Lekarz w pracowni obrazowania medycznego analizuje skany kręgosłupa na ekranie komputera; za szybą widać pacjenta w aparacie do rezonansu magnetycznego — ilustracja roli nowoczesnych technologii w diagnozowaniu i wsparciu szpitali w czasie kryzysu.
Technologie Wsparcie

Zarządzanie kryzysowe w szpitalu — plan ciągłości działania na pandemię, cyberatak i awarie [2026]

2025-11-19
Krzysztof Witkiewicz

Zarządzanie kryzysowe w szpitalu to dziś obowiązek organizacyjny i prawny, a nie dobra praktyka „na wszelki wypadek”. Kontrola Najwyższej Izby Kontroli wykazała, że polskie szpitale nie były przygotowane do działania w warunkach epidemii COVID-19 — w II kwartale 2020 roku brakowało w nich podstawowych środków ochrony indywidualnej, a wydatki państwa rzędu 9 mld zł poniesiono w dużej mierze bez właściwej kontroli. Od 1 stycznia 2025 roku obowiązuje nowa ustawa o ochronie ludności i obronie cywilnej, która porządkuje wymagania dotyczące ciągłości działania instytucji. Ten artykuł wyjaśnia, czym jest zarządzanie kryzysowe w szpitalu, jakie zagrożenia musi przewidzieć dyrektor placówki i jak krok po kroku zbudować plan ciągłości działania zgodny z prawem i normą ISO 22301.

Kluczowe wnioski

  • W I półroczu 2021 r. zużycie półmasek FFP2 i FFP3 w polskich szpitalach wzrosło 45-krotnie, a masek chirurgicznych 7-krotnie względem 2019 r. — skala, na którą żadna placówka nie była zaopatrzona z wyprzedzeniem.
  • Najwyższa Izba Kontroli skontrolowała 23 szpitale i oceniła, że nie były przygotowane do działania w sytuacji kryzysowej; już w 2018 r. NIK formułowała wnioski, których realizacja ograniczyłaby skalę problemu.
  • Od 1 stycznia 2025 r. obowiązuje ustawa z 5 grudnia 2024 r. o ochronie ludności i obronie cywilnej (Dz.U.2024.1907), kładąca nacisk na zapewnienie ciągłości działania kluczowych podmiotów.
  • Międzynarodowym standardem ciągłości działania jest norma ISO 22301; uzupełniają ją ISO 31000 (ryzyko) i ISO 27001 (bezpieczeństwo informacji).
Nota metodologiczna
Artykuł przygotowano na podstawie kontroli i raportów Najwyższej Izby Kontroli, obowiązujących aktów prawnych, wytycznych WHO i urzędów wojewódzkich oraz norm ISO. Stan na dzień: 19 maja 2026 r. Materiał ma charakter informacyjny i nie stanowi porady prawnej ani medycznej. W sprawach indywidualnych rekomendujemy konsultację ze specjalistą.

Czym jest zarządzanie kryzysowe w szpitalu?

Zarządzanie kryzysowe w szpitalu to zaplanowany system działań, który pozwala placówce utrzymać udzielanie kluczowych świadczeń w sytuacji zagrożenia — od pandemii, przez cyberatak, po awarię infrastruktury. Obejmuje cztery fazy: zapobieganie, przygotowanie, reagowanie i odbudowę. Jego rdzeniem jest plan ciągłości działania oraz powołany w placówce zespół decyzyjny.

W praktyce zarządzanie kryzysowe nie sprowadza się do jednego dokumentu. To proces, który łączy analizę zagrożeń specyficznych dla danej lokalizacji i profilu placówki, przypisanie odpowiedzialności, zabezpieczenie rezerw oraz cykliczne testowanie procedur. Szpital jest traktowany jako element infrastruktury krytycznej państwa — ostatnie ogniwo łańcucha reagowania, do którego trafiają skutki każdego większego zdarzenia w regionie.

Kluczowe pojęcie to odporność organizacyjna: zdolność placówki do szybkiego przywrócenia procesów krytycznych po zakłóceniu. Procesy krytyczne w szpitalu to przede wszystkim przyjęcia pacjentów, diagnostyka, hospitalizacja i dostęp do dokumentacji medycznej. Plan kryzysowy ma zapewnić, że żaden z nich nie zatrzyma się całkowicie nawet wtedy, gdy zawiedzie zasilanie, sieć IT lub łańcuch dostaw.

Jakie zagrożenia musi przewidzieć szpital?

Szpital musi przygotować się na cztery główne kategorie zagrożeń: zdarzenia epidemiczne, incydenty cyberbezpieczeństwa, awarie infrastruktury technicznej oraz zdarzenia masowe z dużą liczbą poszkodowanych. Każde z nich uderza w inny proces krytyczny i wymaga osobnej procedury reagowania w planie ciągłości działania.

Cztery kategorie zagrożeń kryzysowych szpitala: pandemia, cyberatak, awaria infrastruktury, zdarzenie masowe
Rycina 1. Cztery kategorie zagrożeń kryzysowych szpitala wraz z wpływem na procesy krytyczne i przykładami z Polski. Źródło danych: opracowanie na podstawie raportów NIK i komunikatów MZ/CSIRT CeZ. Opracowanie graficzne: redakcja wsparciedlaszpitala.pl.

Poniższa tabela zestawia typy zagrożeń, ich wpływ na funkcjonowanie placówki oraz przykłady z ostatnich lat.

Kategoria zagrożenia Co przerywa Przykład z Polski Priorytet
Pandemia / epidemia Zaopatrzenie, kadry, segregacja pacjentów Pandemia COVID-19 (2020–2022) Krytyczny
Cyberatak (ransomware) Dostęp do dokumentacji, systemy IT Atak na szpital MSWiA w Krakowie, marzec 2025 r. Krytyczny
Awaria infrastruktury Zasilanie, woda, łączność, ogrzewanie Awarie systemów IT i przestoje placówek Wysoki
Zdarzenie masowe Wydolność SOR, łóżka, personel Wypadki mnogie i masowe w regionie Wysoki
Tabela 1. Kategorie zagrożeń kryzysowych szpitala. Źródło: opracowanie własne.

Wśród tych zagrożeń szczególnie szybko rośnie ryzyko cyfrowe. Atak ransomware na Samodzielny Publiczny Wojewódzki Szpital Zespolony w Szczecinie stał się podstawą do opracowania przez Ministerstwo Zdrowia i CSIRT Centrum e-Zdrowia praktycznego manuału reagowania kryzysowego dla placówek medycznych w całej Polsce. W przypadku ataku na szpital MSWiA w Krakowie placówka musiała przejść na ręczne prowadzenie dokumentacji, ograniczyć przyjęcia i przekierowywać pacjentów do innych szpitali — co pokazuje, że incydent informatyczny jest dziś pełnoprawnym zdarzeniem kryzysowym, a nie problemem wyłącznie technicznym. Szerzej omawiamy ten obszar w artykule o tym, jak chronić dane pacjentów i systemy medyczne przed atakami hakerów.

Co wynika z lekcji pandemii COVID-19?

Najważniejsza lekcja pandemii jest organizacyjna, nie medyczna: o skuteczności pomocy decydowała koordynacja, a nie sama jej skala. Tam, gdzie brakowało systemu, dobra wola zamieniała się w chaos przypadkowych darów; tam, gdzie pojawiło się narzędzie porządkujące potrzeby, te same zasoby trafiały dokładnie tam, gdzie były potrzebne.

Lekcja pandemii COVID-19 w liczbach: wzrost zużycia środków ochrony, kontrola NIK, wydatki
Rycina 3. Skala zapotrzebowania i braku przygotowania szpitali w czasie pandemii COVID-19. Źródło danych: Najwyższa Izba Kontroli, kontrola dot. COVID-19 (2022–2023). Opracowanie graficzne: redakcja wsparciedlaszpitala.pl.

Kontrola NIK pokazała mechanizm braku przygotowania. Państwowe rezerwy środków ochrony indywidualnej i aparatury medycznej były utrzymywane na niskim poziomie, a mimo potwierdzonego zagrożenia w pierwszych tygodniach 2020 roku nie podjęto skutecznych działań, by je zwiększyć. Skutkiem było ograniczenie dostępu do produktów niezbędnych dla szpitali wyznaczonych do przyjmowania pacjentów z COVID-19.

„Odpowiedzialne organy i instytucje państwa, podmioty lecznicze i służby nie były przygotowane do działania w przypadku wystąpienia chorób szczególnie niebezpiecznych i wysoce zakaźnych.”
— Źródło: Najwyższa Izba Kontroli, informacja o wynikach kontroli dot. COVID-19, 2023

W tę lukę organizacyjną wszedł oddolny projekt „Wsparcie dla Szpitala” — platforma zbudowana przez wolontariuszy Fundacji PARK, programistów firmy Clorce i naukowców Uniwersytetu Ekonomicznego w Poznaniu, na bazie nieodpłatnych licencji systemu Salesforce, z Polską Federacją Szpitali jako partnerem merytorycznym. Inicjatywa wyrosła ze środowiska Wirtualnego Instytutu Kryzysowego. Mechanizm był prosty: szpital lub dom pomocy społecznej publikował w jednym miejscu listę realnych potrzeb z priorytetami, koordynator lokalny brał placówkę pod opiekę, a darczyńcy deklarowali dokładnie to, czego brakowało, zamiast zgadywać. W krótkim czasie do systemu dołączyło ponad pół tysiąca zarejestrowanych firm i darczyńców oraz ponad dwustu koordynatorów z całej Polski.

Doświadczenie tego projektu pokazało trzy zasady, które dziś powinny być wpisane w każdy szpitalny plan kryzysowy:

  • Lista priorytetów zamiast apeli ogólnych — placówka, która precyzyjnie opisuje potrzeby, dostaje pomoc adekwatną, a nie przypadkową.
  • Jeden punkt koordynacji — skraca łańcuch decyzyjny i odciąża personel medyczny od logistyki.
  • Żywa, aktualizowana baza danych — zapobiega dublowaniu zasobów i marnotrawstwu.

Te same zasady opisaliśmy szczegółowo na konkretnych przykładach: w analizie działania platformy w powiecie oleckim, w historii małej gminy Ryczywół, we wsparciu szpitala psychiatrycznego WSP Bilikiewicz oraz w zaangażowaniu samorządu radców prawnych.

Jak zbudować plan ciągłości działania (BCP) w szpitalu?

Plan ciągłości działania buduje się w sześciu etapach: od identyfikacji procesów krytycznych, przez analizę wpływu zakłóceń i strategie awaryjne, po testowanie i cykliczną aktualizację. Norma ISO 22301 porządkuje ten proces i jest dziś punktem odniesienia dla placówek medycznych.

Schemat sześciu etapów budowy planu ciągłości działania szpitala zgodnego z ISO 22301
Rycina 2. Sześć etapów budowy planu ciągłości działania (BCP) w szpitalu zgodnie z normą ISO 22301. Źródło: opracowanie własne. Opracowanie graficzne: redakcja wsparciedlaszpitala.pl.

Poniżej sześć etapów, które przekładają wymagania normy na realia szpitala.

  1. Identyfikacja procesów krytycznych — wskaż procesy, których przerwanie bezpośrednio zagraża pacjentom: przyjęcia, diagnostyka obrazowa i laboratoryjna, blok operacyjny, intensywna terapia, dostęp do dokumentacji medycznej, apteka szpitalna.
  2. Analiza wpływu zakłóceń (BIA) — dla każdego procesu oszacuj maksymalny dopuszczalny czas przerwy i skutki jej przekroczenia; przypisz priorytety w matrycy ryzyka.
  3. Strategie awaryjne — zdefiniuj tryb pracy offline, lokalizacje zapasowe, zweryfikowane kopie zapasowe danych oraz rezerwy sprzętu, leków i mediów.
  4. Plan i odpowiedzialność — powołaj szpitalny zespół ds. zarządzania kryzysowego, ustal schemat dowodzenia i jednoznacznie przypisz, kto odpowiada za każde działanie.
  5. Komunikacja kryzysowa — przygotuj kanały i treści komunikacji wewnętrznej i zewnętrznej; brak strategii komunikacji to jedna z najczęstszych przyczyn chaosu organizacyjnego.
  6. Testowanie i aktualizacja — prowadź ćwiczenia, symulacje i przeglądy zarządcze; plan, którego nikt nie przećwiczył, w praktyce nie działa.

Aby ułatwić przejście od teorii do audytu własnej placówki, przygotowaliśmy gotowe narzędzie kontrolne do pobrania — opisujemy je w dalszej części artykułu.

Jakie są obowiązki prawne placówki medycznej w 2026 roku?

Szpital jako podmiot leczniczy ma obowiązek przygotowania organizacyjnego na sytuacje kryzysowe wynikający z kilku aktów prawnych równocześnie. Podstawą jest ustawa o zarządzaniu kryzysowym oraz ustawa o ochronie ludności i obronie cywilnej, a w obszarze cyfrowym — przepisy o krajowym systemie cyberbezpieczeństwa.

Najważniejsze ramy prawne obowiązujące w 2026 roku:

  • Ustawa o zarządzaniu kryzysowym (Dz.U.2026.574 t.j.) — definiuje plany zarządzania kryzysowego i miejsce podmiotów leczniczych w systemie zabezpieczenia medycznego sytuacji kryzysowych.
  • Ustawa z 5 grudnia 2024 r. o ochronie ludności i obronie cywilnej (Dz.U.2024.1907, obowiązuje od 1 stycznia 2025 r.) — kładzie nacisk na zapewnienie ciągłości działania kluczowych instytucji w czasie pokoju, sytuacji kryzysowych i stanów nadzwyczajnych; jej instrumentem wykonawczym jest Program Ochrony Ludności i Obrony Cywilnej na lata 2025–2026.
  • Plany wojewódzkie i wzory szpitalne — wojewodowie udostępniają wzory szpitalnego planu postępowania podczas wypadków masowych oraz listy kontrolne reagowania kryzysowego, oparte m.in. na wytycznych WHO.
  • Krajowy system cyberbezpieczeństwa (KSC) i dyrektywa NIS2 — nakładają na placówki obowiązki w zakresie zgłaszania incydentów i utrzymania ciągłości usług cyfrowych.

Na poziomie organizacyjnym standardem porządkującym te wymagania jest rodzina norm ISO: ISO 22301 dla ciągłości działania, ISO 31000 dla zarządzania ryzykiem oraz ISO 27001 dla bezpieczeństwa informacji i ochrony danych pacjentów. Certyfikacja nie jest obowiązkowa, ale wdrożenie wymagań tych norm jest praktycznym sposobem wykazania należytej staranności wobec organów nadzoru.

Co to oznacza dla dyrektora szpitala?

Dla dyrektora placówki wniosek jest jednoznaczny: plan ciągłości działania trzeba mieć przygotowany, przećwiczony i aktualny, zanim wydarzy się kryzys. W trakcie zdarzenia nie ma już czasu na budowanie procedur — liczy się tylko to, co przygotowano wcześniej.

W praktyce oznacza to kilka konkretnych działań zarządczych:

  • Powołaj formalny szpitalny zespół ds. zarządzania kryzysowego z jasnym schematem dowodzenia i zastępstwami.
  • Przeprowadź analizę wpływu zakłóceń dla procesów krytycznych i zweryfikuj realne rezerwy: środków ochrony, leków, zasilania awaryjnego, kopii danych.
  • Zaplanuj tryb pracy offline na wypadek utraty systemów IT — to dziś jedno z najbardziej niedoszacowanych ryzyk.
  • Wpisz w plan jeden punkt koordynacji pomocy zewnętrznej i zasadę listy priorytetów — to sprawdzona w pandemii metoda unikania chaosu.
  • Ustal harmonogram ćwiczeń i przeglądów planu co najmniej raz w roku oraz po każdej istotnej zmianie organizacyjnej.

Podsumowanie

Pandemia, atak ransomware i awaria zasilania mają jedną wspólną cechę: uderzają nagle i sprawdzają wyłącznie to, co placówka przygotowała wcześniej. Doświadczenie polskich szpitali z lat 2020–2025 pokazuje, że największą różnicę robi nie wielkość budżetu, lecz jakość organizacji — istnienie planu, jasny podział odpowiedzialności i sprawny punkt koordynacji. Zarządzanie kryzysowe przestało być wyborem zarządczym, a stało się elementem należytej staranności dyrektora i wymogiem wynikającym z prawa.

📥 Pobierz bezpłatnie: Checklista gotowości kryzysowej szpitala + Karta pierwszych 60 minut
Gotowe narzędzie do samodzielnego audytu placówki: 40 punktów kontrolnych planu ciągłości działania oraz karta szybkiego reagowania na pierwszą godzinę kryzysu — do wykorzystania przed kontrolą NIK lub wojewody.
Pobierz PDF

FAQ — Zarządzanie kryzysowe w szpitalu

Czy szpital musi mieć plan zarządzania kryzysowego?

Tak. Obowiązek przygotowania organizacyjnego podmiotu leczniczego na sytuacje kryzysowe wynika z ustawy o zarządzaniu kryzysowym oraz planów zarządzania kryzysowego, w których przewidziano udział podmiotów leczniczych w zabezpieczeniu medycznym. Wojewodowie udostępniają wzory szpitalnych planów postępowania i listy kontrolne reagowania.

Czym różni się plan ciągłości działania od planu zarządzania kryzysowego?

Plan zarządzania kryzysowego koncentruje się na reagowaniu na konkretne zdarzenia i współpracy z systemem zewnętrznym. Plan ciągłości działania (BCP, zgodny z ISO 22301) skupia się na utrzymaniu procesów krytycznych placówki niezależnie od przyczyny zakłócenia. W dojrzałej placówce oba dokumenty są spójne i wzajemnie się uzupełniają.

Czy norma ISO 22301 jest dla szpitala obowiązkowa?

Nie, certyfikacja ISO 22301 nie jest prawnie obowiązkowa. Jest jednak uznanym międzynarodowym standardem ciągłości działania i praktycznym sposobem wykazania należytej staranności wobec organów nadzoru oraz budowania zaufania pacjentów i kontrahentów.

Jak często należy aktualizować szpitalny plan kryzysowy?

Plan powinien być testowany i aktualizowany cyklicznie — co najmniej raz w roku oraz po każdej istotnej zmianie organizacyjnej, technologicznej lub prawnej. Plan, którego nie przećwiczono w symulacji, w realnym kryzysie zwykle nie działa zgodnie z założeniami.

Czy cyberatak jest traktowany jako sytuacja kryzysowa w szpitalu?

Tak. Atak ransomware może odciąć dostęp do dokumentacji medycznej, wymusić pracę w trybie ręcznym i ograniczyć przyjęcia pacjentów. Przypadki szpitali w Krakowie i Szczecinie pokazały, że incydent informatyczny bezpośrednio zagraża ciągłości leczenia, dlatego musi być ujęty w planie kryzysowym na równi z zagrożeniami fizycznymi.

Czego nauczyła szpitale pandemia COVID-19 w zakresie organizacji?

Najważniejsza lekcja dotyczy koordynacji. Kontrola NIK wykazała brak rezerw i przygotowania, a doświadczenie oddolnych platform pomocowych pokazało, że lista priorytetów, jeden punkt koordynacji i aktualizowana baza potrzeb zamieniają chaotyczną pomoc w skuteczne wsparcie placówki.

Źródła

  • Najwyższa Izba Kontroli — informacja o wynikach kontroli dotyczącej przygotowania i działania organów państwa oraz podmiotów leczniczych w czasie pandemii COVID-19 (2022–2023)
  • Ustawa z dnia 5 grudnia 2024 r. o ochronie ludności i obronie cywilnej (Dz.U.2024.1907)
  • Ustawa o zarządzaniu kryzysowym (Dz.U.2026.574 tekst jednolity)
  • Program Ochrony Ludności i Obrony Cywilnej na lata 2025–2026 (uchwała nr 72 Rady Ministrów z 27 maja 2025 r.)
  • Światowa Organizacja Zdrowia (WHO) — wytyczne dotyczące szpitalnych planów postępowania w sytuacjach kryzysowych i zarządzania zdarzeniami masowymi
  • Śląski Urząd Wojewódzki — wzór szpitalnego planu postępowania podczas wypadków masowych i lista kontrolna reagowania kryzysowego
  • Ministerstwo Zdrowia oraz CSIRT Centrum e-Zdrowia — materiały z konferencji i warsztatów dotyczących cyberbezpieczeństwa w szpitalach (2026)
  • Normy ISO 22301 (ciągłość działania), ISO 31000 (zarządzanie ryzykiem), ISO 27001 (bezpieczeństwo informacji)
Każda sytuacja jest inna
Jeśli potrzebujesz indywidualnej oceny swojej sytuacji, skontaktuj się z naszą redakcją. Odpowiadamy na pytania dotyczące prawa medycznego, zarządzania i higieny szpitalnej.
Napisz do nas

tm, zdjęcie z Pexels (autor: MART PRODUCTION)

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Wymagane pola są oznaczone *