Budżet NIS 2 w szpitalu. Jak rozmawiać z zarządem?

budżet na NIS 2 w szpitalu

Z perspektywy Dyrektora ds. Finansowych budżet NIS 2 w szpitalu jawi się jako kolejna duża pozycja w koszcie funkcjonowania całego szpitala. Cyberbezpieczeństwo często jest odbierane jako „czarna dziura” generująca koszty bez wyraźnego zwrotu z inwestycji. Dla organu założycielskiego jest to zazwyczaj kolejny wymóg administracyjny. Z kolei Prezes szpitala stoi przed najtrudniejszym dylematem, jak balansować między pilnymi potrzebami medycznymi a infrastrukturą, mając jednocześnie świadomość osobistej odpowiedzialności prawnej za ciągłość działania jednostki.

W takich realiach skuteczne zabezpieczenie środków na budżet NIS 2 w szpitalu wymaga przyjęcia odmiennej strategii komunikacji. Aby pozyskać niezbędne finansowanie, konieczne jest odejście od hermetycznego języka technicznego na rzecz języka ryzyka biznesowego. Kluczem do sukcesu jest wykazanie, że nakłady na bezpieczeństwo stanowią w istocie ochronę płynności finansowej placówki oraz gwarancję spokoju prawnego dla całej kadry zarządzającej.

Spis treści

budżet na NIS 2 w szpitalu. Jak ustalić priorytety

Nowe obowiązki szpitala a techniczny żargon rozmowy o budżecie

Scenariusz rozbieżności priorytetów jest powszechny w wielu placówkach medycznych. Dział IT lub Pełnomocnik ds. Cyberbezpieczeństwa prezentuje szczegółowy plan modernizacji oparty na parametrach technicznych takich jak: segmentacja sieci, systemy EDR, redundantne macierze dyskowe. Argumenty te, choć merytorycznie słuszne, często trafiają w próżnię decyzyjną, zderzając się z pilniejszymi potrzebami medycznymi, takimi jak zakup leków czy sprzętu diagnostycznego.
Problemem nie jest tu brak kompetencji decydentów, lecz fundamentalna różnica perspektyw. Inżynierowie (informatycy) komunikują się językiem technologii, podczas gdy dyrekcja analizuje rzeczywistość przez pryzmat ryzyka operacyjnego, odpowiedzialności prawnej i stabilności budżetowej.
Obowiązki w zakresie cyberbezpieczeństwa, które nakłada na podmioty kluczowe (w tym szpitale) dyrektywa NIS 2 mają w wielu przypadkach bardzo techniczny wymiar. Choć unijne rozporządzenie odnosi się również do takich kwestii jak szkolenia z zakresu cyberbezpieczeństwa, zarządzanie incydentami czy zarządzanie ryzykiem, to wydźwięk technologicznych, który wiąże się z wdrożeniem unijnej dyrektywy jest najsilniejszy. Mając tego świadomość warto przedstawić koszty związane z implementacją nowych przepisów dotyczących cyberbezpieczeństwa szpitala w bardziej przystępny, mniej techniczny sposób.

Dla sektora ochrony zdrowia każda złotówka podlega weryfikacji. Dlatego budowanie planu finansowego wymaga podejścia strategicznego. Wdrożenie nowych przepisów w tym zakresie daje silne argumenty, którymi warto posiłkować się w trakcie dyskusji nad planem budżetu szpitala. Dyrektywa NIS 2 nie jest zbiorem technicznych nakazów, a istotnym czynnikiem biznesowym oddziaływującym na sposób funkcjonowania podmiotów znajdujących się w sektorze ochrony zdrowia. Prawidłowo skonstruowany budżet NIS 2 w szpitalu nie powinien być kategoryzowany jako koszt „informatyczny”, lecz jako inwestycja w ciągłość działania podmiotu kluczowego – swoista polisa ubezpieczeniowa dla Zarządu. Współczesne cyberbezpieczeństwo w szpitalach ma wymiar holistyczny i tak też powinny być postrzegane koszty związane z jego zapewnieniem.

Wdrożenie dyrektywy NIS 2 a dopasowanie argumentów do priorytetów decydentów

Szpitale publiczne to złożone ekosystemy, w których proces decyzyjny jest wypadkową interesów wielu interesariuszy. Choć budżet jest jeden, sposób jego prezentacji musi być wielowymiarowy i precyzyjnie adresować specyficzne obawy oraz cele każdej z grup decyzyjnych. Odejście od ogólnej narracji na rzecz spersonalizowanych komunikatów znacząco zwiększa szansę na akceptację wydatków wynikających z implementacji nowych przepisów w zakresie cyberbezpieczeństwa szpitala. Dyrektywa NIS 2 jest wymogiem wielowątkowym i warto zarówno nowe obowiązki, jak i skutki ich niedotrzymania przedstawić z perspektywy różnych stanowisk mających wpływ na kształt i wielkość budżetu szpitala.

Dyrektor ds. Finansowych: dla osoby zarządzającej finansami kluczowym wskaźnikiem jest stabilność budżetowa i unikanie nieprzewidzianych kosztów. W rozmowie z Dyrektorem ds. Finansowych należy przesunąć akcent z kosztów zakupu technologii na ryzyko wydatków będących konsekwencją jej braku. Koszt dostosowania do nowych przepisów (NIS 2) może być realnie mniejszy niż ewentualne kary pieniężne. W sytuacji kiedy podmiot objęty dyrektywą nie spełnia wymogów, a dojdzie do wycieku danych medycznych lub przerwania ciągłości funkcjonowania w wyniku ataku hakerskiego kary finansowe mogą być niewspółmiernie wysokie.
Wnioskowany budżet NIS 2 w szpitalu należy przedstawić jako polisę chroniącą płynność finansową przed skutkami obsługi incydentów powstałych w wyniku cyberataku. Wykradzione dane medyczne lub zastój w funkcjonowaniu placówki medycznej może być kosztowniejszy, niż rozsądne wdrożenie unijnej dyrektywy. Warto posłużyć się twardą kalkulacją odnoszącą się do kosztów wdrożenia systemów bezpieczeństwa, które są silnymi argumentami podczas negocjacji i uzasadnienia konkretnych wydatków.

Dyrektor ds. Medycznych: priorytetem pionu medycznego jest bezpieczeństwo zdrowotne pacjentów oraz niezakłócona ciągłość procesów diagnostyczno-leczniczych. W tej narracji implementacja nowych przepisów, które narzuca dyrektywa NIS 2 przestaje być zagadnieniem informatycznym, a staje się elementem procedur medycznych. Należy wykazać, że w dobie cyfryzacji (e-recepty, e-skierowania, systemy PACS) awaria infrastruktury IT jest równoznaczna z niemożnością udzielenia pomocy medycznej, i zaistnienia konieczności zarządzania ryzykiem w kontekście funkcjonowania szpitala. Regulacje dotyczące cyberbezpieczeństwa, które wprowadza NIS 2 mają na celu zagwarantowanie, że personel medyczny będzie w stanie funkcjonować i świadczyć opiekę medyczną nawet po zaistnieniu cyberataku.

Organ Założycielski (perspektywa prawno-polityczna): Starostwo Powiatowe lub Urząd Marszałkowski analizują budżet szpitala przez pryzmat zgodności z prawem, odpowiedzialności nadzorczej oraz realnej opieki medycznej nad ich wyborcami. Głównym argumentem w relacji z organem nadzorczym szpitala jest obligatoryjność przepisów. Szpital, jako podmiot kluczowy w rozumieniu nowych regulacji dotyczących cyberbezpieczeństwa jest elementem infrastruktury bezpieczeństwa państwa. Zabezpieczenie środków na wdrożenie dyrektywy jest warunkiem koniecznym do zdjęcia z organu założycielskiego ryzyka zarzutu o niedopełnienie obowiązków właścicielskich i narażenie danych obywateli. Budżet na wdrożenie dyrektywy NIS 2 w szpitalu to konieczność pozwalająca na dostosowanie do nowych obowiązków w zakresie cyberbezpieczeństwa i przygotowania placówki medycznej na ewentualne zagrożenia oraz zwiększenie poziomu bezpieczeństwa.

Audyt i analiza luk jako fundament uzasadnienia budżetowego

Wnioskowanie o środki finansowe w oparciu o subiektywne odczucia („sprzęt jest przestarzały”) rzadko przynosi pozytywny skutek. Profesjonalne podejście wymaga oparcia się na twardych danych, których źródłem powinien być audyt bezpieczeństwa systemu. Wdrożenie unijnej dyrektywy powinno być poprzedzone wnikliwą analizą systemów, infrastruktury, wiedzy personelu medycznego oraz opracowanych procedur postępowania w sytuacji wystąpienia incydentów zagrażających bezpieczeństwu danych lub ciągłości funkcjonowania szpitala.
Niezależna weryfikacja zmienia dynamikę rozmowy. Kluczowym narzędziem, z którego warto skorzystać przed przedstawieniem kosztorysu związanego z implementacją nowych przepisów dotyczących dyrektywy NIS 2 jest analiza luk (Gap Analysis), która w sposób obiektywny prezentuje rozbieżności między stanem obecnym a wymogami dyrektywy.

  • Stan obecny: np. brak monitoringu sieci 24/7, czas odtwarzania krytycznych systemów wynosi 48h.
  • Stan wymagany: ustawa narzuca obowiązek wczesnego informowania o incydentach i zachowania ciągłości usług kluczowych.
  • Wniosek: zidentyfikowana luka stanowi bezpośrednie ryzyko prawne.

W takim ujęciu budżet NIS 2 w szpitalu jest precyzyjnie wyliczonym kosztem eliminacji konkretnych niezgodności prawnych i technologicznych. Omówienie konkretnych braków i luk w systemie bezpieczeństwa szpitala oraz przedstawienie sposobu na poprawę poziomu bezpieczeństwa jest najlepszą metodą wypracowania kompromisu.

ZOBACZ RÓWNIEŻ:

Dwa filary argumentacji budżetu NIS 2 w szpitalu

Skuteczne uzasadnienie wydatków powinno balansować między wskazaniem ryzyk (konsekwencje zaniechania) a korzyściami (wartość dodana).

  1. Odpowiedzialność osobista kierownictwa: dyrektywa NIS 2 wskazuje, że za cyberbezpieczeństwo odpowiadają organy zarządzające (zarząd szpitala). Niewykonanie obowiązków może skutkować sankcjami nakładanymi bezpośrednio na osoby decyzyjne. Wniosek budżetowy jest zatem narzędziem, które pozwala Zarządowi na skuteczne zarządzanie tym ryzykiem osobistym i zapewnienie bezpieczeństwa prawnego.
  2. Stabilizacja procesów medycznych: nowe obowiązki to również szansa na optymalizację. Stabilna i bezpieczna sieć oznacza brak przestojów na SOR i płynne rozliczenia z NFZ. Wprowadzenie standardów bezpieczeństwa jest coraz częściej atutem w procesach akredytacyjnych i konkursach ofert. Wdrożenie unijnej dyrektywy sprzyja nie tylko zwiększeniu poziomu bezpieczeństwa, ale także uporządkowaniu procedur oraz usprawnienia wielu elementów, które stanowiły swoisty dług technologiczny dla szpitala.

Optymalizacja struktury kosztów. Modelowanie wydatków w budżecie szpitala

Jedną z głównych barier akceptacji budżetu jest tzw. „szok cenowy”, gdy Zarząd otrzymuje sumaryczną kwotę inwestycji jako jednorazowy wydatek inwestycyjny. W sytuacji ograniczonych środków racjonalnym podejściem jest zastosowanie inżynierii finansowej i zmiana modelu kosztowego.

  • Przesunięcie w model usługowy: rozwiązaniem może być odejście od budowy własnego Security Operations Center (SOC), co jest procesem kosztownym i trudnym kadrowo. Alternatywą jest outsourcing usług związanych z monitorowaniem zagrożeń cyberbezpieczeństwa. Podobnie w przypadku oprogramowania, model subskrypcyjny pozwala zamienić jednorazowy, duży wydatek na przewidywalny, miesięczny koszt operacyjny, który dużo łatwiej jest udźwignąć i osadzić w stałych kosztach.
  • Priorytetyzacja i etapowanie: plan wdrożenia powinien zakładać mapę drogową.
  • Etap I: ochrona krytyczna usług kluczowych (backup, EDR dla kluczowych stacji).
  • Etap II: procedury, System Zarządzania Bezpieczeństwem Informacji (SZBI), zarządzanie incydentami oraz szkolenie dla personelu.
  • Etap III: dalsza modernizacja infrastruktury sieciowej i weryfikacja łańcucha dostaw IT. Takie podejście buduje wizerunek szefa IT jako menedżera świadomego ograniczeń budżetowych i potrafiącego zarządzać przepływami pieniężnymi.

Centralizacja usług i ekonomia skali w kontekście budżetu NIS 2 w szpitalu

W relacjach z organami takimi jak Starostwo Powiatowe czy Urząd Marszałkowski, argumentacja technologiczna ustępuje miejsca polityce budżetowej i bezpieczeństwu publicznemu. Głównym argumentem staje się „obligatoryjność”, szpitale jako podmioty kluczowe systemu bezpieczeństwa państwa mają obowiązki w zakresie cyberbezpieczeństwa. System ochrony zdrowia jest postrzegany jako usługi kluczowe i dlatego wymagana jest szczególna staranność i troska od odpowiedni poziom bezpieczeństwa.

W przypadku deficytu środków finansowych warto zaproponować rozwiązania optymalizacyjne oparte na ekonomii skali:

  • Wspólne centrum bezpieczeństwa: wdrożenie jednej usługi monitorowania zagrożeń cyberbezpieczeństwa (SOC) dla grupy szpitali w regionie zamiast budowania niezależnych komórek.
  • Centralizacja zakupów: grupowy zakup licencji oprogramowania zabezpieczającego pozwala na negocjację korzystniejszych stawek z dostawcami usług cyfrowych.
  • Standaryzacja dokumentacji: opracowanie wzorcowych polityk i procedur dla wszystkich podległych jednostek. Taka inicjatywa pozycjonuje dział IT jako partnera szukającego systemowych oszczędności, a nie tylko konsumenta budżetu.

Cyberbezpieczeństwo szpitala jako proces ciągły

Zatwierdzenie planu finansowego to dopiero początek drogi. Cyberbezpieczeństwo w świetle dyrektywy NIS 2 jest procesem ciągłym, wymagającym nie tylko inwestycji początkowej, ale także stałego utrzymania, aktualizacji i aktywnego udziału w systemie wymiany informacji o zagrożeniach. Jednorazowe przeszkolenie personelu szpitala nie będzie miało dużej wartości. Podobnie jak procedury związane z zarządzaniem ryzykiem, które powinny ewoluować wraz z rozwojem szpitala, zakupem kolejnych urządzeń medycznych itd.

Budowa skutecznego systemu zarządzania bezpieczeństwem wymaga czasu i metodyczności. Dlatego rekomendowanym pierwszym krokiem, poprzedzającym finalne planowanie, jest weryfikacja stanu faktycznego poprzez profesjonalny „Audyt zero”. Taka usługa dostarcza niezależnych danych, niezbędnych do prowadzenia merytorycznego dialogu z Zarządem. Oparcie się na twardych danych audytowych to najlepszy sposób na profesjonalizację procesu budżetowania w obszarze IT.

Sprawdź Audyt zero
Sprawdź Audyt zero