1 stycznia 2026 r. polska ochrona zdrowia weszła w najbardziej intensywny rok cyfryzacji od czasu wprowadzenia e-recepty. Z dniem tym weszły w życie dwa nowe rodzaje elektronicznej dokumentacji medycznej (KMCR i KMLZRM), nowe wymogi co do treści skierowań i danych identyfikujących podmioty lecznicze, ruszyła Centralna e-Rejestracja, a od 2 kwietnia 2026 r. obowiązuje znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa (KSC) wdrażająca dyrektywę NIS 2 — w której szpital jest podmiotem kluczowym z odpowiedzialnością osobistą kierownictwa.
Ten artykuł porządkuje 10 obowiązków, które dyrektor szpitala musi zaadresować w 2026 r. — z konkretnymi terminami, sygnaturami aktów prawnych i mapą ryzyk finansowych. Każdy obowiązek jest opisany operacyjnie: kto, co, kiedy i z jaką podstawą prawną.
📋 Nota metodologiczna
Stan prawny i faktograficzny: kwiecień 2026 r.
Źródła: Centrum e-Zdrowia (cez.gov.pl, ezdrowie.gov.pl), Ministerstwo Zdrowia (gov.pl/web/zdrowie), Narodowy Fundusz Zdrowia, Dziennik Ustaw RP, Ministerstwo Cyfryzacji.
Charakter opracowania: przewodnik operacyjny dla kadry zarządzającej. Tekst nie stanowi porady prawnej w rozumieniu ustawy z 6.07.1982 r. o radcach prawnych ani indywidualnej rekomendacji wdrożeniowej. W sprawach indywidualnych skonsultuj się z radcą prawnym, IOD i działem IT placówki.
Kluczowe wnioski w pigułce
- Trzy nowe akty prawne wchodzą w 2026 r. równolegle: rozporządzenie MZ z 9.07.2025 (Dz.U. 2025 poz. 930), rozporządzenie MZ z 19.12.2025 (Dz.U. 2025 poz. 1853) i ustawa z 26.09.2025 o Centralnej e-Rejestracji.
- Brak integracji z Centralną e-Rejestracją do 31 maja 2026 r. oznacza wstrzymanie płatności NFZ od 1 czerwca, a od 1 lipca brak rozliczeń za świadczenia umówione poza systemem.
- Sektor zdrowia jest podmiotem kluczowym w nowej ustawie o KSC. Kary: do 10 mln EUR. Odpowiedzialność: osobiście kierownik podmiotu (dyrektor szpitala).
- Karta Medycznych Czynności Ratunkowych (KMCR) i KMLZRM stały się EDM — szpital przyjmujący pacjenta z ZRM musi technicznie pobrać dokument z platformy P1.
- Każde świadczenie zdrowotne trzeba zaraportować do P1 jako zdarzenie medyczne — termin: maks. 2 dni od zakończenia (lub rozpoczęcia, dla hospitalizacji).
10 obowiązków szpitala na 2026 r. — lista zwarta
Pełen obraz obowiązków obejmuje trzy reżimy prawne, które w 2026 r. realizują się równolegle: reżim EDM (rozporządzenia o dokumentacji medycznej), reżim Centralnej e-Rejestracji (ustawa z 26.09.2025) oraz reżim KSC/NIS 2 (znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa). Poniżej skondensowana lista — szczegóły każdego punktu znajdziesz w dalszych sekcjach.
| Nr | Obowiązek | Podstawa prawna | Termin / status |
|---|---|---|---|
| 1 | Wytwarzanie KMCR jako EDM (po stronie ZRM) i organizacyjna gotowość szpitala do jej pobrania z P1 | Rozp. MZ z 9.07.2025 (Dz.U. 2025 poz. 930) | obowiązuje od 1.01.2026 |
| 2 | Wytwarzanie KMLZRM jako EDM i pobieranie jej w szpitalu przyjmującym z LZRM | Rozp. MZ z 9.07.2025 (Dz.U. 2025 poz. 930) | obowiązuje od 1.01.2026 |
| 3 | Aktualizacja danych identyfikujących podmiot leczniczy: numer telefonu, adres e-mail, kod specjalności komórki organizacyjnej | Rozp. MZ z 19.12.2025 (Dz.U. 2025 poz. 1853) | obowiązuje od 1.01.2026 |
| 4 | Nowy zakres danych w skierowaniach (m.in. adres miejsca wystawienia, jednolite klasyfikacje) | Rozp. MZ z 19.12.2025 (Dz.U. 2025 poz. 1853) | obowiązuje od 1.01.2026 |
| 5 | Raportowanie zdarzeń medycznych i indeksowanie EDM do platformy P1 — niezwłocznie, maks. 2 dni | Ustawa z 28.04.2011 o SIOZ + Rozp. MZ z 26.06.2020 | obowiązek ciągły |
| 6 | Integracja z Centralną e-Rejestracją (CeR) — udostępnianie harmonogramów przyjęć | Ustawa z 26.09.2025 (Dz.U. 2025 poz. 1461) + Rozp. MZ z 22.12.2025 | do 31.05.2026 — pierwsza partia świadczeń |
| 7 | Umawianie wszystkich wizyt objętych CeR przez system centralny | Ustawa z 26.09.2025, art. 23i | od 1.07.2026 (rozliczanie tylko z CeR) |
| 8 | Wdrożenie SZBI i samoidentyfikacja jako podmiot kluczowy w KSC (sektor zdrowia) | Znowelizowana ustawa o KSC (NIS 2), w życie od 2.04.2026 | 12 m-cy na pełne wdrożenie (do 2.04.2027) |
| 9 | Zapewnienie podpisu elektronicznego, kontroli dostępu, OID i interoperacyjności (HL7 CDA) | Rozp. MZ z 6.04.2020 + ustawa o SIOZ | obowiązek ciągły |
| 10 | Szkolenia personelu z EDM, podpisu elektronicznego i bezpieczeństwa informacji (coroczne dla kadry zarządzającej zgodnie z KSC) | Ustawa o KSC + rozp. wykonawcze | obowiązek cykliczny |
Czym jest EDM — i co zmieniło się w katalogu na 2026 r.
Elektroniczna dokumentacja medyczna (EDM) to nie każda dokumentacja prowadzona elektronicznie. To zdefiniowany katalog dokumentów medycznych przeznaczonych do wymiany między podmiotami leczniczymi — z odpowiednim indeksowaniem w systemie P1, podpisanych elektronicznie i wytworzonych w określonym formacie technicznym (HL7 CDA).
Lokalna dokumentacja prowadzona cyfrowo w systemie szpitalnym może być elektroniczna, ale jednocześnie nie być EDM w rozumieniu katalogu. Różnica: EDM jest wymieniana między placówkami, lokalna nie. To rozróżnienie jest kluczowe przy kontroli zgodności.
📌 Co to jest „zdarzenie medyczne”?
Zdarzenie medyczne to każde świadczenie zdrowotne — działanie służące profilaktyce, zachowaniu, ratowaniu, przywracaniu lub poprawie zdrowia pacjenta. W praktyce: każda wizyta, hospitalizacja, badanie, zabieg. Informację o zdarzeniu medycznym (kto, komu, kiedy, gdzie, jakie świadczenie) trzeba przekazać do platformy P1 niezwłocznie, maks. 2 dni od zakończenia świadczenia. Dla świadczeń wieloetapowych (np. hospitalizacja) — 2 dni od rozpoczęcia, z aktualizacją po zakończeniu.
Pełny katalog rodzajów EDM po nowelizacji 2026
| Rodzaj EDM | Kto wytwarza | Podstawa |
|---|---|---|
| Informacja o rozpoznaniu, badaniach i odmowie przyjęcia do szpitala | Szpitalny oddział ratunkowy / izba przyjęć | Rozp. MZ o rodzajach EDM |
| Informacja dla lekarza kierującego do poradni specjalistycznej / leczenia szpitalnego | Lekarz prowadzący / wypisujący | Rozp. MZ o rodzajach EDM |
| Karta informacyjna z leczenia szpitalnego | Szpital przy wypisie pacjenta | Rozp. MZ o rodzajach EDM |
| Wyniki badań laboratoryjnych wraz z opisem | Laboratorium / pracownia diagnostyczna | Rozp. MZ o rodzajach EDM |
| Opisy badań diagnostycznych (RTG, USG, MR, TK) | Lekarz radiolog / pracownia obrazowa | Rozp. MZ o rodzajach EDM |
| e-recepta | Lekarz uprawniony | Ustawa o SIOZ |
| e-skierowanie | Lekarz uprawniony | Ustawa o SIOZ |
| e-zlecenie na wyroby medyczne | Lekarz / fizjoterapeuta uprawniony | Ustawa o SIOZ |
| 🆕 KMCR — Karta Medycznych Czynności Ratunkowych | Naziemne ZRM | Rozp. MZ z 9.07.2025 (Dz.U. 2025 poz. 930) — od 1.01.2026 |
| 🆕 KMLZRM — Karta Medyczna Lotniczego Zespołu Ratownictwa Medycznego | Lotnicze ZRM (HEMS) | Rozp. MZ z 9.07.2025 (Dz.U. 2025 poz. 930) — od 1.01.2026 |
Obowiązki 1–2: KMCR i KMLZRM — nowa EDM ratownicza
Od 1 stycznia 2026 r. dwa kluczowe dokumenty ratunkowe stały się elektroniczną dokumentacją medyczną — z indeksowaniem w P1 i obowiązkiem wymiany między ZRM a szpitalem przyjmującym. Podstawą jest rozporządzenie Ministra Zdrowia z 9 lipca 2025 r. zmieniające rozporządzenie w sprawie rodzajów elektronicznej dokumentacji medycznej (Dz.U. 2025 poz. 930).
Z perspektywy szpitala obowiązek nie sprowadza się do „wytwarzania” — ZRM tworzy dokument. Szpital ma organizacyjną gotowość do jego pobrania: integrację HIS z P1, wyznaczone role (kto odbiera powiadomienie), kanał operacyjny i rejestr potwierdzający pozyskanie dokumentu przy przyjęciu pacjenta.
Rozporządzenie przewiduje dwa modele wymiany:
- Model przejściowy (od 1.01.2026): komunikacja e-mailowa pomiędzy SWD PRM a szpitalem — przekazanie informacji o wytworzeniu KMCR/KMLZRM wraz z indeksem dokumentu, który pozwala wyszukać i pobrać go z P1.
- Model docelowy: automatyczne powiadomienia z systemu SWD PRM przez P1 do systemu HIS szpitala — bez interwencji człowieka. Szczegóły integracji są publikowane na isus.ezdrowie.gov.pl (środowisko integracyjne).
⚠ Najczęstsza pułapka wdrożeniowa
Najczęściej zawodzi nie sama treść kliniczna dokumentu, ale element indeksu lub spójności identyfikatorów. Jeśli indeks nie powstanie albo identyfikatory ZRM ↔ szpital nie będą spójne, pobranie KMCR przy przyjęciu pacjenta będzie niemożliwe — niezależnie od tego, że dokument fizycznie istnieje w P1. Konsekwencja: niezgodność z obowiązkiem wymiany EDM.
Obowiązki 3–4: nowy zakres danych w dokumentacji i skierowaniach
Drugą kluczową regulacją na 2026 r. jest rozporządzenie Ministra Zdrowia z 19 grudnia 2025 r. zmieniające rozporządzenie w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania (Dz.U. 2025 poz. 1853). Dotyczy ono nie EDM ratowniczej, ale „zwykłej” dokumentacji medycznej — i obowiązuje wszystkie podmioty lecznicze, niezależnie od wielkości placówki.
Co dokładnie się zmienia
- Dane identyfikujące podmiot leczniczy. Trzeba podać numer telefonu lub adres poczty elektronicznej podmiotu leczniczego oraz kod specjalności komórki organizacyjnej. Cel: poprawa komunikacji w systemie i jednoznaczne określenie kompetencji jednostki.
- Doprecyzowanie identyfikatorów (OID). Rozporządzenie odwołuje się do konkretnych części systemu resortowych kodów identyfikacyjnych. Cel: kompatybilność danych przekazywanych do systemów teleinformatycznych w ochronie zdrowia.
- Skierowania. Nowe pole obowiązkowe: adres miejsca wystawienia skierowania. Cel: transparentność i śledzenie realizacji świadczeń finansowanych ze środków publicznych.
- Jednolite klasyfikacje rozpoznań i procedur. Wymóg dokładniejszego opisu według klasyfikacji ICD-10 (rozpoznanie) i ICD-9 (procedura) — w dokumentacji i na skierowaniach. To podstawa dla centralnej e-rejestracji i analiz statystycznych.
- Przechowywanie dokumentacji po digitalizacji. Jasne reguły, co można zniszczyć po digitalizacji papieru, a co należy archiwizować dalej.
📌 Co to jest OID?
OID (Object Identifier) to unikalny ciąg cyfr identyfikujący obiekt w systemach teleinformatycznych ochrony zdrowia — np. konkretny podmiot leczniczy, jego komórkę organizacyjną, lekarza, pracownię. W EDM OID-y są niezbędne do prawidłowej wymiany dokumentów: bez nich system P1 nie wie, „kto” wystawił dokument i „komu” go udostępnić. Polskie OID-y są nadawane w Centrum e-Zdrowia.
Obowiązek 5: raportowanie zdarzeń medycznych do P1
To obowiązek, który nie jest „nowy w 2026”, ale w 2026 r. nabiera nowego znaczenia — bo od jego prawidłowego wykonywania zależą kolejne reżimy (CeR, sprawozdawczość NFZ, rozliczenia). Szczegółowo opisaliśmy zasady działania Platformy P1 w szpitalu wraz z e-receptą, e-skierowaniem i IKP w osobnym przewodniku. Podstawa prawna: art. 11 ustawy z 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia oraz rozporządzenie MZ z 26 czerwca 2020 r. w sprawie szczegółowego zakresu danych zdarzenia medycznego.
Proces krok po kroku
- Pacjent otrzymuje świadczenie w szpitalu (wizyta, badanie, hospitalizacja, zabieg).
- System HIS rejestruje zdarzenie medyczne z kompletem danych: identyfikator usługodawcy, identyfikator pracownika medycznego, identyfikator pacjenta, kod świadczenia, miejsce, data rozpoczęcia, data zakończenia, ICD-10, ICD-9.
- System wysyła komunikat do P1 automatycznie — nie później niż 2 dni od zakończenia świadczenia. Dla hospitalizacji: w ciągu 2 dni od rozpoczęcia trzeba wysłać komunikat startowy z aktualizacją po wypisie.
- Jeśli w trakcie świadczenia powstają dokumenty EDM (karta informacyjna, opisy badań, wyniki) — szpital indeksuje je w P1 w ciągu 2 dni od wytworzenia.
- System P1 udostępnia dane innym uprawnionym placówkom — za zgodą pacjenta lub w sytuacjach zagrożenia życia.
Co w przypadku awarii P1?
Jeśli awaria systemu P1 uniemożliwia przekazanie zdarzenia medycznego lub indeksowanie EDM, dane trzeba zamieścić w systemie nie później niż w terminie 3 dni (nie wliczając dni wolnych) od usunięcia awarii. Jeśli awaria trwa dłużej niż jeden dzień, termin może zostać wydłużony decyzją ministra zdrowia w drodze obwieszczenia.
Obowiązki 6–7: Centralna e-Rejestracja i ryzyko utraty finansowania NFZ
Centralna e-Rejestracja (CeR) to odrębny reżim od EDM — choć technicznie korzysta z tej samej infrastruktury (P1, IKP). Wprowadza ją ustawa z 26 września 2025 r. o zmianie ustawy o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych oraz niektórych innych ustaw (Dz.U. 2025 poz. 1461 ze zm.) oraz rozporządzenie MZ z 22 grudnia 2025 r. w sprawie centralnej elektronicznej rejestracji.
System ruszył 1 stycznia 2026 r. z pierwszą partią świadczeń: wizyty pierwszorazowe u kardiologa, mammografia, cytologia w ramach programów profilaktyki raka piersi i raka szyjki macicy. Od 1 sierpnia 2026 r. CeR rozszerzy się o kolejne specjalności (m.in. choroby naczyń, choroby zakaźne, endokrynologia, nefrologia, hepatologia, pulmonologia, neonatologia). Docelowo do 31 grudnia 2029 r. CeR ma objąć całą ambulatoryjną opiekę specjalistyczną finansowaną przez NFZ.
Harmonogram konsekwencji finansowych dla świadczeniodawców
| Data | Co się dzieje | Podstawa |
|---|---|---|
| 1 stycznia 2026 | Start CeR — pierwsza partia świadczeń obowiązkowo w systemie | Ustawa z 26.09.2025 |
| do 31 maja 2026 | Termin przekazania pierwszych harmonogramów przyjęć (na minimum 3 pełne miesiące naprzód) | art. 23i pkt 1 |
| 1 czerwca 2026 | NFZ wstrzymuje płatności dla świadczeniodawców, którzy nie przekazali harmonogramów | art. 154a ust. 1 |
| 1 lipca 2026 | NFZ rozlicza wyłącznie świadczenia umówione w CeR | art. 154a ust. 2 |
| 1 sierpnia 2026 | CeR rozszerza się o kolejne specjalności (endokrynologia, nefrologia, pulmonologia i in.) | Komunikat MZ |
| do 31 grudnia 2029 | Pełne objęcie CeR wszystkich świadczeń ambulatoryjnej opieki specjalistycznej | Plan MZ |
Praktycznie oznacza to, że brak integracji systemu szpitalnego z CeR przed 31 maja 2026 r. nie tylko jest niezgodnością z prawem — natychmiast przekłada się na brak wpływu z NFZ za świadczenia objęte systemem. Dla wielu mniejszych podmiotów to bezpośrednie ryzyko utraty płynności finansowej.
Obowiązek 8: KSC/NIS 2 — szpital jako podmiot kluczowy
Drugim „twardym” reżimem 2026 r. — równolegle do CeR — jest znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa, która wdraża unijną dyrektywę NIS 2. Sejm przyjął nowelizację 23 stycznia 2026 r., Senat 28 stycznia 2026 r., prezydent podpisał 19 lutego 2026 r., publikacja w Dz.U.: 2 marca 2026 r., wejście w życie: 2 kwietnia 2026 r. Po miesięcznym vacatio legis podmioty mają 12 miesięcy na pełne wdrożenie obowiązków — do 2 kwietnia 2027 r.
Dlaczego to dotyczy każdego szpitala
NIS 2 zniosło dotychczasowy mechanizm „decyzji administracyjnej” i wprowadziło samoidentyfikację. To sam podmiot ma ustalić, czy podlega ustawie. Sektor zdrowia został potraktowany priorytetowo — szpitale (każdy podmiot świadczący opiekę zdrowotną w warunkach szpitalnych) są podmiotami kluczowymi, a nie tylko największe jednostki, jak wcześniej. To efekt fali ataków ransomware na szpitale w Europie i doświadczeń pandemii — szerzej o nowoczesnych zagrożeniach i cyberbezpieczeństwie w medycynie piszemy w osobnym opracowaniu.
Ministerstwo Cyfryzacji szacuje, że ustawa o KSC obejmie ok. 38 tys. podmiotów, w tym ok. 27 tys. podmiotów publicznych. Sektor zdrowia stanowi w tej liczbie znaczącą część.
Co konkretnie musi zrobić dyrektor szpitala
- Samoidentyfikacja — formalne ustalenie, czy szpital jest podmiotem kluczowym (z reguły tak), oraz zgłoszenie do właściwego rejestru.
- Wdrożenie SZBI — Systemu Zarządzania Bezpieczeństwem Informacji, opartego na systematycznym szacowaniu ryzyka i adekwatnych środkach technicznych i organizacyjnych. To nie jest „kupić antywirusa” — to procesowe podejście do bezpieczeństwa.
- Identyfikacja systemów krytycznych — nie tylko HIS i EDM, ale również RIS, PACS, LIS, zdalny dostęp dostawców serwisowych, systemy IoMT (medycyny połączonej). Szczegółowo opisaliśmy, na co zwracać uwagę przy wyborze i wymianie systemu klasy HIS — to kluczowa decyzja dla bezpieczeństwa i interoperacyjności.
- Zarządzanie incydentami — procedura zgłaszania incydentów poważnych do CSIRT (system S46) w terminach narzuconych ustawą.
- Coroczne szkolenia kierownictwa — kierownik podmiotu kluczowego osobiście odpowiada za przygotowanie, wdrożenie, stosowanie i nadzór nad SZBI. Co więcej — ma obowiązek corocznego szkolenia w tym zakresie.
- Audyty bezpieczeństwa informacji — w ustawowych terminach.
⚠ Odpowiedzialność osobista kierownictwa
W reżimie NIS 2 cyberbezpieczeństwo nie może być „delegowane” wyłącznie do działu IT lub zewnętrznego dostawcy. Kierownik podmiotu kluczowego (dyrektor szpitala) ponosi osobistą odpowiedzialność za realizację obowiązków. Przy kierownictwie kolegialnym odpowiedzialność może obciążać wszystkich członków zarządu, a samo przekazanie zadań nie zwalnia z odpowiedzialności.
Kary: do 10 mln EUR dla podmiotów kluczowych, do 7 mln EUR dla ważnych. Kara może być nałożona nawet bez wystąpienia incydentu — sam brak rejestracji lub wdrożenia SZBI wystarczy. Warto rozważyć ubezpieczenie szpitala przed skutkami wycieku danych medycznych jako element strategii zarządzania ryzykiem cyber.
Architektura systemu — kto z kim wymienia dane
Aby zrozumieć obowiązki w pełnym obrazie, warto zobaczyć, jak fizycznie krążą dane w polskim ekosystemie e-zdrowia. Centralnym węzłem jest system P1 prowadzony przez Centrum e-Zdrowia (CeZ). Wszystkie podmioty lecznicze (szpitale, POZ, AOS, ZRM, lotnicze ZRM, laboratoria) raportują do niego zdarzenia medyczne i indeksy EDM. Pacjent ma dostęp do swojej dokumentacji przez IKP. NFZ rozlicza świadczenia z wykorzystaniem danych z P1 i Centralnej e-Rejestracji.
Obowiązek 9: bezpieczeństwo, podpis elektroniczny, interoperacyjność
Każdy dokument EDM musi być podpisany elektronicznie. W polskim systemie dopuszczalne są trzy formy podpisu:
- Certyfikat ZUS (bezpłatny dla pracowników medycznych)
- Profil Zaufany (bezpłatny, wymaga uwierzytelnienia w systemie ePUAP)
- Kwalifikowany podpis elektroniczny (komercyjny, najwyższa moc dowodowa)
Komunikacja systemów szpitalnych z platformą P1 wymaga certyfikatów TLS i WSS — to standard zabezpieczenia warstwy transportu i komunikatów. Bez nich raportowanie zdarzeń medycznych nie zadziała.
Standard techniczny dokumentacji
Dla wymiany EDM w Polsce obowiązuje standard HL7 CDA (Clinical Document Architecture) zgodny ze szczegółowymi specyfikacjami publikowanymi przez Centrum e-Zdrowia (Polska Implementacja Krajowa HL7 CDA). Trwa stopniowa migracja w kierunku HL7 FHIR w niektórych obszarach, ale CDA pozostaje obowiązującym standardem dla EDM podlegającej wymianie. Sam fakt zapisu pliku w PDF lub Word nie oznacza, że to EDM — dokument musi mieć właściwą strukturę CDA i prawidłowe OID-y.
Obowiązek 10: szkolenia personelu i kompetencje cyfrowe
Dwa obszary szkoleniowe wymagają w 2026 r. systematycznego podejścia: obsługa EDM (lekarze, pielęgniarki, administracja) oraz bezpieczeństwo informacji (cała kadra, ze szczególnym uwzględnieniem kierownictwa zgodnie z KSC). Warto zsynchronizować je z obowiązkowymi szkoleniami w ramach 12 obowiązków RODO dyrektora placówki medycznej — kary UODO za naruszenia w 2025 r. przekroczyły 64 mln zł, więc szkolenia z bezpieczeństwa danych przestały być formalnością.
Skuteczne programy szkoleniowe obejmują: praktyczne warsztaty z systemem HIS/EDM (kwartalnie), bazę wiedzy online z procedurami i instrukcjami, regularne ćwiczenia z zakresu reagowania na incydenty cyberbezpieczeństwa, szkolenia z podpisu elektronicznego, RODO w EDM, oraz coroczny przegląd zmian prawnych.
To inwestycja organizacyjna, nie tylko zakupowa. Najczęstszą przyczyną opóźnień we wdrożeniach EDM jest opór kadry medycznej — wynikający częściej z nieumiejętności obsługi niż z fundamentalnej niechęci do zmiany.
Kto za co odpowiada — macierz ról w szpitalu
Trzy reżimy 2026 r. (EDM, CeR, KSC) wymagają wyraźnego rozdzielenia odpowiedzialności wewnątrz organizacji. Poniższa tabela porządkuje role kluczowych osób w obszarze cyfrowych obowiązków.
| Obszar | Dyrektor / Zarząd | Dyrektor IT | Dyrektor Medyczny | IOD |
|---|---|---|---|---|
| EDM ratownicza (KMCR/KMLZRM) | Akceptacja procedury odbioru | Integracja HIS z P1 | Procedura kliniczna odbioru | Klauzule informacyjne |
| Raportowanie zdarzeń medycznych | Nadzór SLA | Konfiguracja automatyzacji P1 | Jakość danych klinicznych | Zgodność z RODO |
| Centralna e-Rejestracja | Decyzja strategiczna (cash flow!) | Integracja systemu z CeR | Harmonogramy poradni | — |
| KSC / NIS 2 — SZBI | Osobista odpowiedzialność | Wdrożenie techniczne | — | Zarządzanie ryzykiem |
| Podpis elektroniczny / OID | Decyzja o standardzie podpisu | Wdrożenie infrastruktury | Adopcja przez personel | — |
| Szkolenia personelu | Budżet i nadzór | Szkolenia techniczne | Szkolenia kliniczne | Szkolenia z RODO |
Checklista wdrożeniowa — 12 kroków na 2026 r.
- Audyt obecnego stanu. Inwentaryzacja systemów (HIS, EDM, RIS, PACS, LIS), integracji z P1, certyfikatów (TLS, WSS, podpis), procedur raportowania zdarzeń medycznych.
- Aktualizacja danych podmiotu. Dodanie numeru telefonu / e-maila podmiotu i kodów specjalności komórek do dokumentacji oraz systemów (zgodnie z Dz.U. 2025 poz. 1853).
- Procedura odbioru KMCR/KMLZRM. Wyznaczenie ról (kto monitoruje powiadomienia z SWD PRM), kanału odbioru, rejestru pozyskania dokumentu przy przyjęciu pacjenta.
- Integracja HIS z systemem P1 w zakresie nowych typów EDM (model przejściowy + przygotowanie do docelowego).
- Integracja systemu kolejkowego z Centralną e-Rejestracją. Termin krytyczny: 31 maja 2026 r. dla pierwszej partii świadczeń (kardiologia, mammografia, cytologia, jeśli dotyczy).
- Harmonogramy przyjęć w CeR — minimum 3 pełne miesiące naprzód, w czasie rzeczywistym aktualizowane.
- Samoidentyfikacja w KSC. Ustalenie statusu podmiotu (kluczowy / ważny) i zgłoszenie do właściwego rejestru w terminie wskazanym przez ustawę.
- Wdrożenie SZBI. Polityki, szacowanie ryzyka, klasyfikacja zasobów, procedury zarządzania podatnościami, plan reagowania na incydenty.
- Coroczne szkolenie kierownictwa z zakresu cyberbezpieczeństwa (wymóg ustawowy KSC).
- Szkolenia personelu z EDM — kwartalnie, ze szczególnym uwzględnieniem nowości 2026 (KMCR, nowe pola w skierowaniach).
- Plan ciągłości działania (BCP) na wypadek awarii P1 / własnych systemów — z procedurą „papier zastępczy” i jego późniejszej digitalizacji.
- Pierwszy audyt zgodności w 2026 r. — wewnętrzny lub zewnętrzny, z formalnym raportem dla zarządu.
Najczęstsze błędy i pułapki wdrożeniowe
- Mylenie EDM z dokumentacją cyfrową. Skan papierowej karty PDF-em nie jest EDM — brak struktury HL7 CDA, brak indeksu w P1, brak wymiany.
- Niespójne identyfikatory. Najczęstsza przyczyna nieudanej wymiany KMCR — szpital i ZRM używają niezsynchronizowanych identyfikatorów pacjenta lub podmiotu.
- „Zrobię CeR po 31 maja”. Od 1 czerwca 2026 r. NFZ wstrzymuje płatności. Cash flow najczęściej nie wytrzymuje miesiąca opóźnienia.
- Delegowanie KSC w całości na IT. Kierownik podmiotu jest osobiście odpowiedzialny i osobiście podpisuje SZBI. Nie da się tego scedować.
- Pomijanie dostawców zewnętrznych. KSC obejmuje również łańcuch dostaw — zdalny dostęp serwisanta HIS, dostawca RIS/PACS, integrator chmury — wszystko jest częścią powierzchni ataku.
- Brak rejestru pozyskania KMCR. Sama integracja techniczna to za mało — kontrola sprawdzi, czy szpital prowadzi formalny zapis, że dokument został pobrany przy przyjęciu pacjenta.
Wpływ na pacjenta — co naprawdę się zmienia
Dla pacjenta efekty 2026 r. są w przeważającej mierze pozytywne, choć nieoczywiste:
- Dokumentacja z interwencji ratunkowej (KMCR/KMLZRM) jest dostępna na IKP — bez konieczności odbioru papierowej karty.
- Lekarz przejmujący pacjenta w szpitalu ma szybszy wgląd w kluczowe informacje kliniczne — bez papierowego obiegu i dodatkowych formalności po stronie pacjenta.
- Zapisy na wizytę specjalistyczną (kardiologia, mammografia, cytologia, od sierpnia 2026 więcej specjalności) możliwe przez IKP, mojeIKP, telefon do infolinii — z automatycznym przypomnieniem SMS/e-mail.
- Centralny wykaz oczekujących — jeśli pacjent wpisze się „do kolejki” i pojawi się termin spełniający jego kryteria, system automatycznie zaproponuje wizytę.
Ryzyka po stronie pacjenta dotyczą głównie osób wykluczonych cyfrowo — do 30 czerwca 2026 r. świadczeniodawca ma obowiązek informować ich telefonicznie o terminach i zmianach.
📚 Źródła i linki oficjalne
Akty prawne:
- Rozporządzenie MZ z 9 lipca 2025 r. zmieniające rozp. w sprawie rodzajów EDM (Dz.U. 2025 poz. 930)
- Rozporządzenie MZ z 19 grudnia 2025 r. zmieniające rozp. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej (Dz.U. 2025 poz. 1853)
- Ustawa z 26 września 2025 r. o zmianie ustawy o świadczeniach opieki zdrowotnej (Dz.U. 2025 poz. 1461 ze zm.)
- Rozporządzenie MZ z 22 grudnia 2025 r. w sprawie centralnej elektronicznej rejestracji
- Ustawa z 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia (z późn. zm.)
- Ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (z nowelizacją 2026 — NIS 2)
- Rozporządzenie MZ z 6 kwietnia 2020 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej (tekst jedn. Dz.U. z 2024 r. poz. 798)
Strony oficjalne:
- ezdrowie.gov.pl — portal dla podmiotów leczniczych (Centrum e-Zdrowia)
- cez.gov.pl — Centrum e-Zdrowia (organ właściwy)
- pacjent.gov.pl — IKP, materiały dla pacjentów
- gov.pl/web/zdrowie — Ministerstwo Zdrowia
- gov.pl/web/cyfryzacja — Ministerstwo Cyfryzacji (nowelizacja KSC, NIS 2)
- nfz.gov.pl — Narodowy Fundusz Zdrowia
- isus.ezdrowie.gov.pl — środowisko integracyjne P1 (dla dostawców oprogramowania)
O autorze i charakterze opracowania
Opracowanie redakcyjne portalu wsparciedlaszpitala.pl — przewodnik operacyjny przeznaczony dla kadry zarządzającej podmiotów leczniczych w Polsce.
Data sporządzenia: kwiecień 2026 r. Stan prawny: kwiecień 2026 r.
Zastrzeżenie: tekst nie stanowi indywidualnej porady prawnej, podatkowej, finansowej ani technicznej w rozumieniu obowiązujących przepisów. W sprawach indywidualnych dotyczących konkretnej placówki zalecamy konsultację z radcą prawnym specjalizującym się w prawie ochrony zdrowia, Inspektorem Ochrony Danych oraz dostawcą systemu HIS/EDM. Treść aktualna na dzień sporządzenia — w przypadku kolejnych nowelizacji aktów prawnych zaktualizujemy artykuł.