Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa wprowadzi nowe obowiązki dla firm farmaceutycznych, m.in. w zakresie ochrony danych i łańcuchów dostaw – poinformowało Ministerstwo Cyfryzacji. Celem jest zapewnienie ciągłości produkcji i dystrybucji leków oraz minimalizacja ryzyka incydentów cybernetycznych, które mogą zagrozić zdrowiu publicznemu.
Ministerstwo Cyfryzacji w komunikacie z 26 maja 2025 roku podkreśliło, że projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa nakłada na podmioty kluczowe i ważne, w tym z branży farmaceutycznej, nowe obowiązki w zakresie cyberbezpieczeństwa. Chodzi m.in. o wdrożenie systemów zarządzania bezpieczeństwem informacji w procesach produkcyjnych, np. przy wytwarzaniu leków czy zarządzaniu hurtowniami. Środki techniczne i organizacyjne mają być proporcjonalne do wielkości podmiotu, rodzaju usług i najnowszej wiedzy technicznej.
Firmy muszą analizować potencjalne zagrożenia dla danych i sprzętu, stosować odpowiednie zabezpieczenia oraz opracować i testować procedury reagowania na incydenty cybernetyczne, takie jak ataki hakerskie, błędy ludzkie czy awarie techniczne.
– Incydent może spowodować przestój w świadczeniu usług, straty finansowe i wizerunkowe – zaznacza resort, wskazując, że zakłócenia w łańcuchu dostaw leków negatywnie wpływają na zdrowie publiczne. W 2024 roku liczba cyberataków w Polsce wzrosła o 23 procent (raport pełnomocnika rządu ds. cyberbezpieczeństwa), a to podkreśla pilność nowych regulacji.
Bezpieczeństwo łańcucha dostaw
Kluczowym elementem projektu jest zapewnienie bezpieczeństwa łańcuchów dostaw ICT (technologii informacyjno-komunikacyjnych). Wiele incydentów cybernetycznych wynika z podatności u dostawców oprogramowania lub sprzętu.
Podmioty będą zobowiązane do oceny ryzyka związanego z dostawcami, inwentaryzacji zasobów, monitorowania podatności i ich mitygacji, np. poprzez aktualizacje oprogramowania. Resort zaleca zawieranie umów z dostawcami posiadającymi certyfikaty cyberbezpieczeństwa oraz korzystanie z baz podatności, zgodnie z wytycznymi Agencji UE ds. Cyberbezpieczeństwa (ENISA).
Projekt wprowadza także mechanizm identyfikacji dostawców wysokiego ryzyka (HRV), którzy mogą zagrażać bezpieczeństwu państwa. Minister cyfryzacji będzie mógł wszcząć postępowanie administracyjne w tej sprawie, z możliwością odwołania do sądu. W przypadku uznania dostawcy za HRV, jego sprzęt i oprogramowanie będą musiały zostać wycofane w ciągu 7 lat (4 lat dla funkcji krytycznych w telekomunikacji), co pozwoli na stopniową wymianę.
Branża farmaceutyczna nie otrzyma specyficznych wymogów, ale małe firmy, np. jedyni dostawcy kluczowych usług, mogą zostać uznane za podmioty kluczowe zgodnie z dyrektywą NIS2.
Źródło: Ministerstwo Cyfryzacji
