NOCLEGI
ROZKŁADY
Szpitale to infrastruktura krytyczna - brakuje dedykowanego komponentu SAFE
fot. nadesłane - na zdjęciu Michał Dybowski, Prezes Healthcare Poland Foundation, Forum Ekspertów Ad Rem
Infrastruktura krytyczna formalnie objęta reżimem bezpieczeństwa nie otrzymuje dedykowanego wsparcia w jednym z największych programów bezpieczeństwa UE.
Bezpieczeństwo państwa to nie tylko systemy rakietowe i kryptologia wojskowa. To również ciągłość funkcjonowania oddziału intensywnej terapii, dostęp do dokumentacji medycznej, sprawny system obrazowania, odporna infrastruktura energetyczna i cyfrowa placówek leczniczych. Współczesny atak na szpital może mieć skutki porównywalne z atakiem kinetycznym – z tą różnicą, że jest cichy, szybki i często niedostrzegalny dla opinii publicznej. Polskie szpitale potrzebują mechanizmów szybkiego reagowania – krajowych funduszy, procedur awaryjnych, uproszczonych ścieżek inwestycyjnych. SAFE w obecnym kształcie takiej elastyczności nie gwarantuje. Program obejmuje lata 2025–2030, lecz według doniesień medialnych wysoki popyt może doprowadzić do wyczerpania środków już w 2026 r. Dla sektora zdrowia oznacza to ryzyko, że infrastruktura medyczna nie zdąży zostać uwzględniona w alokacji.
Szpitale są formalnie uznane za element infrastruktury krytycznej w świetle regulacji takich jak NIS2 Directive czy dyrektywa CER (Critical Entities Resilience). W Polsce placówki medyczne podlegają rosnącym obowiązkom w zakresie zarządzania ryzykiem, raportowania incydentów, budowy systemów monitoringu i planów ciągłości działania. Z punktu widzenia sektora zdrowia mamy więc do czynienia z paradoksem: infrastruktura krytyczna formalnie objęta reżimem bezpieczeństwa nie otrzymuje dedykowanego wsparcia w jednym z największych programów bezpieczeństwa UE.
SAFE jest ambitnym projektem w obszarze obronności. Jednak bez wyraźnego komponentu dedykowanego odporności infrastruktury medycznej jego wpływ na bezpieczeństwo szpitali będzie ograniczony. Bezpieczny szpital to element bezpieczeństwa narodowego – tak samo istotny jak infrastruktura energetyczna czy systemy obronne. Jeżeli Europa rzeczywiście buduje architekturę odporności, musi uwzględnić ochronę zdrowia jako jej centralny filar, a nie peryferyjny dodatek.
W praktyce SAFE koncentruje się na zamykaniu luk militarnych. Ochrona e-zdrowia, interoperacyjność systemów medycznych z NATO czy zabezpieczenia przed atakami DDoS w warunkach konfliktu hybrydowego nie stanowią wyraźnie wyodrębnionych priorytetów. Szpital w czasie kryzysu – czy to epidemicznego, czy militarnego – jest elementem systemu odporności państwa. Bez zabezpieczonej infrastruktury cyfrowej nie ma mowy o ciągłości świadczeń.
SAFE promuje strategiczną autonomię UE i preferencję dla europejskiego przemysłu. Idea jest zrozumiała politycznie. Jednak w obszarze cyberbezpieczeństwa liderami technologii są również podmioty z USA i Izraela.
SAFE nie jest instrumentem grantowym. To mechanizm pożyczkowy finansowany emisją obligacji UE. Państwa członkowskie zaciągają zobowiązania, które będą spłacane przez lata – niezależnie od efektywności projektów.
Z perspektywy polskiego systemu zdrowia, który i tak boryka się z niedoborem środków, zadłużeniem placówek i presją kosztową (energia, wynagrodzenia, technologie), dodatkowe obciążenie fiskalne rodzi poważne pytania.
Jeżeli Polska wnioskuje o kilkadziesiąt miliardów euro, a część tych środków nie trafi bezpośrednio na wzmocnienie infrastruktury cywilnej, pojawia się pytanie o proporcjonalność.
• Czy system ochrony zdrowia – jako element bezpieczeństwa narodowego – otrzyma adekwatny udział w finansowaniu?
• Czy zadłużenie państwa przełoży się na realne podniesienie odporności szpitali?
• Czy w sytuacji niewystarczającego wykorzystania środków Polska powinna współfinansować długi innych państw?
Mechanizm quasi-wspólnego zadłużenia, bez wyraźnej klauzuli proporcjonalności, budzi wątpliwości co do sprawiedliwości finansowej i efektywności.
W ostatnich latach Europa doświadczyła szeregu poważnych incydentów:
• ransomware blokujące systemy HIS i RIS
• ataki DDoS na infrastrukturę sieciową
• wycieki danych pacjentów
• próby sabotażu systemów zasilania i łączności
W 2024 r. również w Polsce obserwowaliśmy incydenty paraliżujące pracę szpitali powiatowych i klinicznych. Personel wracał do papierowej dokumentacji, operacje były przekładane, a ryzyko medyczne rosło.
Oznacza to, że projekty takie jak:
• budowa regionalnych SOC dla szpitali
• wdrożenie SIEM i systemów detekcji anomalii
• segmentacja sieci i architektura Zero Trust
• szkolenia personelu medycznego z zakresu cyberhigieny
• modernizacja infrastruktury serwerowej i backupowej
nie stanowią naturalnego, oczywistego beneficjenta SAFE.
Szpital to nie tylko podmiot leczniczy. To:
• węzeł infrastruktury energetycznej,
• centrum przetwarzania danych wrażliwych,
• element systemu reagowania kryzysowego,
• instytucja zaufania publicznego.
Atak na szpital destabilizuje społeczeństwo i podważa zaufanie do państwa. Dlatego inwestycje w cyberbezpieczeństwo zdrowia powinny być traktowane jako element polityki obronnej – ale wprost, a nie pośrednio.
Program SAFE – Security Action for Europe, przyjęty przez Rada Unii Europejskiej 27 maja 2025 r., a obowiązujący od 29 maja 2025 r., został przedstawiony jako jeden z filarów nowej architektury bezpieczeństwa Unii Europejskiej. Mechanizm o wartości do 150 mld euro, oparty na niskoprocentowych, długoterminowych pożyczkach, ma wspierać państwa członkowskie w inwestycjach obronnych – głównie poprzez wspólne zakupy w europejskim przemyśle zbrojeniowym.
Polska została włączona do drugiej fali zatwierdzeń 26 stycznia 2026 r., obok Estonii, Grecji, Włoch, Łotwy, Litwy, Słowacji i Finlandii. W debacie publicznej dominuje entuzjazm. SAFE jawi się jako instrument solidarności i wzmocnienia zdolności strategicznych.
Aby uzyskać środki z SAFE, państwa muszą przedłożyć National Defence Investment Plans, które podlegają rygorystycznej ocenie Komisji Europejskiej. Proces zatwierdzania jest wieloetapowy i czasochłonny.
Healthcare Poland Foundation powstała jako naturalna konsekwencja rozwoju Polskiej Federacji Szpitali (PFSz) i przenosi do sfery innowacji technologicznych doświadczenie ponad dekady pracy tej organizacji na rzecz poprawy jakości zarządzania, bezpieczeństwa i efektywności szpitali. Ten dorobek – budowany w partnerstwie z Ministerstwem Zdrowia, Centrum e-Zdrowia (CEZ) i wieloma podmiotami rynku – zobowiązuje do rzeczowej, opartej na faktach oceny projektów, które mają kształtować przyszłość polskiego e-zdrowia.
https://healthcarepoland.pl/
Michał Piotr Dybowski, Forum Ekspertów Ad Rem
• Prezes Healthcare Poland Foundation
• Dyrektor Departamentu Zrównoważonego Rozwoju i Bezpieczeństwa Szpitali PFSz
• Lider Sekcji Piaskownic Regulacyjnych AI w GRAI przy Ministerstwie Cyfryzacji
https://adremeksperci.pl/
https://x.com/AdRemForum
https://www.linkedin.com/company/forum-ekspert%C3%B3w-ad-rem/about/
Szpitale są formalnie uznane za element infrastruktury krytycznej w świetle regulacji takich jak NIS2 Directive czy dyrektywa CER (Critical Entities Resilience). W Polsce placówki medyczne podlegają rosnącym obowiązkom w zakresie zarządzania ryzykiem, raportowania incydentów, budowy systemów monitoringu i planów ciągłości działania. Z punktu widzenia sektora zdrowia mamy więc do czynienia z paradoksem: infrastruktura krytyczna formalnie objęta reżimem bezpieczeństwa nie otrzymuje dedykowanego wsparcia w jednym z największych programów bezpieczeństwa UE.
Z perspektywy dyrektora odpowiedzialnego za zrównoważony rozwój i bezpieczeństwo szpitali w Polskiej Federacji Szpitali, moja ocena jest znacznie bardziej ostrożna. W kontekście ochrony infrastruktury krytycznej – jaką są szpitale – program SAFE rodzi więcej pytań niż odpowiedz. Oczekujemy, że europejski program bezpieczeństwa o takiej skali finansowej będzie zawierał wyraźny, dedykowany komponent dla ochrony infrastruktury zdrowotnej. SAFE takiego komponentu nie posiada. Program koncentruje się na „priority defence capabilities” i wspólnych zakupach w obszarze przemysłu obronnego. Technologie dual-use są wprawdzie dopuszczalne, ale ich praktyczna alokacja skupia się na lukach militarnych, a nie na odporności cywilnej infrastruktury medycznej. Z perspektywy Polskiej Federacji Szpitali postuluję wpisanie cyberbezpieczeństwa szpitali jako wyraźnego priorytetu w krajowych planach SAFE, utworzenie narodowego funduszu odporności cyfrowej ochrony zdrowia, Powiązanie finansowania z audytami NIS2 i realnymi wskaźnikami efektywności, zachowanie elastyczności w doborze technologii – bez sztucznych ograniczeń geograficznych, integrację planów bezpieczeństwa szpitali z systemami NATO i obroną cywilną oraz budowę kompetencji personelu jako elementu strategii odporności – tłumaczy Michał Dybowski,
Prezes Healthcare Poland Foundation,
dyrektor Departamentu Bezpieczeństwa i Zrównoważonego Rozwoju
Polskiej Federacji, Forum Ekspertów Ad Rem.
SAFE jest ambitnym projektem w obszarze obronności. Jednak bez wyraźnego komponentu dedykowanego odporności infrastruktury medycznej jego wpływ na bezpieczeństwo szpitali będzie ograniczony. Bezpieczny szpital to element bezpieczeństwa narodowego – tak samo istotny jak infrastruktura energetyczna czy systemy obronne. Jeżeli Europa rzeczywiście buduje architekturę odporności, musi uwzględnić ochronę zdrowia jako jej centralny filar, a nie peryferyjny dodatek.
W praktyce SAFE koncentruje się na zamykaniu luk militarnych. Ochrona e-zdrowia, interoperacyjność systemów medycznych z NATO czy zabezpieczenia przed atakami DDoS w warunkach konfliktu hybrydowego nie stanowią wyraźnie wyodrębnionych priorytetów. Szpital w czasie kryzysu – czy to epidemicznego, czy militarnego – jest elementem systemu odporności państwa. Bez zabezpieczonej infrastruktury cyfrowej nie ma mowy o ciągłości świadczeń.
SAFE promuje strategiczną autonomię UE i preferencję dla europejskiego przemysłu. Idea jest zrozumiała politycznie. Jednak w obszarze cyberbezpieczeństwa liderami technologii są również podmioty z USA i Izraela.
SAFE nie jest instrumentem grantowym. To mechanizm pożyczkowy finansowany emisją obligacji UE. Państwa członkowskie zaciągają zobowiązania, które będą spłacane przez lata – niezależnie od efektywności projektów.
Z perspektywy polskiego systemu zdrowia, który i tak boryka się z niedoborem środków, zadłużeniem placówek i presją kosztową (energia, wynagrodzenia, technologie), dodatkowe obciążenie fiskalne rodzi poważne pytania.
Jeżeli Polska wnioskuje o kilkadziesiąt miliardów euro, a część tych środków nie trafi bezpośrednio na wzmocnienie infrastruktury cywilnej, pojawia się pytanie o proporcjonalność.
• Czy system ochrony zdrowia – jako element bezpieczeństwa narodowego – otrzyma adekwatny udział w finansowaniu?
• Czy zadłużenie państwa przełoży się na realne podniesienie odporności szpitali?
• Czy w sytuacji niewystarczającego wykorzystania środków Polska powinna współfinansować długi innych państw?
Mechanizm quasi-wspólnego zadłużenia, bez wyraźnej klauzuli proporcjonalności, budzi wątpliwości co do sprawiedliwości finansowej i efektywności.
W ostatnich latach Europa doświadczyła szeregu poważnych incydentów:
• ransomware blokujące systemy HIS i RIS
• ataki DDoS na infrastrukturę sieciową
• wycieki danych pacjentów
• próby sabotażu systemów zasilania i łączności
W 2024 r. również w Polsce obserwowaliśmy incydenty paraliżujące pracę szpitali powiatowych i klinicznych. Personel wracał do papierowej dokumentacji, operacje były przekładane, a ryzyko medyczne rosło.
Oznacza to, że projekty takie jak:
• budowa regionalnych SOC dla szpitali
• wdrożenie SIEM i systemów detekcji anomalii
• segmentacja sieci i architektura Zero Trust
• szkolenia personelu medycznego z zakresu cyberhigieny
• modernizacja infrastruktury serwerowej i backupowej
nie stanowią naturalnego, oczywistego beneficjenta SAFE.
Szpital to nie tylko podmiot leczniczy. To:
• węzeł infrastruktury energetycznej,
• centrum przetwarzania danych wrażliwych,
• element systemu reagowania kryzysowego,
• instytucja zaufania publicznego.
Atak na szpital destabilizuje społeczeństwo i podważa zaufanie do państwa. Dlatego inwestycje w cyberbezpieczeństwo zdrowia powinny być traktowane jako element polityki obronnej – ale wprost, a nie pośrednio.
Program SAFE – Security Action for Europe, przyjęty przez Rada Unii Europejskiej 27 maja 2025 r., a obowiązujący od 29 maja 2025 r., został przedstawiony jako jeden z filarów nowej architektury bezpieczeństwa Unii Europejskiej. Mechanizm o wartości do 150 mld euro, oparty na niskoprocentowych, długoterminowych pożyczkach, ma wspierać państwa członkowskie w inwestycjach obronnych – głównie poprzez wspólne zakupy w europejskim przemyśle zbrojeniowym.
Polska została włączona do drugiej fali zatwierdzeń 26 stycznia 2026 r., obok Estonii, Grecji, Włoch, Łotwy, Litwy, Słowacji i Finlandii. W debacie publicznej dominuje entuzjazm. SAFE jawi się jako instrument solidarności i wzmocnienia zdolności strategicznych.
Aby uzyskać środki z SAFE, państwa muszą przedłożyć National Defence Investment Plans, które podlegają rygorystycznej ocenie Komisji Europejskiej. Proces zatwierdzania jest wieloetapowy i czasochłonny.
Healthcare Poland Foundation powstała jako naturalna konsekwencja rozwoju Polskiej Federacji Szpitali (PFSz) i przenosi do sfery innowacji technologicznych doświadczenie ponad dekady pracy tej organizacji na rzecz poprawy jakości zarządzania, bezpieczeństwa i efektywności szpitali. Ten dorobek – budowany w partnerstwie z Ministerstwem Zdrowia, Centrum e-Zdrowia (CEZ) i wieloma podmiotami rynku – zobowiązuje do rzeczowej, opartej na faktach oceny projektów, które mają kształtować przyszłość polskiego e-zdrowia.
https://healthcarepoland.pl/
Michał Piotr Dybowski, Forum Ekspertów Ad Rem
• Prezes Healthcare Poland Foundation
• Dyrektor Departamentu Zrównoważonego Rozwoju i Bezpieczeństwa Szpitali PFSz
• Lider Sekcji Piaskownic Regulacyjnych AI w GRAI przy Ministerstwie Cyfryzacji
https://adremeksperci.pl/
https://x.com/AdRemForum
https://www.linkedin.com/company/forum-ekspert%C3%B3w-ad-rem/about/
PRZECZYTAJ JESZCZE
