Cyfrowy szpital bez odporności to ryzyko dla pacjenta, nie postęp

Polska inwestuje miliardy w e-zdrowie. Rząd właśnie przyjął projekt ustawy o rozwoju usług e-zdrowia. To krok potrzebny i oczekiwany. Ale jest też pytanie, którego nie wolno dziś pomijać: czy cyfrowy szpital będzie działał także wtedy, gdy padnie ofiarą cyberataku albo poważnej awarii? Nowe przepisy mają poprawić dostępność, jakość i koordynację świadczeń, a projekt wpisuje się w realizację KPO. W przestrzeni publicznej mówi się przy tym o ponad 3 mld zł na cyfryzację szpitali.

Jako pacjent chcę nowoczesnej ochrony zdrowia. Chcę szybkiej diagnostyki, sprawnej rejestracji, łatwiejszego dostępu do dokumentacji i lepszej koordynacji leczenia. Ale jako osoba zajmująca się m. innymi bezpieczeństwem informacji wiem, że w nowoczesnym szpitalu nie da się już oddzielić bezpieczeństwa pacjenta od bezpieczeństwa informacji. Im bardziej leczenie zależy od systemów cyfrowych, tym bardziej awaria lub atak przestają być problemem „informatycznym”, a stają się problemem pacjenta.

To nie jest teoretyczna obawa. W marcu 2026 r. Centrum Medyczne „Eskulap” w Raciborzu poinformowało o ataku ransomware. W publicznie opisanym komunikacie mowa była o zaszyfrowaniu danych na serwerach służących do obsługi pacjentów, utracie dostępności dokumentacji oraz ryzyku naruszenia praw i wolności pacjentów. W Szczecinie skutki były równie wymowne. Po cyberataku na Szpital Wojewódzki placówka przeszła na tryb awaryjny i … dokumentację papierową, a pełne przywrócenie sprawności systemów miało potrwać miesiące. Dla pacjenta to nie są „techniczne utrudnienia”. To realne zakłócenie dostępu do informacji, organizacji świadczeń i ciągłości opieki.

I właśnie dlatego Dyrektywa NIS2 ma dziś znaczenie dużo większe, niż wynikałoby to z języka urzędowych komunikatów. NIS2 nie jest kolejną biurokratyczną nakładką. Jest testem dojrzałości szpitala. Po wejściu w życie nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa placówki objęte przepisami mają określone terminy na wdrożenie systemu zarządzania bezpieczeństwem informacji, procedur i obsługi incydentów, a podmioty kluczowe także na przeprowadzenie obowiązkowego audytu bezpieczeństwa.

Najważniejsze jest jednak coś innego. Implementacja NIS2 kończy z bardzo wygodnym, ale niebezpiecznym myśleniem, że bezpieczeństwo cyfrowe można zrzucić wyłącznie na dział IT. Nie można. Tak samo jak nie da się powiedzieć, że za bezpieczeństwo pacjenta odpowiada wyłącznie lekarz albo pielęgniarka – przecież za bezpieczeństwo pacjenta odpowiada cały szpital. I dokładnie tak samo powinno być z bezpieczeństwem informacji.

W tym sensie NIS2 i ISO 27001 mówią w gruncie rzeczy to samo. Bezpieczeństwo informacji nie jest tylko kwestią technologii. To kwestia ról, odpowiedzialności, audytów, szkoleń, reakcji na błędy, przeglądu zarządzania i ciągłego doskonalenia. ISO/IEC 27001 nie jest normą „dla informatyków”, tylko normą zarządczą. NIS2 idzie w tym samym kierunku: wzmacnia odpowiedzialność kierownictwa i wymusza realny nadzór nad ryzykiem.

To ma fundamentalne znaczenie dla szpitali. Dane pacjenta nie są „informatyką”. Są częścią leczenia, dokumentacji medycznej, decyzji klinicznych, rozliczeń i odpowiedzialności prawnej. Dlatego nie wolno już lekceważyć danych cyfrowych. Nie wolno lekceważyć audytów wewnętrznych i zewnętrznych. Nie wolno też przerzucać odpowiedzialności wyłącznie na dział IT, a potem budzić się dopiero wtedy, gdy system przestaje działać.

Pacjenta nie chroni sam certyfikat. Certyfikacja może porządkować organizację i wzmacniać wiarygodność, ale sama w sobie nie zatrzyma ransomware, nie odtworzy systemów i nie skróci chaosu po ataku. Pacjenta chronią realne działania: szkolenia personelu, procedury, analiza ryzyka, audyty, kopie zapasowe, logi, monitoring i gotowość reagowania. Audyt nie jest więc dodatkiem do cyfryzacji. Jest odpowiedzią na pytanie – czy szpital naprawdę jest gotowy?

Właśnie dlatego cyfryzacja bez kultury bezpieczeństwa może okazać się tylko pozornym postępem. Szpital może mieć nowe systemy, nowoczesne aplikacje i świetne prezentacje o transformacji cyfrowej. Ale jeśli nie ma odpowiedzialności zarządu, świadomości personelu, procedur, audytów i zdolności działania w kryzysie, to ta nowoczesność jest krucha.

Polska ochrona zdrowia potrzebuje dziś nie tylko cyfryzacji. Potrzebuje cyfryzacji odpornej. Bo pacjent nie potrzebuje cyfrowego szpitala tylko z nazwy. Pacjent potrzebuje szpitala, który potrafi działać również wtedy, gdy coś pójdzie nie tak.

Piotr Piotrowski – ekspert ochrony zdrowia, działacz społeczny, audytor wiodący ISO/IEC 27001 oraz dyrektor placówki edukacyjnej. Od lat zajmuje się problematyką praw pacjenta, organizacji ochrony zdrowia i bezpieczeństwa informacji.