dużych, pozostawia furtkę do uznaniowego rozszerzenia obowiązków na dowolne podmioty, niezależnie od wielkości. Minister właściwy ds. informatyzacji będzie miał kompetencje do arbitralnego uznawania firm za dostawców wysokiego ryzyka, co wprowadza element niepewności prawnej i ryzyko decyzji o charakterze politycznym.
Co więcej, projekt nie zawiera precyzyjnych wyliczeń dotyczących kosztów dostosowawczych dla przedsiębiorców. Rządowa ocena skutków regulacji skupia się niemal wyłącznie na kosztach dla sektora publicznego, pomijając obciążenia, jakie spadną na prywatnych przedsiębiorców.
Potrzebna rozwaga i dialog
Choć potrzeba podniesienia poziomu cyberbezpieczeństwa w kluczowych sektorach gospodarki nie budzi wątpliwości, sposób realizacji tych działań powinien być przedmiotem pogłębionej analizy i konsultacji. Autorzy raportu apelują o większy realizm legislacyjny i oparcie nowych regulacji na twardych danych, a nie ogólnych założeniach.
Branża farmaceutyczna, będąca jednym z filarów bezpieczeństwa zdrowotnego państwa, może stanąć przed poważnym dylematem: wdrożyć kosztowne zmiany, często niemożliwe do realizacji technicznie i organizacyjnie, lub narazić się na sankcje i ryzyko przerwania działalności. Jedno jest pewne – skutki nowelizacji ustawy KSC odczują nie tylko przedsiębiorcy, ale pośrednio także pacjenci i cały system ochrony zdrowia.
Materiał powstał we współpracy z Polskim Towarzystwem Koordynowanej Ochrony Zdrowia (PTKOZ)
