Od 3 kwietnia 2026 r. obowiązuje znowelizowana ustawa o Krajowym Systemie Cyberbezpieczeństwa wdrażająca dyrektywę NIS 2. Nowe przepisy obejmują w praktyce każdy publiczny szpital – łącznie nawet 38 tys. podmiotów w kraju. Dyrektorzy mają 12 miesięcy na pełne dostosowanie, a termin samoidentyfikacji w wykazie podmiotów kluczowych upływa 3 października 2026 r. Wzrost ataków jest jednocześnie bezprecedensowy: w 2024 r. Centrum e-Zdrowia odnotowało 1028 incydentów w sektorze ochrony zdrowia (2,5x więcej niż rok wcześniej), a tylko w marcu 2026 r. ofiarą ransomware padły cztery polskie placówki w 25 dni – z czego do szczecińskiego szpitala wojewódzkiego trzeba było skierować specjalistów Wojsk Obrony Terytorialnej.
Stan prawny: 26 maja 2026 r. (54 dni po wejściu w życie NIS 2).
Źródła danych: Centrum e-Zdrowia, Ministerstwo Zdrowia, Ministerstwo Cyfryzacji, NFZ, UODO, ENISA, Polskie Towarzystwo Koordynowanej Ochrony Zdrowia (PTKOZ), CSIRT NASK, CERT Polska, raporty CyberDefence24, Rynek Zdrowia, Termedia.
Charakter opracowania: przewodnik praktyczny dla kadry zarządzającej. Materiał nie stanowi porady prawnej ani technicznej w indywidualnej sprawie – przed podjęciem decyzji wdrożeniowych skonsultuj się z radcą prawnym, IOD oraz wewnętrznym lub zewnętrznym zespołem cyberbezpieczeństwa.
Kluczowe wnioski
- Ustawa o KSC (NIS 2) weszła w życie 3 kwietnia 2026 r. – szpitale publiczne to podmioty kluczowe lub ważne, mają 12 miesięcy na wdrożenie obowiązków (do 3.04.2027 r.).
- Termin samoidentyfikacji w wykazie podmiotów kluczowych (system S46 CSIRT) upływa 3 października 2026 r. – 6 miesięcy od wejścia w życie ustawy.
- Liczba cyberataków na sektor zdrowia w Polsce rośnie wykładniczo – z ~411 w 2023 r. przez 1028 w 2024 r. do szacunkowych 1400+ w 2025 r.
- Najwyższa kara UODO dla placówki medycznej po ataku ransomware to 1 440 549 zł (American Heart of Poland, ujawnienie ponad 21 tys. rekordów). Maksymalna kara RODO to 20 mln euro lub 4% obrotu – sankcja NIS 2 to dodatkowo do 10 mln euro lub 2% obrotu (kumulują się).
- Średni szacunkowy koszt dostosowania publicznego szpitala do NIS 2 to 4,6 mln zł netto w perspektywie 5 lat (raport PTKOZ) – przy budżecie programu KPO D1.1.2 wynoszącym 3,131 mld zł na całą cyfryzację sektora.
- Aż 78% kierowników szpitali nie ma świadomości skutków nowelizacji KSC – to luka organizacyjna kosztowniejsza niż brak technologii.
- Pierwsza linia obrony to ludzie – w 2024 r. tylko ~25% placówek prowadziło szkolenia z cyberbezpieczeństwa, a phishing pozostaje głównym wektorem ataku.
Skala zagrożenia: dlaczego polskie szpitale są celem nr 1
Sektor ochrony zdrowia jest dla cyberprzestępców idealnym celem z trzech powodów: krytyczność usługi (presja na zapłatę okupu pod groźbą paraliżu), wartość danych medycznych na czarnym rynku (szczególna kategoria danych RODO, długi okres przechowywania, niemożność „unieważnienia” historii choroby) oraz chroniczny niedobór inwestycji w bezpieczeństwo IT w polskich placówkach publicznych.
Geopolityka tylko pogarsza obraz. Według NFZ wzmożone ataki hakerskie na opiekę zdrowia mają związek m.in. z inwazją Rosji na Ukrainę i towarzyszącą jej cyberwojną. Potwierdzają to dane unijne: ENISA odnotowała w 2023 r. 309 poważnych incydentów cybernetycznych w sektorze zdrowia w UE – najwięcej spośród wszystkich sektorów krytycznych – z czego 54% to ataki ransomware. Na poziomie krajowym Centrum e-Zdrowia raportuje skokowy wzrost incydentów rok do roku – i wszystko wskazuje, że trend będzie się utrzymywał.
Rodzaje ataków – jak wyglądają w praktyce
Ransomware – paraliż jako broń negocjacyjna
Ransomware to oprogramowanie, które szyfruje dane i żąda okupu za odszyfrowanie. W przypadku szpitali atak nie tylko blokuje dostęp do dokumentacji, ale też wstrzymuje przyjęcia, paraliżuje diagnostykę obrazową i zmusza personel do pracy w trybie papierowym. W szczecińskim ataku z marca 2026 r. żądano kilku milionów dolarów, a szpital musiał odsyłać karetki do innych placówek. Czyn ten – w polskim Kodeksie karnym kwalifikowany jako sprowadzenie niebezpieczeństwa dla życia lub zdrowia wielu osób – jest zagrożony karą od 5 do 25 lat pozbawienia wolności.
Co działa: kopie zapasowe w architekturze immutable (zasada 3-2-1), segmentacja sieci, segregacja kont uprzywilejowanych (PAM), aktualne łatki bezpieczeństwa, EDR/XDR z analizą behawioralną. Warto też przemyśleć transfer ryzyka finansowego – cyberpolisa dla szpitala coraz częściej wraca w dyskusjach budżetowych dyrektorów po pierwszych dużych incydentach.
Phishing – najtańszy i najskuteczniejszy wektor
Phishing to wciąż dominująca technika początkowego dostępu. Hakerzy wysyłają wiadomości e-mail podszywające się pod NFZ, ZUS, dostawcę oprogramowania medycznego lub wewnętrznego administratora. Pojedyncze kliknięcie lekarza w fałszywy link otwiera drogę do całej sieci szpitalnej.
Nie chodzi tylko o klasyczne maile. Coraz częściej obserwuje się spear phishing (atak zindywidualizowany na konkretnego pracownika) oraz vishing (telefon od „działu IT” z prośbą o hasło). W marcu 2026 r. Szpital Uniwersytecki w Krakowie zgłosił włamanie na skrzynkę pracownika, w której znajdowała się korespondencja z danymi pacjentów onkologicznych z Karty DILO – to klasyczny scenariusz po skutecznym phishingu.
Co działa: obowiązkowe MFA dla wszystkich kont (nie tylko administratorów), szkolenia z symulacjami, filtrowanie maili na bramie (sandbox dla załączników), DMARC/SPF/DKIM dla domeny.
Ataki DDoS i ataki na łańcuch dostaw
DDoS (Distributed Denial of Service) to przeciążanie serwerów ruchem z tysięcy źródeł, co uniemożliwia dostęp do systemów rejestracji, telemedycyny czy portalu pacjenta. Sam DDoS rzadko prowadzi do wycieku danych, ale paraliżuje obsługę i często służy jako zasłona dymna dla równoległego ataku innego typu.
Coraz groźniejsze są ataki na łańcuch dostaw – gdy haker kompromituje dostawcę oprogramowania medycznego lub usługodawcę i tą drogą wchodzi do dziesiątek szpitali korzystających z tego samego systemu. Marcowy atak 2024 r. na firmę DCG Centrum Medyczne dotknął właśnie w ten sposób – wyciek danych pacjentów nastąpił przez dostawcę oprogramowania. Dlatego przy planowanych zmianach kluczowych systemów (np. wymiana systemu klasy HIS) warto już na etapie SIWZ uwzględnić wymagania bezpieczeństwa zgodne z NIS 2.
Ataki na urządzenia medyczne (IoMT)
Internet rzeczy medycznych (IoMT) – pompy infuzyjne, monitory pacjenta, aparaty MRI, defibrylatory podłączone do sieci – to ślepa plama wielu polskich szpitali. W 2024 r. liczba ataków na sprzęt IoMT wzrosła globalnie o 170%. Te urządzenia często działają na nieaktualizowanych systemach (Windows XP/7), nie mają możliwości instalacji EDR i są podłączone do tej samej sieci co reszta szpitala. NIS 2 wymaga od dyrektora wprowadzenia formalnej polityki zarządzania tymi zasobami – w tym ich segmentacji w osobnym VLAN.
Polski rok 2025-2026 w incydentach
Tabela poniżej zestawia najgłośniejsze potwierdzone incydenty w polskich placówkach medycznych z ostatnich kilkunastu miesięcy. To nie są pojedyncze, odosobnione zdarzenia – to wzór działania, który dotyczy każdego dyrektora.
| Data | Placówka | Typ ataku | Skutki |
|---|---|---|---|
| marzec 2025 | Szpital MSWiA w Krakowie | Ransomware | Paraliż systemu EDM, wstrzymane przyjęcia planowe, karetki przekierowywane do innych placówek, wysokie ryzyko wycieku danych. Śledztwo zawieszone – wnioski o pomoc prawną do USA i Irlandii. |
| marzec 2026 | SP Wojewódzki Szpital Zespolony w Szczecinie | Ransomware (żądanie kilku mln USD) | Zaszyfrowanie części danych, praca w trybie papierowym, śledztwo prokuratury okręgowej, wsparcie zespołu cyber Wojsk Obrony Terytorialnej skierowanego decyzją wicepremiera. |
| marzec 2026 | Bonifraterskie Centrum Medyczne | Ransomware | Zaszyfrowanie zasobów IT trzech szpitali (Katowice, Kraków, Łódź) i 8 placówek zależnych, wysokie ryzyko kradzieży danych, zgłoszenie do UODO. |
| marzec 2026 | Centrum Medyczne „Eskulap” w Raciborzu | Ransomware | Czwarty z kolei atak w 25 dni, zaszyfrowanie danych, naruszenie ochrony danych osobowych. |
| marzec 2026 | Świętokrzyskie Centrum Rehabilitacji w Czarnieckiej Górze | Ransomware | Naruszenie ochrony danych osobowych, zgłoszenie do UODO i organów ścigania. |
| marzec 2026 | Szpital Uniwersytecki w Krakowie (Prokocim) | Włamanie na skrzynkę pracownika | Możliwy wyciek danych pacjentów z Karty DILO (szybka ścieżka onkologiczna), zgłoszenie do UODO i policji. |
| 2024 (decyzja UODO) | American Heart of Poland | Ransomware | Ujawnienie ponad 21 tys. rekordów pacjentów i pracowników w darknecie, kara UODO 1 440 549 zł – najwyższa nałożona dotąd na podmiot medyczny w Polsce za incydent cyber. |
Według CBZC za atakiem na Szczecin i Bonifraterskie Centrum najprawdopodobniej stoi ta sama grupa ransomware – odpowiedzialna za ponad 700 podobnych ataków na świecie. To pokazuje, że polskie szpitale są dziś na celowniku zorganizowanej, międzynarodowej cyberprzestępczości – nie pojedynczych „hakerów dla zabawy”.
Co zmienia ustawa o KSC (NIS 2) – obowiązki szpitala w 2026 roku
Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa, podpisana przez prezydenta 19 lutego 2026 r. i obowiązująca od 3 kwietnia 2026 r., wdraża unijną dyrektywę NIS 2 z 2,5-letnim opóźnieniem (termin UE upłynął 17 października 2024 r.). Polska wdraża ją w wersji bardziej restrykcyjnej niż wiele innych państw członkowskich – m.in. przez mechanizm „dostawcy wysokiego ryzyka”, wymuszający w niektórych przypadkach wymianę sprzętu pochodzącego spoza UE i NATO.
Podmiot kluczowy czy ważny – kto jest kim
Dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych zniknął. Zastąpił go podział na podmioty kluczowe i podmioty ważne. Według szacunków Ministerstwa Cyfryzacji ustawa obejmie łącznie ok. 38 tys. podmiotów, z czego ~27 tys. to sektor publiczny – w tym szpitale, urzędy, samorządy i uczelnie.
Podmioty lecznicze świadczące świadczenia szpitalne niemal zawsze trafiają do kategorii podmiotów kluczowych – niezależnie od formalnego rozmiaru organizacji. Ustawodawca uznał, że ryzyko dla życia i zdrowia pacjentów jest nadrzędne wobec wskaźników ekonomicznych.
W praktyce regulacja obejmie wszystkie publiczne szpitale zatrudniające powyżej 50 osób, a katalog został rozszerzony także o laboratoria diagnostyczne, producentów leków i wyrobów medycznych.
10 obowiązków, które szpital musi wdrożyć w ciągu 12 miesięcy
- System zarządzania bezpieczeństwem informacji (SZBI) wraz z udokumentowaną polityką, rejestrem zasobów i procedurami.
- Cykliczna analiza ryzyka cybernetycznego – zaplanowana, dokumentowana, aktualizowana przy każdej istotnej zmianie infrastruktury.
- Plan ciągłości działania (BCP) i odtwarzania awaryjnego (DRP) – testowany regularnie, z RPO/RTO dopasowanymi do ryzyka.
- Audyt cyberbezpieczeństwa przeprowadzony przez certyfikowanego audytora – wraz z planem naprawczym.
- Zgłaszanie incydentów w rygorystycznych terminach: powiadomienie wstępne w 24 godziny, raport pełny w 72 godziny, raport końcowy w miesiąc.
- Wyznaczenie osoby odpowiedzialnej za cyberbezpieczeństwo (CISO lub equivalent) z bezpośrednim raportowaniem do dyrekcji.
- Szkolenia kadry – w tym obowiązkowe szkolenia dla zarządu (osobista odpowiedzialność kierownictwa to fundament NIS 2).
- Zarządzanie ryzykiem łańcucha dostaw – audyty dostawców IT, zwłaszcza producentów oprogramowania medycznego (HIS, LIS, RIS, PACS).
- Wycofanie sprzętu od „dostawców wysokiego ryzyka” – w terminach określonych przez decyzję organu.
- Mechanizmy techniczne: szyfrowanie, MFA, segmentacja sieci, kopie zapasowe (najlepiej w architekturze immutable), monitoring SIEM.
Kary administracyjne – ile kosztuje błąd
System sankcji w NIS 2 jest dwutorowy i nakłada się na istniejące kary RODO. To oznacza, że to samo zdarzenie (np. wyciek danych po ataku ransomware) może skutkować dwiema, niezależnymi karami pieniężnymi. Praktyczny katalog 12 obowiązków RODO dyrektora placówki medycznej wraz z przeglądem aktualnych decyzji UODO opisaliśmy w osobnym przewodniku – warto traktować go jako materiał towarzyszący do tego, co poniżej.
| Reżim | Maksymalna kara dla podmiotu kluczowego | Czego dotyczy | Przykład z polskiego sektora medycznego |
|---|---|---|---|
| RODO | 20 mln euro lub 4% rocznego światowego obrotu (kwota wyższa) | Naruszenie ochrony danych osobowych, brak zgłoszenia w 72h, niedopełnienie obowiązków administratora | American Heart of Poland – 1 440 549 zł (ransomware, 21 tys. rekordów); Centrum medyczne K. – łącznie ponad 1 mln zł w dwóch decyzjach z 2025 r. |
| NIS 2 / KSC | 10 mln euro lub 2% rocznego światowego obrotu (kwota wyższa) | Brak SZBI, niezgłoszenie incydentu, lekceważenie obowiązków technicznych i organizacyjnych | Sankcje od 3 kwietnia 2026 – pierwsze decyzje organów nadzorczych spodziewane po upływie okresu dostosowawczego |
| Odpowiedzialność osobista kierownictwa | Możliwy zakaz pełnienia funkcji kierowniczych | Rażące zaniedbania nadzoru nad cyberbezpieczeństwem | Nowość wdrożona przez NIS 2 – wcześniej nieznana w polskim porządku |
Już na gruncie samego RODO Prezes UODO regularnie karze placówki medyczne. W styczniu 2025 r. nałożył na sieć centrów medycznych łączną karę ponad 770 tys. zł (m.in. 458 356,50 zł za niewłaściwy monitoring wizyjny). NIS 2 znacząco poszerzy katalog działań karalnych – od kwietnia 2026 r. UODO i organy sektorowe egzekwują dwa równoległe reżimy.
Warstwy ochrony – co naprawdę kupić
Cyberbezpieczeństwo szpitala to architektura w głąb (defense in depth) – każda warstwa kompensuje luki sąsiedniej. Diagram poniżej porządkuje to, co realnie powinno znaleźć się w infrastrukturze placówki, niezależnie od jej rozmiaru.
| Warstwa | Technologia / praktyka | Po co to |
|---|---|---|
| Brzeg sieci | Firewall NGFW + IDS/IPS | Filtrowanie ruchu, wykrywanie i blokada anomalii w czasie rzeczywistym |
| Segmentacja | VLAN dla IoMT, oddzielne sieci dla administracji, gości i sprzętu medycznego | Ograniczenie zasięgu skutecznego włamania (atakujący nie przeskakuje do EDM) |
| Stacje robocze i serwery | EDR / XDR z analizą behawioralną | Wykrywanie nieznanych zagrożeń (zero-day), automatyczna izolacja zainfekowanego hosta |
| Tożsamość | MFA dla wszystkich kont, PAM dla administratorów, IAM/SSO dla użytkowników | Eliminacja najczęstszego wektora – kradzieży lub odgadnięcia hasła |
| Dane | Szyfrowanie w spoczynku i w tranzycie, kopie zapasowe immutable | Ochrona przed wyciekiem oraz przed szyfrowaniem przez ransomware (zasada 3-2-1) |
| Monitoring | SIEM + SOC (własny lub jako usługa) | Korelacja zdarzeń z wielu źródeł, 24/7 detekcja, gotowy materiał do zgłoszenia incydentu w 24h |
| Zarządzanie podatnościami | Skanowanie podatności, automatyzacja patchowania, pentesty | Eliminacja znanych luk zanim wykryją je atakujący (najczęstsze wejście do sieci szpitalnych) |
| Świadomość | Symulacje phishingowe, szkolenia personelu, gry decyzyjne dla zarządu | Człowiek jest najczęstszym i najskuteczniejszym wektorem – działa albo jako zapora, albo jako luka |
3 kopie danych łącznie · 2 różne nośniki · 1 kopia poza siedzibą (lub w architekturze immutable, której nie można nadpisać). To minimum, którego oczekują zarówno wytyczne Centrum e-Zdrowia, jak i biegli sądowi przy postępowaniach po incydentach. Brak immutable backup = dyrektor ma negocjować z hakerem.
Człowiek w systemie – personel jako pierwsza linia obrony
Najtańsza i najskuteczniejsza inwestycja w cyberbezpieczeństwo to świadomy pracownik. Mimo to według dostępnych raportów tylko ok. 25% polskich firm z sektora ochrony zdrowia zapewniło w ostatnich 12 miesiącach szkolenia z cyberbezpieczeństwa – a sam NFZ alarmuje, że niewiele ponad 13% dyrektorów szpitali odbyło takie szkolenia osobiście. Tymczasem NIS 2 wprowadza osobistą odpowiedzialność kierownictwa za nadzór nad cyberbezpieczeństwem – to dziś element szerszego katalogu obowiązków dyrektora szpitala w zakresie cyfryzacji, których nie można już delegować w dół.
Plan szkoleń – minimum dla podmiotu kluczowego
| Rodzaj działania | Częstotliwość | Cel | Odbiorca |
|---|---|---|---|
| Warsztaty dla zarządu | Półrocznie | Decyzje budżetowe i strategiczne, zrozumienie ryzyk regulacyjnych | Dyrektor, zastępcy, członkowie rady |
| Szkolenia bazowe | Kwartalnie / rocznie | Higiena cyfrowa, rozpoznawanie phishingu, zasady polityki haseł i nośników | Cały personel |
| Symulacje phishingu | Miesięcznie | Pomiar realnej czujności, dane do raportu zarządczego | Cały personel z dostępem do poczty |
| Ćwiczenia sztabowe (tabletop) | Półrocznie | Sprawdzenie BCP/DRP w warunkach zbliżonych do realnych | Zespół kryzysowy + dyrekcja |
| Audyt higieny cyfrowej | Półrocznie | Weryfikacja zgodności praktyk z polityką | Wszystkie oddziały + IT |
| Szkolenie specjalistyczne IT/SOC | Stałe | Reakcja na incydent, threat intelligence, narzędzia EDR/SIEM | Zespół IT i bezpieczeństwa |
Kluczowa jest forma. Statyczna prezentacja PDF raz w roku to spełnienie obowiązku formalnego, nie budowa odporności. Symulacje phishingu prowadzone w trybie ciągłym dają twarde dane: ile osób kliknęło, ile zgłosiło, jak czas reakcji zmienia się w kolejnych miesiącach. Te liczby trafiają do raportu zarządczego – i są dziś jednym z pytań pierwszego rzędu na audycie NIS 2.
Skąd wziąć pieniądze: finansowanie cyberbezpieczeństwa szpitala 2026
Aktualny program: KPO D1.1.2 (2025-2026)
Główne źródło środków na cyberbezpieczeństwo polskich szpitali w obecnym okresie to inwestycja D1.1.2 z Krajowego Planu Odbudowy: „Przyspieszenie procesów transformacji cyfrowej ochrony zdrowia”. Łączna pula naboru wyniosła 3,131 mld zł, a indywidualne dofinansowanie – w zależności od poziomu zabezpieczenia szpitala w sieci PSZ – wahało się od 1,025 mln zł do 12 mln zł na placówkę:
- Szpitale I stopnia: od 1 025 000 zł do 6 000 000 zł
- Szpitale II stopnia: od 1 600 000 zł do 9 000 000 zł
- Szpitale III stopnia, ogólnopolskie, onkologiczne, pediatryczne: od 2 325 000 zł do 12 000 000 zł
Nabór odbywał się w okresie od 11 kwietnia do 29 maja 2025 r., a maksymalny termin realizacji projektu to 31 maja 2026 r. (z możliwością wydłużenia w razie rewizji KPO). Kwalifikowalność wydatków obejmuje m.in. zakup zapór sieciowych, systemów backupu, narzędzi EDR/SIEM oraz szkolenia personelu – czyli dokładnie ten zakres, który wynika z obowiązków NIS 2.
Wyniki rankingowe pierwszego naboru zostały ogłoszone i zaktualizowane w listopadzie 2025 r., a kolejne zmiany regulaminu opublikowano 9 lutego 2026 r. Dla szpitali, które nie złapały się w pierwszej puli, kluczowe jest śledzenie komunikatów Ministerstwa Zdrowia o ewentualnych dodatkowych alokacjach.
Historia: program NFZ 2022-2023
Wcześniejszy mechanizm – finansowanie z Funduszu Przeciwdziałania COVID-19 administrowane przez NFZ na podstawie zarządzenia Prezesa NFZ nr 68/2022/BBIICD – oferował od 240 tys. zł do 900 tys. zł na placówkę i był aktywny w latach 2022-2023. Łącznie w 2022 r. NFZ podpisał ok. 613 umów na ponad 261 mln zł. Program ten nie jest już aktualny, ale jego logika (kwalifikowalność zakupów IT, audyt jako warunek) bardzo przypomina obecny KPO D1.1.2 i pozostaje punktem odniesienia.
Twardy rachunek: ile to naprawdę kosztuje
Dla pojedynczego szpitala publicznego średni szacunkowy koszt dostosowania do nowych wymogów KSC w perspektywie 5 lat to ok. 4,6 mln zł netto – w tym wymiana sprzętu od „dostawców wysokiego ryzyka”, instalacja zamienników, deinstalacja, utylizacja oraz 5-letni serwis i wsparcie techniczne.
Przemnożone przez ok. 800 publicznych szpitali w Polsce, łączny koszt dla sektora to ok. 3,7 mld zł netto w 5 lat – kwota porównywalna z całą pulą KPO D1.1.2. Resort cyfryzacji w 2025 r. zapowiadał na ten cel rekordowe 4 mld zł rocznie w skali całego państwa.
12-miesięczne okno dostosowawcze – harmonogram dla dyrektora
Plan awaryjny – co robić, gdy atak nastąpi
Założenie wyjściowe NIS 2 i każdej dojrzałej polityki cyberbezpieczeństwa brzmi: nie pytaj „czy”, tylko „kiedy”. Każdy szpital musi mieć udokumentowany, przećwiczony plan reakcji na incydent – nie tylko po to, żeby ograniczyć szkody, ale dlatego, że ustawa nakłada konkretne terminy raportowania, których przekroczenie samo w sobie jest karalne.
Pierwsze 24 godziny – najtrudniejsze decyzje
| Czas od wykrycia | Działanie techniczne | Działanie organizacyjne |
|---|---|---|
| 0-1 h | Izolacja zainfekowanych segmentów sieci, odcięcie połączeń zewnętrznych | Aktywacja zespołu kryzysowego, powiadomienie dyrekcji |
| 1-6 h | Identyfikacja wektora ataku, zabezpieczenie logów, ocena zakresu | Decyzja o przejściu na tryb papierowy, komunikacja wewnętrzna do oddziałów |
| 6-24 h | Próba odtworzenia z kopii zapasowych, kontakt z CSIRT NASK / CERT Polska | Powiadomienie wstępne organu nadzorczego (24h), komunikacja zewnętrzna z pacjentami |
| 24-72 h | Odbudowa systemów krytycznych, śledztwo techniczne, eradykacja | Pełne zgłoszenie incydentu (72h RODO + NIS 2), decyzja o powiadomieniu pacjentów |
| 72 h – 30 dni | Pełne odtworzenie środowiska, twardy reset poświadczeń, hardening | Raport końcowy do organu (1 miesiąc), lekcje, aktualizacja BCP |
Skład zespołu kryzysowego
Zespół kryzysowy nie jest tworzony „na żywo” w momencie ataku – to udokumentowana lista nazwisk z numerami kontaktowymi (także prywatnymi, na wypadek gdy systemy szpitalne nie działają), zaktualizowana co kwartał. Minimalny skład:
- Dyrektor / wicedyrektor ds. zarządzania – decyzje strategiczne, kontakt z mediami, organem właścicielskim
- CISO / kierownik IT – koordynacja techniczna, kontakt z CSIRT NASK
- IOD (Inspektor Ochrony Danych) – ocena obowiązku zgłoszenia do UODO, komunikacja z pacjentami
- Radca prawny – odpowiedzialność cywilna i karna, postępowanie z UODO
- Rzecznik prasowy / specjalista ds. komunikacji – komunikacja zewnętrzna, social media, media tradycyjne
- Naczelna pielęgniarka / kierownik administracji medycznej – koordynacja pracy oddziałów w trybie awaryjnym
- Zewnętrzny partner IR (Incident Response) – w idealnym scenariuszu na umowie retainerskiej, gotowy do wsparcia 24/7
Cyberbezpieczeństwo a inne reżimy 2026: EDM i Centralna e-Rejestracja
KSC/NIS 2 nie jest jedynym obowiązkiem cyfrowym dyrektora w 2026 r. Równolegle realizowane są dwa inne reżimy, które wymagają tej samej infrastruktury (sieci, systemy, dane) i tych samych kompetencji organizacyjnych:
- Reżim EDM – rozszerzenie katalogu elektronicznej dokumentacji medycznej o KMCR i KMLZRM (ratownictwo), nowe pola w dokumentacji od 1.01.2026. Pełne omówienie znajdziesz w przewodniku EDM w szpitalu – 10 najważniejszych obowiązków na 2026 rok.
- Reżim Centralnej e-Rejestracji (CeR) – obowiązek integracji z platformą P1 do 31.05.2026, wstrzymanie płatności NFZ od 1.06, aktywacja MUŚ od 1.07. Operacyjny przewodnik: Centralna e-Rejestracja 2026 – wdrożenie w szpitalu.
Wszystkie trzy reżimy wymagają od dyrektora osobistej odpowiedzialności i synchronizacji ze sobą. Nie da się skutecznie wdrożyć NIS 2 bez równoległej integracji z P1 (bo to jest jeden z systemów krytycznych szpitala), a SZBI musi obejmować wszystkie procesy generujące zdarzenia medyczne.
Checklista dla dyrektora – 10 kroków na 12-miesięczne okno dostosowawcze
- Zleć audyt cyberbezpieczeństwa przez zewnętrznego, certyfikowanego audytora – to dokument, którego oczekuje organ nadzorczy. Termin: I kwartał.
- Wyznacz osobę odpowiedzialną za cyberbezpieczeństwo (CISO lub kierownika IT z explicit pełnomocnictwem) raportującą bezpośrednio do dyrekcji. Termin: do końca I kwartału.
- Przeprowadź formalną klasyfikację – czy szpital jest podmiotem kluczowym, czy ważnym, w jakich sektorach. Powiąż to z rejestrem zasobów krytycznych. Termin: I kwartał (samoidentyfikacja do 3.10.2026).
- Wdróż lub zaktualizuj SZBI – kompletna polityka bezpieczeństwa, procedury, instrukcje robocze. Termin: II kwartał.
- Aktywuj BCP / DRP z RPO/RTO i przeprowadź pierwsze ćwiczenie sztabowe. Termin: II kwartał.
- Wymuś MFA na wszystkich kontach i wdrożenie PAM dla administratorów. Termin: II kwartał.
- Zweryfikuj architekturę kopii zapasowych – co najmniej jedna kopia immutable, regularnie testowane odtwarzanie. Termin: III kwartał.
- Uruchom monitoring SIEM (własny SOC lub usługa zewnętrzna 24/7). Bez tego nie jesteś w stanie dotrzymać 24-godzinnego terminu zgłoszenia incydentu. Termin: III kwartał.
- Wdróż program szkoleń z symulacjami phishingowymi w trybie ciągłym. Pierwsze szkolenie zarządu w pierwszym kwartale, dalej rytm zgodny z planem powyżej. Termin: start I kwartał, ciągłe.
- Przygotuj listę dostawców wysokiego ryzyka i plan ich wymiany w okresach przewidzianych decyzją organu. Powiąż z budżetem. Termin: IV kwartał (do 3.04.2027 pełne SZBI).
Operacyjne narzędzie dla dyrektora szpitala – 10 kroków wdrożenia w 12-miesięcznym oknie + protokół reakcji 24h + skład zespołu kryzysowego. Format PDF, gotowy do druku.
Pobierz PDF (96 KB)
FAQ – najczęściej zadawane pytania
Czy szpital jest podmiotem kluczowym w nowej ustawie o KSC?
Tak – niemal zawsze. Każdy podmiot świadczący opiekę zdrowotną w warunkach szpitalnych jest podmiotem kluczowym według nowelizacji KSC (NIS 2), niezależnie od formalnej wielkości organizacji. Mniejsze placówki (AOS, POZ) mogą być podmiotami ważnymi. Decyzję podejmuje się w drodze samoidentyfikacji do 3 października 2026 r.
Jaka jest maksymalna kara za naruszenie KSC/NIS 2?
Do 10 mln EUR lub 2% rocznego światowego obrotu dla podmiotów kluczowych, do 7 mln EUR lub 1,4% obrotu dla ważnych (kwota wyższa). Kara może być nałożona bez wystąpienia incydentu – sam brak rejestracji w wykazie lub wdrożenia SZBI wystarczy. Kara KSC kumuluje się z karą RODO za to samo zdarzenie.
W jakim terminie zgłaszam incydent cyberbezpieczeństwa do CSIRT?
Dwustopniowo: wczesne ostrzeżenie w ciągu 24 godzin od wykrycia, zgłoszenie pełne w ciągu 72 godzin, raport końcowy w ciągu 1 miesiąca. Procedura zgłaszania musi być przygotowana i regularnie testowana w ramach SZBI. Brak SOC 24/7 = brak realnej możliwości dotrzymania 24h terminu przy ataku weekendowym.
Czy mogę delegować odpowiedzialność za KSC na dział IT?
Nie. Kierownik podmiotu kluczowego (dyrektor szpitala) osobiście odpowiada za przygotowanie, wdrożenie, stosowanie i nadzór nad SZBI. Przy kierownictwie kolegialnym odpowiedzialność może obciążać wszystkich członków zarządu. Sama delegacja zadań nie zwalnia z odpowiedzialności – to fundament NIS 2.
Co to jest backup immutable i czy go potrzebuję?
Backup immutable to kopia danych, której fizycznie nie można nadpisać ani usunąć przez określony czas (np. 30 dni) – nawet z konta administratora. To kluczowa ochrona przed ransomware: jeśli atakujący zaszyfruje serwer i wszystkie zwykłe backupy, immutable jest jedynym wyjściem bez okupu. Wytyczne CeZ oraz biegli przy postępowaniach pod incydentach oczekują tej architektury.
Czy KPO D1.1.2 pokrywa wszystkie koszty NIS 2?
Nie. Łączny szacowany koszt dostosowania pojedynczego szpitala publicznego do NIS 2 w perspektywie 5 lat to 4,6 mln zł (PTKOZ), podczas gdy maksymalne dofinansowanie KPO D1.1.2 wynosi 12 mln zł na placówkę (szpitale III stopnia). Pula naboru była 3,131 mld zł na cały sektor. Pozostałe środki trzeba znaleźć w budżecie własnym szpitala lub kolejnych programach (Ministerstwo Cyfryzacji zapowiadało 4 mld zł rocznie).
Czy muszę wymienić cały sprzęt od chińskich dostawców?
Nie automatycznie. Polska wprowadziła mechanizm „dostawcy wysokiego ryzyka” – to decyzja organu w konkretnym przypadku. Może objąć sprzęt sieciowy, serwery, oprogramowanie. Lista dostawców wysokiego ryzyka i terminy wymiany są publikowane przez Ministerstwo Cyfryzacji. Sam fakt pochodzenia spoza UE/NATO nie jest automatycznym wykluczeniem – liczy się ocena ryzyka.
Co to jest SIEM i czy mała placówka go potrzebuje?
SIEM (Security Information and Event Management) to system koreluje zdarzenia bezpieczeństwa z wielu źródeł (firewall, serwer, end-point, log aplikacji). Mała placówka może skorzystać z SIEM-as-a-service – usługa zewnętrzna z dyżurem 24/7 (SOC). Bez monitoringu 24/7 nie wykryjesz ataku weekendowego = przekroczysz 24h termin zgłoszenia = osobna kara KSC.
Czy ćwiczenia tabletop są obowiązkowe?
Bezpośrednio nie są wymagane przez literę ustawy, ale plan BCP/DRP musi być „testowany regularnie” – a tabletop to standard branżowy. Organ nadzorczy na audycie zapyta o przeprowadzone ćwiczenia, ich wyniki, lekcje wyciągnięte i aktualizacje procedur. Półroczna częstotliwość to dobra praktyka dla podmiotu kluczowego.
Czy NIS 2 zastępuje RODO?
Nie – reżimy działają równolegle. To samo zdarzenie (np. wyciek danych po ransomware) może skutkować dwoma niezależnymi karami: RODO (do 20 mln EUR) i KSC/NIS 2 (do 10 mln EUR). Postępowania prowadzą różne organy (UODO dla RODO, organy sektorowe dla NIS 2). Zgłoszenie wstępne dla obu reżimów – w 24-72h.
- Ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (z nowelizacją z 19 lutego 2026 r. wdrażającą dyrektywę NIS 2), obowiązuje od 3 kwietnia 2026 r.
- Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 (NIS 2)
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO)
- Centrum e-Zdrowia (ezdrowie.gov.pl) – wytyczne dla podmiotów leczniczych, ankieta dojrzałości cyberbezpieczeństwa
- CSIRT NASK / CERT Polska (incydent.cert.pl) – zgłaszanie incydentów, alerty bezpieczeństwa
- Urząd Ochrony Danych Osobowych (uodo.gov.pl) – decyzje, komunikaty, plan kontroli sektorowych
- Ministerstwo Cyfryzacji (gov.pl/web/cyfryzacja) – lista podmiotów objętych KSC, komunikaty
- ENISA Threat Landscape for the Health Sector (2024-2025) – europejska agencja cyberbezpieczeństwa
- KPO Inwestycja D1.1.2 (Krajowy Plan Odbudowy) – dokumentacja naboru, regulamin, zmiany
- Polskie Towarzystwo Koordynowanej Ochrony Zdrowia (PTKOZ) – raport „Koszty wdrożenia NIS 2 w polskich szpitalach”
- NFZ (nfz.gov.pl) – historyczna dokumentacja programów cyberbezpieczeństwa 2022-2023
Materiał przygotowany 26 maja 2026 r. (aktualizacja – 54 dni po wejściu w życie KSC/NIS 2) na podstawie publicznych dokumentów regulacyjnych, raportów branżowych oraz aktualnych komunikatów organów nadzorczych. Stan prawny i statystyczny może ulec zmianie – przy konkretnych decyzjach inwestycyjnych lub organizacyjnych weryfikuj informacje w aktualnym brzmieniu ustawy o Krajowym Systemie Cyberbezpieczeństwa, komunikatach Ministerstwa Cyfryzacji oraz wytycznych Centrum e-Zdrowia. Artykuł nie stanowi porady prawnej, finansowej ani technicznej w indywidualnej sprawie.