Od 3 kwietnia 2026 r. obowiązuje znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa, która wdraża do polskiego prawa dyrektywę NIS2. Dla dyrektora szpitala oznacza to koniec ery, w której cyberbezpieczeństwo było „sprawą działu IT”. Stało się obowiązkiem prawnym z osobistą odpowiedzialnością kierownictwa, twardymi terminami i karami liczonymi w milionach. Ten artykuł wyjaśnia, kogo dokładnie obejmuje NIS2, jakie są terminy, ile wynoszą sankcje i od czego zacząć wdrożenie.
W skrócie: NIS2 to unijna dyrektywa o cyberbezpieczeństwie, wdrożona w Polsce nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa (Dz.U. 2026 poz. 252), obowiązującą od 3 kwietnia 2026 r. Szpitale należą do sektora ochrony zdrowia z załącznika nr 1 i są klasyfikowane jako podmioty kluczowe albo ważne. Najważniejsze terminy: rejestracja w wykazie do 3 października 2026 r., pełne wdrożenie systemu zarządzania bezpieczeństwem informacji do 3 kwietnia 2027 r., pierwszy audyt do 3 kwietnia 2028 r. Kary sięgają 10 mln euro lub 2% obrotu dla podmiotu kluczowego, a kierownik odpowiada osobiście karą do 300% wynagrodzenia.
📋 Nota metodologiczna. Stan prawny: 17 maja 2026 r. Źródła danych: ustawa o krajowym systemie cyberbezpieczeństwa (tekst jednolity Dz.U. 2026 poz. 20) wraz z ustawą zmieniającą z 23 stycznia 2026 r. (Dz.U. 2026 poz. 252), dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 (NIS2), komunikaty Ministerstwa Cyfryzacji, dane Centrum e-Zdrowia i działającego przy nim zespołu CSIRT CeZ, materiały Urzędu Ochrony Danych Osobowych. Artykuł ma charakter informacyjny i nie stanowi porady prawnej — klasyfikacja konkretnego podmiotu wymaga indywidualnej analizy. Autor: Redakcja Wsparcie dla Szpitala, zespół ekspertów ds. zarządzania ryzykiem w ochronie zdrowia.
NIS2 i ustawa o KSC — co dokładnie zmieniło się w 2026 roku
NIS2 to skrót od drugiej dyrektywy w sprawie bezpieczeństwa sieci i systemów informatycznych — formalnie dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 r. Jako dyrektywa nie obowiązuje wprost; wymaga przeniesienia do prawa krajowego. W Polsce dokonano tego przez nowelizację ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (KSC).
Ustawę zmieniającą uchwalono 23 stycznia 2026 r., opublikowano w Dzienniku Ustaw 2 marca 2026 r. (Dz.U. 2026 poz. 252), a większość przepisów weszła w życie 3 kwietnia 2026 r. Termin transpozycji NIS2 wyznaczony przez Unię upłynął 17 października 2024 r., więc Polska wdrożyła dyrektywę z opóźnieniem — co dla szpitali oznacza skrócony, bardzo napięty kalendarz dostosowania.
Najważniejsza zmiana ma charakter ustrojowy, a nie techniczny. Cyberbezpieczeństwo przestało być wyłącznie domeną informatyków. Stało się obowiązkiem zarządczym, za którego realizację odpowiada osobiście kierownik podmiotu — w przypadku szpitala dyrektor lub cały zarząd, jeśli nie wyznaczono konkretnej osoby. To fundamentalna różnica wobec poprzedniego stanu prawnego, w którym brak zabezpieczeń obciążał głównie budżet, a nie konkretne osoby. Warstwę operacyjną — to, jak technicznie chronić dane pacjentów i systemy medyczne przed atakami — omawiamy szczegółowo w osobnym przewodniku; ten artykuł skupia się na wymiarze prawnym i wdrożeniowym.
Czy Twój szpital to podmiot kluczowy, czy ważny?
To pierwsze pytanie, na które dyrektor musi odpowiedzieć, ponieważ od statusu zależy zakres obowiązków, rygor nadzoru i wysokość maksymalnych kar. Sektor ochrony zdrowia znajduje się w załączniku nr 1 do ustawy o KSC, co oznacza, że podmioty lecznicze mogą być zarówno podmiotami kluczowymi, jak i ważnymi.
Kryterium klasyfikacji zależy od formy prawnej i wielkości podmiotu:
- Szpitale będące przedsiębiorcami podlegają ogólnym progom wielkości. Duży przedsiębiorca (co najmniej 250 pracowników albo obrót przekraczający 50 mln euro) jest podmiotem kluczowym. Średni przedsiębiorca (od 50 do 249 pracowników) jest podmiotem ważnym.
- Podmioty lecznicze niebędące przedsiębiorcami (np. SPZOZ-y) podlegają odrębnym zasadom opartym na liczbie zatrudnionych: zatrudnianie co najmniej 250 osób oznacza status podmiotu kluczowego, a od 50 do 249 osób — status podmiotu ważnego.
W praktyce większość szpitali powiatowych i wojewódzkich będzie podmiotami kluczowymi — i to one podlegają najbardziej rygorystycznemu reżimowi: prewencyjnemu nadzorowi organu, obowiązkowi cyklicznego audytu oraz najwyższym progom kar. Co istotne, organ właściwy do spraw cyberbezpieczeństwa może w drodze decyzji zakwalifikować podmiot jako kluczowy nawet wtedy, gdy formalnie nie spełnia kryteriów — jeśli jego działalność ma istotne znaczenie dla bezpieczeństwa publicznego lub ciągłości usług.
Kalendarz wdrożenia — cztery terminy, których nie można przegapić
Wejście ustawy w życie 3 kwietnia 2026 r. uruchomiło serię terminów, które tworzą realny kalendarz działań dyrektora. Przekroczenie któregokolwiek z nich jest samodzielną podstawą do nałożenia kary.
| Termin | Co trzeba zrobić |
|---|---|
| 3 kwietnia 2026 | Ustawa wchodzi w życie. Szpital staje się podmiotem kluczowym lub ważnym. Obowiązki dotyczące obsługi i zgłaszania incydentów (24h/72h) działają od tego dnia. |
| 3 października 2026 | Termin samoidentyfikacji i złożenia wniosku o wpis do wykazu podmiotów kluczowych i ważnych przez system S46 (6 miesięcy od spełnienia przesłanek). |
| 3 kwietnia 2027 | Koniec 12-miesięcznego okresu przejściowego. Pełne wdrożenie systemu zarządzania bezpieczeństwem informacji, środków technicznych i procedur z rozdziału 3 ustawy. |
| 3 kwietnia 2028 | Termin pierwszego obowiązkowego audytu bezpieczeństwa dla podmiotów kluczowych. Od tej daty mogą być nakładane administracyjne kary pieniężne. |
Warto zwrócić uwagę na jeden niuans: choć „nowe” kary administracyjne mogą być nakładane dopiero po upływie dwóch lat od wejścia ustawy w życie, obowiązki incydentowe działają od pierwszego dnia. Jeśli szpital nie ma procedur, dyżurów i gotowości raportowania, ryzykuje, że nie zmieści się w 24-godzinnym oknie wczesnego ostrzeżenia już dziś.
Siedem obowiązków dyrektora szpitala wynikających z ustawy o KSC
Ustawa nakłada na podmioty kluczowe i ważne katalog obowiązków, za których realizację odpowiada kierownik podmiotu. Poniższa tabela porządkuje siedem najważniejszych z perspektywy zarządzania szpitalem.
| Obowiązek | Na czym polega |
|---|---|
| Rejestracja w wykazie | Samoidentyfikacja statusu i wpis do wykazu podmiotów kluczowych i ważnych przez system teleinformatyczny S46. |
| System zarządzania bezpieczeństwem informacji (SZBI) | Formalny system oparty na analizie ryzyka, obejmujący cały cykl życia systemów — od projektowania po wycofanie, wraz z dokumentacją. |
| Raportowanie incydentów | Trzystopniowy model: wczesne ostrzeżenie w 24 godziny, zgłoszenie w 72 godziny, sprawozdanie końcowe w ciągu miesiąca — do właściwego CSIRT. |
| Audyt bezpieczeństwa | Podmiot kluczowy przeprowadza audyt co najmniej raz na 3 lata na własny koszt; podmiot ważny — na żądanie organu po incydencie. |
| Szkolenie kierownika i personelu | Kierownik podmiotu raz w roku kalendarzowym przechodzi szkolenie; organizacja prowadzi stałą edukację pracowników i cyberhigienę. |
| Bezpieczeństwo łańcucha dostaw ICT | Ocena i monitorowanie ryzyka dostawców systemów medycznych i ICT, audyty dostawców, klauzule umowne, odpowiedzialność za incydenty z łańcucha. |
| Weryfikacja niekaralności | Osoby zajmujące się wdrożeniem SZBI lub obsługą incydentów muszą przedstawić zaświadczenie o niekaralności za przestępstwa przeciwko ochronie informacji. |
W szpitalu raportowanie incydentu ma dodatkowy wymiar. Gdy ransomware blokuje system HIS, incydent może bezpośrednio zagrażać życiu pacjentów, a zgłoszenie często przebiega dwutorowo: do sektorowego CSIRT oraz — przy naruszeniu danych osobowych pacjentów — równolegle do Urzędu Ochrony Danych Osobowych w trybie 72 godzin wynikającym z RODO. Obowiązki cyfrowe szpitala nie kończą się na NIS2 — splatają się z całym katalogiem powinności wokół elektronicznej dokumentacji medycznej, które dyrektor musi zaadresować w tym samym czasie.
Kary — ile realnie zapłaci szpital i kto odpowiada osobiście
Sankcje przewidziane w znowelizowanej ustawie o KSC należą do najbardziej rygorystycznych w Europie. Rozkładają się na trzy poziomy: kara dla podmiotu, kara osobista dla kierownika oraz kara ekstraordynaryjna w sytuacjach zagrożenia życia.
Dla podmiotu kluczowego kara pieniężna może sięgać 10 mln euro lub 2% rocznego obrotu, przy czym nie może być niższa niż 20 000 zł. Dla podmiotu ważnego jest to odpowiednio do 7 mln euro lub 1,4% obrotu, nie mniej niż 15 000 zł. Największą zmianą jest jednak osobista odpowiedzialność kierownictwa: kierownik podmiotu prywatnego może otrzymać karę do 300% swojego wynagrodzenia, a kierownik podmiotu publicznego — do 100%. W skrajnych przypadkach, gdy zaniedbanie zagraża życiu ludzi lub bezpieczeństwu państwa, polskie prawo przewiduje karę sięgającą nawet 100 mln zł.
Kary nakładane są między innymi za brak wpisu do wykazu, brak wdrożonego SZBI, niezgłoszenie incydentu poważnego w terminie, brak obowiązkowego audytu oraz zaniedbania w nadzorze nad łańcuchem dostaw. Każda z tych przesłanek jest samodzielna — nie trzeba doświadczyć ataku, by zostać ukaranym; wystarczy nie dopełnić obowiązku formalnego. Sankcje z ustawy o KSC kumulują się przy tym z reżimem ochrony danych — warto zestawić je z katalogiem obowiązków RODO ciążących na dyrektorze placówki medycznej, ponieważ ten sam incydent może uruchomić dwie równoległe ścieżki odpowiedzialności.
Dlaczego sektor zdrowia jest celem numer jeden — dane 2021–2026
Skala zagrożenia nie jest abstrakcją. Liczba incydentów cyberbezpieczeństwa w polskim sektorze ochrony zdrowia rośnie wykładniczo, co potwierdzają dane zespołu CSIRT działającego przy Centrum e-Zdrowia.
| Rok | Liczba incydentów w ochronie zdrowia |
|---|---|
| 2022 | 251 |
| 2023 | 405 |
| 2024 | 1 028 (ok. 2,5x więcej niż rok wcześniej) |
| 2025 (do sierpnia) | 946 — niemal tyle, co w całym 2024 r. |
Za większością ataków stoją oszustwa komputerowe wykorzystujące socjotechnikę — w okresie styczeń–sierpień 2025 r. odnotowano 311 takich prób, stanowiących jedną trzecią wszystkich zgłoszeń. Kolejne miejsca zajmują wykorzystanie podatności i złośliwe oprogramowanie. Wiele z tych podatności wynika z fragmentaryzacji infrastruktury — dlatego spójna integracja systemów IT w szpitalu jest jednym z filarów ograniczania powierzchni ataku. Konsekwencje bywają dramatyczne: w marcu 2025 r. szpital MSWiA w Krakowie przeszedł na tryb awaryjny po ataku ransomware, wstrzymując przyjęcia planowe i przekierowując karetki. W marcu 2026 r. atak dotknął kolejne polskie placówki, w tym szpital w Szczecinie i warszawskie Bonifraterskie Centrum Medyczne.
Problem pogłębia niski poziom przygotowania organizacyjnego. Według danych CSIRT CeZ z 2024 r. szkolenie z cyberbezpieczeństwa przeszło tylko 36% dyrektorów placówek ochrony zdrowia, a chociaż ponad 90% szpitali posiada kopie zapasowe, niecałe 60% regularnie testuje możliwość odtworzenia z nich danych. To luka, którą NIS2 adresuje wprost — przez obowiązek szkoleń kierownictwa i formalnych procedur ciągłości działania.
Od czego zacząć — plan na pierwsze 90, 180 i 365 dni
Wdrożenie NIS2 najlepiej rozłożyć na trzy horyzonty czasowe, zgodne z logiką ustawowych terminów.
Pierwsze 90 dni: przeprowadź analizę ryzyka i gap analysis — porównanie stanu obecnego z wymogami ustawy. Ustal status podmiotu. Wdróż priorytetowe zabezpieczenia: kopie zapasowe w trybie offline, kontrolę dostępu, logowanie zdarzeń, segmentację sieci. Przygotuj proces zgłaszania incydentów pod terminy 24h/72h, łącznie z wyznaczeniem osób uprawnionych do wysłania zgłoszenia.
Pierwsze 180 dni: złóż wniosek o wpis do wykazu przez system S46. Przeprowadź szkolenie kierownika podmiotu. Przećwicz scenariusze obsługi incydentu w warunkach zbliżonych do rzeczywistych. Zinwentaryzuj dostawców ICT i zacznij urealniać umowy pod kątem odpowiedzialności za bezpieczeństwo.
Pierwsze 365 dni: domknij pełne wdrożenie dokumentacji SZBI — polityki, procedury, instrukcje operacyjne. Utrwalaj dowody operacyjne (logi, raporty, rejestry decyzji), które będą podstawą pierwszego audytu. Dla podmiotu kluczowego zaplanuj audyt bezpieczeństwa w horyzoncie 24 miesięcy od wejścia ustawy w życie.
Najważniejsza zasada brzmi: nie pytaj „czy” dojdzie do incydentu, lecz „kiedy”. NIS2 nie wymaga jedynie wdrożeń technicznych — wymaga udokumentowanego, przećwiczonego planu reakcji, którego brak sam w sobie jest karalny. Część ryzyka finansowego, którego nie da się wyeliminować organizacyjnie, można dodatkowo przenieść — temu służy cyberpolisa zabezpieczająca szpital przed skutkami wycieku danych medycznych, traktowana jako uzupełnienie, a nie substytut zgodności z ustawą.
📥 Pobierz darmowy pakiet wdrożeniowy NIS2 dla szpitala
Checklista wdrożenia (9 kroków) + harmonogram czterech kluczowych terminów + mapa kar finansowych — wszystko w jednym dokumencie PDF gotowym do druku i wykorzystania na posiedzeniu zarządu.
FAQ — najczęstsze pytania o NIS2 w szpitalu
Czy każdy szpital podlega NIS2?
Sektor ochrony zdrowia jest objęty załącznikiem nr 1 do ustawy o KSC, więc co do zasady tak. Status zależy od wielkości: duże podmioty (co najmniej 250 pracowników) są podmiotami kluczowymi, średnie (50–249) — ważnymi. Organ może też zakwalifikować podmiot jako kluczowy decyzją, jeśli jego działalność ma istotne znaczenie dla ciągłości usług.
Do kiedy szpital musi się zarejestrować w wykazie?
Wniosek o wpis do wykazu podmiotów kluczowych i ważnych przez system S46 należy złożyć w ciągu 6 miesięcy od spełnienia przesłanek. Dla podmiotów spełniających je w dniu wejścia ustawy w życie termin upływa 3 października 2026 r.
Jakie są terminy zgłaszania incydentu według NIS2?
Model jest trzystopniowy: wczesne ostrzeżenie w ciągu 24 godzin od wykrycia, pełne zgłoszenie incydentu w ciągu 72 godzin oraz sprawozdanie końcowe w ciągu miesiąca. Zgłoszenia trafiają do właściwego sektorowego zespołu CSIRT.
Kto w szpitalu odpowiada za zgodność z NIS2?
Odpowiedzialność spoczywa na kierowniku podmiotu — w praktyce dyrektorze lub zarządzie. Jeśli organ jest wieloosobowy i nie wyznaczono konkretnej osoby, odpowiadają wszyscy członkowie. Kierownik może otrzymać karę osobistą do 300% wynagrodzenia (podmiot prywatny) lub do 100% (publiczny).
Ile kosztuje niedostosowanie się do NIS2?
Dla podmiotu kluczowego kara sięga 10 mln euro lub 2% rocznego obrotu (min. 20 000 zł), dla ważnego — 7 mln euro lub 1,4% obrotu (min. 15 000 zł). W sytuacji zagrożenia życia ludzi przewidziano karę ekstraordynaryjną do 100 mln zł. Kary za niektóre naruszenia mogą być nakładane po upływie dwóch lat od wejścia ustawy w życie.
Źródła
- Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (tekst jednolity Dz.U. 2026 poz. 20)
- Ustawa z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (Dz.U. 2026 poz. 252)
- Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 r. (NIS2)
- Komunikaty Ministerstwa Cyfryzacji dotyczące samoidentyfikacji i wykazu podmiotów, 2026
- Centrum e-Zdrowia oraz Sektorowy Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT CeZ), dane o incydentach 2021–2025
- Urząd Ochrony Danych Osobowych, decyzje dotyczące sektora ochrony zdrowia, 2024–2026
tm, zdjęcie z abacusai