Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa wprowadza istotne zmiany dla podmiotów kluczowych i ważnych w sektorze farmaceutycznym. Zmiany te mają na celu nie tylko podniesienie poziomu bezpieczeństwa informatycznego, ale również ochronę ciągłości produkcji oraz dystrybucji leków – kluczowych dla zdrowia publicznego. W obliczu rosnącej liczby zagrożeń cyfrowych wyzwania związane z zarządzaniem ryzykiem nabierają szczególnego znaczenia.
Nowe obowiązki dla branży farmaceutycznej
Projekt ustawy o zmianie krajowego systemu cyberbezpieczeństwa obejmuje kilkanaście sektorów gospodarki, w tym również firmy farmaceutyczne. Kluczowym wymogiem staje się wdrożenie systemu zarządzania bezpieczeństwem informacji w systemach służących do świadczenia usług – zarówno na etapie produkcji leków, jak i ich dystrybucji. Podmioty zobligowane są do analizy zagrożeń, identyfikacji potencjalnych słabości oraz wdrożenia proporcjonalnych środków technicznych i organizacyjnych, dopasowanych do wielkości firmy oraz charakteru prowadzonej działalności.
W praktyce oznacza to, iż każda firma powinna posiadać nie tylko odpowiednie zabezpieczenia, ale także przygotowane i regularnie testowane procedury reagowania na incydenty cyberbezpieczeństwa. choćby krótkotrwały przestój w produkcji lub dystrybucji leków może mieć poważne skutki społeczne oraz finansowe, a incydenty tego typu nierzadko prowadzą również do utraty zaufania klientów i partnerów biznesowych.
Bezpieczeństwo łańcuchów dostaw i identyfikacja ryzyka
Jednym z kluczowych elementów nowelizacji jest nacisk na bezpieczeństwo łańcuchów dostaw – zwłaszcza w kontekście produktów i usług ICT. W ostatnich latach obserwujemy rosnącą liczbę ataków, w których celem stają się nie bezpośrednio firmy farmaceutyczne, ale dostawcy ich systemu lub sprzętu. Zgodnie z nowym projektem, podmioty najważniejsze oraz ważne będą musiały identyfikować oraz monitorować ryzyka związane z dostawcami, regularnie aktualizować oprogramowanie i prowadzić inwentaryzację zasobów.
Ważną rolę odgrywają tu również wymagania umowne dotyczące cyberbezpieczeństwa – przedsiębiorstwa powinny współpracować wyłącznie z dostawcami posiadającymi odpowiednie certyfikaty i spełniającymi standardy bezpieczeństwa. Takie działania wpisują się w zalecenia Agencji Unii Europejskiej do Spraw Cyberbezpieczeństwa, która rekomenduje m.in. bieżące śledzenie podatności oraz reagowanie na nowe zagrożenia pojawiające się w środowisku ICT.
Dostawcy wysokiego ryzyka – nowe procedury i wyzwania
Projekt nowelizacji przewiduje również możliwość identyfikowania tzw. dostawców wysokiego ryzyka – czyli tych, którzy mogą zagrozić podstawowym interesom bezpieczeństwa państwa. Minister adekwatny do spraw informatyzacji uzyskuje uprawnienia do wszczynania postępowań w tej sprawie, a w przypadku wydania decyzji firmy otrzymają do 7 lat na wycofanie sprzętu i systemu pochodzącego od takich dostawców (4 lata w przypadku funkcji krytycznych dla telekomunikacji).
Warto podkreślić, iż przepisy nie różnicują wymagań wobec firm farmaceutycznych, traktując je na równi z innymi kluczowymi podmiotami. Jednak w praktyce to właśnie sektor lekowy, ze względu na znaczenie dla zdrowia publicznego i skalę zagrożeń, staje się jednym z najważniejszych obszarów wdrożeń nowych regulacji.
Coraz bardziej złożone łańcuchy dostaw, rosnąca liczba cyberataków oraz coraz wyższe wymagania regulacyjne powodują, iż firmy farmaceutyczne muszą inwestować zarówno w nowoczesne technologie, jak i w rozwój kompetencji kadry IT.
Zgodnie z analizami branżowymi, w 2024 roku sektor farmaceutyczny odnotował ponad 250 poważnych incydentów cyberbezpieczeństwa na świecie, z czego aż 40% dotyczyło ataków na łańcuchy dostaw systemu (źródło: ENISA Threat Landscape 2024). Oczekuje się, iż liczba ta będzie rosła wraz z cyfryzacją procesów produkcji i logistyki.
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa to istotny krok w kierunku podniesienia standardów ochrony w sektorze farmaceutycznym. Efektywne wdrożenie wymagań prawnych będzie jednak wymagać realnych inwestycji oraz współpracy na linii biznes–regulatorzy–dostawcy technologii.
