Technik serwisuje szafę serwerową w serwerowni; obok stoi laptop diagnostyczny i skrzynka z narzędziami.
Ubezpieczenia

NIS2 a ubezpieczenie placówki medycznej w 2026 — czy polisa pokryje straty z awarii systemów IT i przestoju?

2026-03-03
Wiktoria-Nicpon

Współczesna placówka medyczna — czy to duży szpital, czy specjalistyczna przychodnia — jest w istocie skomplikowanym przedsiębiorstwem technologicznym. Gdy gasną ekrany, a systemy rejestracji i obsługi pacjenta przestają odpowiadać, problem w ułamku sekundy wykracza daleko poza dział IT. Najczęstsze i najkosztowniejsze nieporozumienie zarządzających brzmi: „nasza polisa to pokryje”. Po wejściu w życie nowelizacji ustawy o KSC wdrażającej dyrektywę NIS2 to przekonanie jest groźniejsze niż kiedykolwiek.

Krótka odpowiedź: standardowa polisa majątkowa z klauzulą utraty zysku (BI) zwykle nie pokrywa strat z awarii IT, jeśli nie doszło do fizycznego zniszczenia mienia. Przestój wywołany błędem oprogramowania, nieudaną aktualizacją czy atakiem ransomware wymaga dedykowanej cyberpolisy z sekcją Cyber Business Interruption. OC podmiotu leczniczego chroni pacjentów, a nie bilans placówki. Po 2 kwietnia 2026 r. dyrektywa NIS2 dodatkowo zaostrza wymogi underwritingu i wprowadza osobistą odpowiedzialność kierownictwa.

Ten artykuł rozdziela trzy często mylone instrumenty ochrony, pokazuje, gdzie realnie przebiega granica wypłaty odszkodowania, i tłumaczy, jak nowelizacja KSC zmienia reguły gry dla każdej placówki uznanej za podmiot kluczowy lub ważny.

Skala problemu: dane, które zmieniają perspektywę

Cyberzagrożenie w polskiej ochronie zdrowia przestało być scenariuszem hipotetycznym. Skala ataków na placówki medyczne rośnie lawinowo, a liczby mówią same za siebie.

Według Sektorowego Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego działającego w Centrum e-Zdrowia (CSIRT CeZ) w 2025 r. odnotowano rekordowe 1 441 incydentów cyberbezpieczeństwa w podmiotach medycznych — o 40% więcej niż rok wcześniej (1 028 zdarzeń). To kontynuacja gwałtownego trendu: 150 incydentów w 2021 r., 251 w 2022 r., 405 w 2023 r. Najczęstszą metodą pozostają oszustwa komputerowe (phishing, vishing, socjotechnika), a tłem jest napięta sytuacja geopolityczna i status Polski jako jednego z najczęściej atakowanych krajów UE.

Wykres słupkowy: wzrost liczby incydentów cyberbezpieczeństwa w polskiej ochronie zdrowia z 150 w 2021 do 1441 w 2025 roku
Ryc. 1: Dynamika incydentów cyberbezpieczeństwa w polskiej ochronie zdrowia (2021–2025). Źródło: CSIRT CeZ / Centrum e-Zdrowia.

Wymiar finansowy jest równie wymowny. Według raportu IBM „Cost of a Data Breach” średni koszt naruszenia danych w sektorze ochrony zdrowia wyniósł w 2025 r. ok. 7,42 mln USD — najwyższy spośród wszystkich branż, wyżej niż w finansach czy energetyce. W marcu 2026 r. ofiarą ataku padł m.in. szpital MSWiA w Krakowie, a do jednej z atakowanych placówek skierowano specjalistów Wojsk Obrony Terytorialnej. Problem pogłębia niedojrzałość zabezpieczeń: ponad 90% szpitali ma kopie zapasowe, ale tylko ok. 60% testuje ich odzyskiwanie, a 9% nie dysponuje podstawowym firewallem.

Co warto zapamiętać

  • Awaria systemów IT to dziś realne, powtarzalne ryzyko operacyjne, nie incydent marginalny.
  • Straty dzielą się na trzy warstwy: utracone przychody, koszty stałe i koszty dodatkowe.
  • Rodzaj polisy, która zadziała, zależy od tego, czy doszło do fizycznego zniszczenia mienia.
  • NIS2 czyni cyberbezpieczeństwo elementem odpowiedzialności zarządu, nie tylko działu IT.

Anatomia finansowa cyfrowego paraliżu

Gdy w podmiocie leczniczym dochodzi do awarii kluczowych systemów — HIS (szpitalny system informacyjny), RIS/PACS (radiologia), LIS (laboratorium) czy ERP odpowiedzialnego za rozliczenia — skutki finansowe uderzają z trzech stron jednocześnie.

Warstwa 1: utracone przychody

Odwołane wizyty, wstrzymane zabiegi planowe, brak realizacji kontraktów z płatnikiem publicznym i niemożność świadczenia usług komercyjnych tworzą dziurę budżetową, która powiększa się z każdą godziną. W medycynie czas jest towarem nieskładowalnym — utraconej godziny pracy bloku operacyjnego zwykle nie da się odrobić, bo grafik jest wypełniony po brzegi.

Warstwa 2: koszty stałe

Wynagrodzenia personelu, czynsze, raty leasingowe za sprzęt diagnostyczny, media, serwis aparatury — to obciążenie nie znika w momencie awarii serwera. Gdy przychody spadają do zera, a koszty stałe pozostają, płynność finansowa placówki może załamać się w bardzo krótkim czasie. Powrót do papierowej dokumentacji paradoksalnie zwiększa chaos i koszty operacyjne, zamiast je niwelować.

Warstwa 3: koszty dodatkowe (extra expenses)

Nadgodziny personelu wprowadzającego dane ręcznie po przywróceniu systemu, wynajęcie zewnętrznych ekspertów IT, zakup sprzętu zastępczego, uruchomienie procedur zarządzania kryzysowego i obsługi PR. Jeśli doszło do naruszenia danych — dochodzą koszty obsługi prawnej oraz powiadomienia organów nadzorczych i osób, których dane mogły wyciec.

Pułapka klasycznego ubezpieczenia utraty zysku (BI)

Wielu zarządzających zakłada, że standardowa polisa majątkowa zawiera klauzulę Business Interruption (BI), która zadziała przy każdym przestoju. To jedno z najkosztowniejszych nieporozumień na rynku.

Klasyczne BI jest konstruowane jako dodatek do ubezpieczenia mienia od ognia i innych zdarzeń losowych. Wyzwalaczem (triggerem) odpowiedzialności ubezpieczyciela jest fizyczna szkoda w mieniu — pożar serwerowni, zalanie sprzętu, zniszczenie infrastruktury. Bez materialnego uszkodzenia mienia podstawowy warunek uruchomienia polisy nie jest spełniony.

Jeżeli paraliż wynika z błędu oprogramowania, nieudanej aktualizacji, awarii chmury obliczeniowej albo ataku, który szyfruje dane, ale nie niszczy fizycznie dysków — klasyczne BI najprawdopodobniej nie zadziała. Dla ubezpieczyciela „szkoda logiczna” (utrata danych lub dostępności systemu) nie jest tożsama ze szkodą materialną. Ta subtelna różnica w definicjach decyduje o tym, czy placówka otrzyma wielomilionowe wsparcie, czy zostanie z problemem sama.

Na rynku istnieją rozszerzenia łagodzące ten problem — klauzule w ramach ubezpieczenia sprzętu elektronicznego (EEI) uznające określone awarie systemowe za zdarzenie ubezpieczeniowe albo rzadkie klauzule „non-damage BI”. Są to jednak rozwiązania niestandardowe, zwykle droższe i wymagające precyzyjnych negocjacji z brokerem. Opieranie bezpieczeństwa finansowego na domniemaniu, że „ubezpieczenie od wszystkiego” pokryje też awarię IT, jest strategią obarczoną potężnym ryzykiem.

Cyberpolisa — tarcza zaprojektowana pod zagrożenia niematerialne

W lukę pozostawioną przez klasyczne ubezpieczenie majątkowe wchodzą ubezpieczenia ryzyk cybernetycznych (Cyber), projektowane od podstaw z myślą o zagrożeniach niematerialnych. Ich przewagą jest łączenie pokrycia kosztów własnych (reagowanie na incydent, odtwarzanie danych) z odpowiedzialnością cywilną oraz — kluczowe przy przestoju — z sekcją Cyber Business Interruption, która potrafi pokryć utracony zysk i koszty stałe nawet bez fizycznego uszkodzenia sprzętu.

Scenariusz awarii Klasyczne BI Cyberpolisa OC podmiotu leczniczego
Przestój bez szkody materialnej (błąd IT, awaria chmury) Zwykle nie Tak (Cyber-BI) Nie
Atak hakerski / ransomware (szyfrowanie danych) Zwykle nie Tak Nie
Utracony przychód i koszty stałe placówki Tylko po szkodzie fizycznej Tak Nie
Roszczenia pacjentów za uszczerbek na zdrowiu Nie Częściowo* Tak
Infografika porównawcza: co pokrywa klasyczne BI, cyberpolisa i OC podmiotu leczniczego przy awarii systemów IT
Ryc. 2: Zakres ochrony trzech instrumentów ubezpieczeniowych w scenariuszu awarii IT. *W zależności od konstrukcji polisy. Opracowanie: wsparciedlaszpitala.pl na podstawie OWU rynkowych.

Rynek cyberubezpieczeń jest jednak wciąż młody i niejednolity. Nie każda polisa „Cyber” chroni przed każdym przestojem. Kluczowe jest rozróżnienie, czy ochrona obejmuje wyłącznie skutki ataku hakerskiego (security breach), czy też szeroko rozumianą awarię systemu (system failure). Tańsze, uproszczone produkty często koncentrują się tylko na działaniach osób trzecich, pozostawiając placówkę bez ochrony przy błędzie własnego pracownika, wadliwej aktualizacji wdrożonej przez dział IT czy awarii infrastruktury dostawcy chmurowego.

Okres wyczekiwania — franszyza czasowa, o której się zapomina

Decydującym detalem technicznym jest okres wyczekiwania (waiting period) — zwykle od 12 do 24 godzin od wystąpienia awarii, za który ubezpieczyciel nie ponosi odpowiedzialności. W praktyce oznacza to, że straty z pierwszej doby paraliżu, gdy chaos jest największy, placówka pokrywa z własnej kieszeni. Zrozumienie tego mechanizmu jest kluczowe dla realnego oszacowania, jaka część straty zostanie zrekompensowana.

Odpowiedzialność cywilna a straty własne — rozróżnienie konieczne

W dyskusji o ubezpieczeniach placówek mylone są dwa odrębne pojęcia: ochrona majątku i zysku placówki oraz ochrona przed roszczeniami pacjentów. Obowiązkowe OC podmiotu leczniczego i jego dobrowolne rozszerzenia chronią przed skutkami błędów, które wyrządziły szkodę na zdrowiu pacjenta. Jeśli awaria IT doprowadzi do opóźnienia w diagnostyce, pomyłki w podaniu leku czy zagubienia wyników — i przełoży się to na uszczerbek na zdrowiu — polisa OC zadziała. Mechanizm ten działa podobnie jak przy roszczeniach z tytułu naruszenia praw pacjenta.

Typowa polisa OC nie pokryje utraconych przychodów z odwołanych wizyt, nie zwróci kosztów naprawy serwerów ani nie sfinansuje nadgodzin personelu administracyjnego. To straty własne przedsiębiorstwa, które wymagają zupełnie innego instrumentu. OC i Cyber/BI to produkty komplementarne, nie zamienne — traktowanie ich jako substytutów jest błędem, który może kosztować miliony.

NIS2 i nowelizacja KSC zmieniają reguły gry

Otoczenie prawne podmiotów leczniczych zmienia się dynamicznie. Po siedmiu latach prac legislacyjnych nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) wdrażająca unijną dyrektywę NIS2 została podpisana przez Prezydenta 19 lutego 2026 r., opublikowana w Dzienniku Ustaw 2 marca 2026 r. i — po miesięcznym vacatio legis — weszła w życie 2 kwietnia 2026 r. To samo otoczenie regulacyjne kształtuje obowiązki dyrektora szpitala na 2026 rok.

Oś czasu wdrożenia nowelizacji KSC wdrażającej NIS2: od projektu w Sejmie w listopadzie 2025 do pełnego wdrożenia obowiązków w kwietniu 2027
Ryc. 3: Kalendarium wdrożenia nowelizacji KSC wdrażającej NIS2. Źródło: Dziennik Ustaw (ustawa z 23.01.2026), Ministerstwo Cyfryzacji.

Najważniejsza zmiana to mechanizm samoidentyfikacji: to przedsiębiorca samodzielnie weryfikuje, czy mieści się w katalogu ustawowym, i dokonuje zgłoszenia do wykazu podmiotów. Sektor ochrony zdrowia jest traktowany jako infrastruktura krytyczna — placówki trafiają do kategorii podmiotów kluczowych lub ważnych. Harmonogram dostosowania jest jednoznaczny:

Termin Obowiązek
6 miesięcy od wejścia w życie Samoidentyfikacja i rejestracja w wykazie podmiotów
12 miesięcy (do 2 kwietnia 2027) Pełne wdrożenie środków technicznych i organizacyjnych
24 miesiące Pierwszy audyt (podmioty kluczowe); od tego momentu możliwe kary administracyjne
Przy incydencie poważnym Wczesne ostrzeżenie w 24 h, pełne zgłoszenie w 72 h, sprawozdanie końcowe w 1 miesiąc

Ustawa wprowadza bezpośrednią odpowiedzialność kadry kierowniczej za zaniedbania w obszarze cyberbezpieczeństwa. Cyberbezpieczeństwo przestaje być wyłącznie domeną działu IT, a staje się elementem ładu organizacyjnego i zarządzania ryzykiem — na równi z finansami i zgodnością prawną.

Underwriting po NIS2 — czego zażąda ubezpieczyciel

Dla ubezpieczycieli zaostrzenie regulacji to sygnał do zaostrzenia kryteriów oceny ryzyka. Zakup dobrej cyberpolisy dla szpitala nie jest już tylko kwestią zapłacenia składki — ubezpieczyciele coraz częściej uzależniają samo przedstawienie oferty lub późniejszą wypłatę odszkodowania od spełnienia określonych standardów bezpieczeństwa.

Warunkami koniecznymi (pre-requisites) stają się: uwierzytelnianie wieloskładnikowe (MFA), regularne testowanie kopii zapasowych, segmentacja sieci, a także posiadanie planu reagowania na incydenty i ciągłości działania. Jeśli podczas audytu po szkodzie okaże się, że placówka zadeklarowała we wniosku wysoki poziom zabezpieczeń, który nie miał odzwierciedlenia w rzeczywistości, ubezpieczyciel może skutecznie uchylić się od odpowiedzialności, powołując się na wprowadzenie w błąd lub rażące niedbalstwo. Rozbieżność między deklaracją a stanem faktycznym to dziś jedno z najpoważniejszych ryzyk po stronie ubezpieczonego.

Audyt realnego pokrycia — co sprawdzić przed szkodą

Zamiast polegać na ogólnym poczuciu bezpieczeństwa, zarządzający powinni przeprowadzić — najlepiej przy wsparciu brokera i prawnika — szczegółowy audyt posiadanych polis pod kątem scenariusza awarii IT. Nie chodzi o czytanie całej umowy, lecz o weryfikację kilku krytycznych punktów, które w godzinie próby zadecydują o „być albo nie być” placówki:

Analiza triggera w BI: czy polisa od utraty zysku wymaga szkody materialnej, czy dopuszcza non-damage BI? Zakres polisy Cyber: czy definicja zdarzenia obejmuje tylko atak hakerski, czy także błąd pracownika, awarię aktualizacji i system failure? Limity i podlimity: jaka jest wysokość limitu na Cyber-BI i koszty dodatkowe — czy wystarczy na przestój trwający np. tydzień?

Pobierz checklistę audytu polisy pod NIS2

Trzystronicowa lista kontrolna dla dyrektorów: trigger BI, zakres cyberpolisy, rozdzielenie OC, zgodność z NIS2 i dokumentacja. Gotowa do przejścia z brokerem i prawnikiem.

Pobierz checklistę (PDF)

Najczęstsze pytania

Czy zwykłe ubezpieczenie szpitala pokryje straty z awarii systemów IT?
Zwykle nie. Standardowa polisa majątkowa z klauzulą BI wymaga fizycznej szkody w mieniu (pożar, zalanie). Awaria spowodowana błędem oprogramowania, nieudaną aktualizacją czy atakiem ransomware bez zniszczenia sprzętu zazwyczaj nie spełnia warunku uruchomienia takiej polisy. Potrzebna jest dedykowana cyberpolisa z sekcją Cyber Business Interruption.
Kogo dotyczy dyrektywa NIS2 w ochronie zdrowia?
Sektor ochrony zdrowia jest traktowany jako infrastruktura krytyczna, więc nowelizacja KSC obejmuje w praktyce placówki uznane za podmioty kluczowe lub ważne. Decyduje mechanizm samoidentyfikacji — to placówka samodzielnie weryfikuje, czy mieści się w katalogu ustawowym, i dokonuje zgłoszenia do wykazu podmiotów.
Od kiedy obowiązuje nowelizacja ustawy o KSC wdrażająca NIS2?
Ustawę podpisano 19 lutego 2026 r., opublikowano w Dzienniku Ustaw 2 marca 2026 r., a w życie weszła 2 kwietnia 2026 r. po miesięcznym vacatio legis. Placówki mają 6 miesięcy na samoidentyfikację i rejestrację oraz 12 miesięcy (do 2 kwietnia 2027 r.) na pełne wdrożenie obowiązków.
Czy OC podmiotu leczniczego obejmuje przestój spowodowany awarią IT?
Nie. OC podmiotu leczniczego chroni przed roszczeniami pacjentów za uszczerbek na zdrowiu wynikający z błędów medycznych lub organizacyjnych. Nie rekompensuje strat własnych placówki — utraconych przychodów, kosztów naprawy serwerów ani nadgodzin personelu. To wymaga osobnego instrumentu (Cyber/BI).
Co to jest non-damage BI?
To rzadka klauzula ubezpieczenia przerwy w działalności, która uruchamia odpowiedzialność ubezpieczyciela bez konieczności wystąpienia fizycznej szkody w mieniu. Pozwala objąć ochroną przestój wynikający np. z awarii systemu czy ataku cybernetycznego. Jest to rozwiązanie niestandardowe, zwykle droższe i wymagające negocjacji z brokerem.
Jakie zabezpieczenia będzie wymagał ubezpieczyciel po NIS2?
Najczęściej: uwierzytelnianie wieloskładnikowe (MFA), regularnie testowane kopie zapasowe, segmentacja sieci oraz plan reagowania na incydenty i ciągłości działania. Deklaracje we wniosku ubezpieczeniowym muszą pokrywać się ze stanem faktycznym — rozbieżność może skutkować odmową wypłaty z powołaniem na rażące niedbalstwo.
WN
Wiktoria Nicpoń
Autorka treści w kategorii Ubezpieczenia portalu wsparciedlaszpitala.pl. Specjalizuje się w zarządzaniu ryzykiem i finansach placówek ochrony zdrowia.

Źródła i podstawa merytoryczna

Materiał ma charakter analityczno-informacyjny i nie stanowi porady prawnej ani ubezpieczeniowej. W sprawach indywidualnych skonsultuj się z licencjonowanym brokerem, radcą prawnym lub specjalistą ds. compliance placówki.

  • CSIRT CeZ / Centrum e-Zdrowia — dane o incydentach cyberbezpieczeństwa w ochronie zdrowia, 2021–2025.
  • Ministerstwo Cyfryzacji — komunikaty dotyczące nowelizacji ustawy o KSC i wdrożenia dyrektywy NIS2, 2026.
  • Dziennik Ustaw — ustawa z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (publikacja 2 marca 2026 r.).
  • Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. (NIS2).
  • IBM „Cost of a Data Breach Report” — średni koszt naruszenia danych w sektorze ochrony zdrowia, 2025.
  • Polska Izba Ubezpieczeń — dane o rynku ubezpieczeniowym w Polsce, 2025–2026.


tm, fot ab