Jakie czekają nas zmiany po nowelizacji Ustawy o Krajowym Cyberbezpieczeństwie w 2026r. w placówkach medyczncych.
W kontekście Dyrektywy NIS2 oraz wynikającej z niej Ustawy o krajowym systemie cyberbezpieczeństwa (UKSC), sektor ochrony zdrowia zyskuje szczególne znaczenie. Cyfryzacja usług medycznych, rozwój systemów e-zdrowia, telemedycyny i elektronicznej dokumentacji medycznej powodują, że placówki medyczne stają się atrakcyjnym celem dla cyberprzestępców. Atak na systemy szpitalne może prowadzić do zakłóceń w realizacji świadczeń, co pośrednio wpływa na bezpieczeństwo pacjentów oraz poufność danych medycznych.
Dyrektywa nakłada na podmioty ochrony zdrowia obowiązek wdrożenia kompleksowego podejścia do cyberbezpieczeństwa, obejmującego m.in.:
– zarządzanie ryzykiem i podatnościami,
– bezpieczeństwo łańcucha dostaw,
– procedury reagowania na incydenty,
– ciągłość działania i odtwarzanie po awarii,
– szkolenia i podnoszenie świadomości personelu.
Jednocześnie zwiększona została odpowiedzialność zarządów i kierownictwa jednostek, które mogą ponosić konsekwencje za brak zgodności z wymogami Dyrektywy NIS2.
Implementacja Dyrektywy NIS2 w Polsce – nowelizacja ustawy o KSC
W styczniu 2026 r. Sejm uchwalił nowelizację Ustawy o krajowym systemie cyberbezpieczeństwa (dalej jako: „UKSC”), która stanowi podstawę wdrożenia Dyrektywy NIS2 do polskiego porządku prawnego. Ustawę przekazano w dniu 29 stycznia 2026 r. Prezydentowi do podpisu. Nowe przepisy mają na celu wzmocnienie odporności cyfrowej państwa oraz dostosowanie krajowych regulacji do unijnych wymogów dotyczących zarządzania ryzykiem, raportowania incydentów i nadzoru nad podmiotami kluczowymi i ważnymi.
Nowelizacja przewiduje utworzenie nowych sektorowych zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT). Ich zadaniem będzie wspieranie obsługi incydentów w poszczególnych branżach, budowanie wiedzy o zagrożeniach i podatnościach oraz zwiększenie skuteczności reagowania na ataki. W praktyce oznacza to bardziej wyspecjalizowane wsparcie dla podmiotów z konkretnych sektorów, w tym również ochrony zdrowia.
Zmiany wzmacniają również kompetencje organów odpowiedzialnych za cyberbezpieczeństwo. Organy właściwe dla poszczególnych sektorów będą mogły m.in. wydawać ostrzeżenia, nakazywać przeprowadzenie audytów bezpieczeństwa czy wyznaczać urzędników monitorujących realizację obowiązków przez podmioty kluczowe. Minister Cyfryzacji zyska natomiast możliwość wydawania poleceń zabezpieczających w sytuacji incydentów krytycznych, a także prowadzenia programów edukacyjnych i kampanii zwiększających świadomość cyberzagrożeń.
Istotną zmianą jest również formalne wprowadzenie podziału na podmioty kluczowe i podmioty ważne, zgodnie z Dyrektywą NIS2. Podmioty te będą zobowiązane do wdrożenia adekwatnych środków technicznych i organizacyjnych, dostosowanych do charakteru świadczonych usług i poziomu ryzyka. Przepisy wprowadzają także odpowiedzialność kierownictwa za realizację obowiązków z zakresu cyberbezpieczeństwa oraz usprawniają procedury zgłaszania incydentów do zespołów CSIRT.
Nowelizacja zakłada ponadto rozszerzenie Strategii Cyberbezpieczeństwa RP na wszystkie sektory z podmiotami kluczowymi i ważnymi oraz wprowadzenie krajowego planu reagowania na incydenty i sytuacje kryzysowe w cyberprzestrzeni. Ma to zapewnić spójne podejście do zarządzania ryzykiem i reagowania na zdarzenia o dużej skali.
Co to oznacza dla podmiotów medycznych?
Dla szpitali, przychodni, laboratoriów diagnostycznych czy operatorów systemów e-zdrowia implementacja Dyrektywy NIS2 i UKSC oznacza przejście z modelu reaktywnego na model systemowego zarządzania ryzykiem cybernetycznym. W praktyce będzie to wymagało:
– formalnego zidentyfikowania zasobów i procesów krytycznych,
– wdrożenia polityk bezpieczeństwa i procedur reagowania,
– regularnych analiz ryzyka i audytów,
– budowy kompetencji personelu w zakresie cyberhigieny,
– przygotowania procesów raportowania incydentów.
W wielu placówkach oznacza to konieczność modernizacji infrastruktury IT, uporządkowania zarządzania dostępami, wzmocnienia zabezpieczeń systemów medycznych oraz uregulowania relacji z dostawcami usług i sprzętu.
Kierunek zmian: cyberbezpieczeństwo jako element jakości opieki
Dyrektywa NIS2 i UKSC wprowadzają fundamentalną zmianę podejścia do cyberbezpieczeństwa w ochronie zdrowia. Nie jest ono już wyłącznie kwestią techniczną, lecz elementem bezpieczeństwa pacjenta i ciągłości świadczeń. Nowe regulacje wzmacniają odpowiedzialność zarządów, wprowadzają jednolite standardy i zwiększają nadzór nad kluczowymi podmiotami.
Dla organizacji medycznych nadchodzące lata będą okresem intensywnych dostosowań. Jednocześnie wdrożenie wymogów Dyrektywy NIS2i UKSC może sprzyjać uporządkowaniu środowisk IT, poprawie jakości usług oraz budowie zaufania pacjentów do cyfrowej opieki zdrowotnej.
Dlaczego sektor zdrowia jest podmiotem kluczowym NIS2/UKSC ?
Ochrona zdrowia została zaliczona do sektorów o najwyższej krytyczności, bo cyberatak bardzo łatwo przekłada się tu na realne ryzyko dla życia i zdrowia pacjentów. Przykłady ataków na szpitale w UE pokazały, że zablokowanie systemu może wymusić przekierowanie karetek i opóźnienie leczenia, co ma bezpośrednie konsekwencje kliniczne.
Sektor zdrowia został umieszczony w Załączniku I NIS2 i Załączniku I do UKSC jako sektor wysokiej krytyczności, czyli podmiot kluczowy z maksymalnym poziomem wymagań. Oznacza to między innymi potencjalną karę do 10 mln EUR lub 2% globalnego obrotu – stosuje się wartość wyższą – oraz rozszerzone uprawnienia nadzorcze państwa.
Jakie podmioty medyczne podlegają NIS2/ UKSC
Klasyfikacja placówek medycznych
Większość podmiotów leczniczych w nowym systemie kwalifikuje się jako podmioty kluczowe w sektorze ochrony zdrowia. Podział zależy od rodzaju działalności i skali:
Podmioty Kluczowe: Przede wszystkim szpitale (niezależnie od formy własności) oraz inne jednostki udzielające świadczeń w warunkach stacjonarnych i całodobowych.
Podmioty Ważne: Mniejsze placówki, takie jak przychodnie lekarskie (POZ/AOS), o ile spełniają kryterium wielkości (są średnimi lub dużymi przedsiębiorstwami).
Jakie wymagania bezpieczeństwa muszą spełnić placówki medyczne?
Sednem wymogów technicznych jest art. 21 NIS2, który nakazuje wdrożenie „odpowiednich i proporcjonalnych” środków technicznych, operacyjnych i organizacyjnych. Chodzi o minimalny standard bezpieczeństwa dostosowany do skali i profilu ryzyka – inny dla szpitala powiatowego, inny dla dużego szpitala klinicznego, ale zawsze oparty na świadomej analizie ryzyk.
Podstawą jest formalna polityka analizy ryzyka i bezpieczeństwa systemów – udokumentowany, cykliczny proces identyfikacji, oceny i zarządzania ryzykiem dla IT, OT i IoMT. Wymagana jest także procedura obsługi incydentów, z jasno opisanym wykrywaniem, reagowaniem, raportowaniem i testowaniem planów w praktyce.
Placówka musi zapewnić ciągłość działania: strategie kopii zapasowych, odtwarzania awaryjnego, zdefiniowane parametry RTO i RPO dla kluczowych systemów (np. HIS, PACS). Niezbędne jest też zarządzanie bezpieczeństwem łańcucha dostaw, w tym ocena dostawców IT, integratorów i firm mających fizyczny dostęp do infrastruktury.
NIS2 wymaga wprowadzenia cyberhigieny i szkoleń całego personelu, szczególnie że pracownicy medyczni są głównym celem phishingu i socjotechniki. Potrzebne są polityki kryptografii (szyfrowanie danych w spoczynku i transmisji), kontrola dostępu oparta na rolach, zarządzanie kontami uprzywilejowanymi i powszechne MFA dla systemów krytycznych i dostępu zdalnego.
Analiza ryzyka w placówce medycznej zgodnie z NIS2
Analiza ryzyka jest punktem wyjścia do wszystkich działań – bez niej trudno sensownie dobrać środki ochrony. Proces zaczyna się od pełnej inwentaryzacji aktywów: systemów IT, sieci, urządzeń, aparatury medycznej podłączonej do sieci, danych i kluczowych procesów klinicznych.
Następnie identyfikuje się zagrożenia (zewnętrzne i wewnętrzne) oraz podatności, z uwzględnieniem specyfiki szpitala: stary sprzęt medyczny, brak segmentacji, długie cykle życia urządzeń. Ocena ryzyka powinna uwzględniać nie tylko aspekty techniczne, ale i biznesowe: wpływ na procesy kliniczne, reputację, akredytacje, odpowiedzialność wobec pacjentów.
Na tej podstawie tworzy się plan postępowania z ryzykiem – decyzje, które ryzyka eliminować, redukować kontrolami, transferować (np. ubezpieczenie), a które wyjątkowo akceptować. Kluczowe jest, by akceptacja ryzyka była świadomą decyzją organu zarządzającego, a nie „domyślną” odpowiedzialnością działu IT.
Analiza ryzyka nie może być projektem jednorazowym ani wyłącznie technicznym – powinna angażować ordynatorów, laboratoria, aptekę, ABI/Inspektora Ochrony Danych i dyrekcję. NIS2 wymaga jej regularnej aktualizacji, szczególnie po incydentach, dużych zmianach infrastruktury lub pojawieniu się nowych zagrożeń w sektorze zdrowia.
Systemy HIS, RIS, PACS i inne krytyczne obszary
System HIS jest „mózgiem” cyfrowego szpitala – obejmuje dane pacjentów, hospitalizacje, zlecenia, dokumentację medyczną – i jego awaria paraliżuje pracę placówki. Musi być szczególnie chroniony poprzez ścisłą kontrolę dostępu, szyfrowanie, kopie zapasowe testowane pod kątem odtworzenia oraz monitoring aktywności użytkowników.
Systemy RIS i PACS są krytyczne dla diagnostyki obrazowej oraz długotrwałego przechowywania ogromnych wolumenów danych wrażliwych. Często korzystają z przestarzałych protokołów (np. DICOM) i bywają słabo odseparowane od reszty sieci, co zwiększa ryzyko ataku.
Systemy e-recept i e-skierowań, powiązane z centralną infrastrukturą państwową, wymagają dodatkowo spełnienia wymogów integracyjnych narzuconych przez system e-zdrowia. Istotne są również LIS, systemy apteki szpitalnej, monitorowanie OIOM-u i rozwiązania telemedyczne, które często działają na niewspieranych systemach operacyjnych lub zamkniętych platformach.
Kluczowym problemem jest złożona integracja wielu rozwiązań od różnych dostawców poprzez HL7, FHIR lub API – każdy punkt integracji może być wektorem ataku. Konieczny jest audyt integracji, szyfrowania transmisji, mechanizmów autoryzacji oraz logowania dostępu.
Bardzo ważnym elementem jest zarządzanie kontami uprzywilejowanymi – w wielu szpitalach administratorzy mają zbyt szerokie uprawnienia, co w razie kompromitacji konta daje napastnikowi kontrolę nad całą domeną. Wdrożenie PAM (sesje uprzywilejowane, nagrywanie, rotacja haseł) znacząco redukuje ryzyko i jest jednym z najbardziej efektywnych inwestycji w bezpieczeństwo.
Zabezpieczanie aparatury medycznej (IoMT)
IoMT to jedno z najtrudniejszych środowisk – urządzenia projektowano pod kątem niezawodności medycznej, a nie cyberbezpieczeństwa. Wiele pracuje na systemach bez aktualizacji bezpieczeństwa, których nie można łatwo zmodernizować bez utraty certyfikacji.
Pierwszym krokiem jest pełna inwentaryzacja IoMT – bez wiedzy, jakie urządzenia są w sieci, nie da się ich chronić. Pomagają w tym wyspecjalizowane platformy, które pasywnie identyfikują i klasyfikują sprzęt medyczny.
Najważniejszym środkiem kompensacyjnym jest segmentacja – wydzielenie oddzielnych VLAN-ów dla aparatury, odizolowanych od sieci administracyjnej i internetu. W połączeniu z NDR/IDS monitorującym ruch (wykrywanie nietypowych połączeń, np. urządzenie próbujące łączyć się z serwerem w internecie) pozwala to szybko wykryć anomalie.
Na etapie zakupów trzeba wprowadzić wymagania cyberbezpieczeństwa do specyfikacji: minimalny okres wsparcia bezpieczeństwa, zasady aktualizacji, procedury ujawniania podatności. Wsparciem jest tu MDR oraz NIS2, które wzmacniają presję regulacyjną na producentów wyrobów medycznych, by uwzględniali cyberbezpieczeństwo w projektowaniu urządzeń.
Reagowanie na incydenty i obowiązki zgłoszeniowe
NIS2 wprowadza trzystopniowy system raportowania znaczących incydentów do CSIRT. Znaczący incydent to taki, który poważnie zakłóca usługi lub może wywołać znaczne straty finansowe, albo wpływa na inne podmioty czy osoby.
Placówka ma 24 godziny od uzyskania wiedzy o incydencie na wysłanie wstępnego ostrzeżenia do CSIRT, 72 godziny na przekazanie szerszego zgłoszenia z oceną wpływu i wskaźnikami kompromitacji, a miesiąc na raport końcowy. Terminy biegną od momentu, gdy organizacja dowiaduje się o incydencie, a nie od chwili zakończenia analizy.
Dlatego konieczny jest szczegółowy, przetestowany plan reagowania na incydenty z opisem poziomów istotności, ścieżek eskalacji, ról i odpowiedzialności, szablonów zgłoszeń oraz procedur komunikacji z pacjentami, NFZ, mediami i organami. Ćwiczenia typu table-top z realistycznymi scenariuszami (ransomware, wyciek danych, atak na dostawcę) są niezbędne, by plan zadziałał w realnym kryzysie.
Szczególnie ważny jest plan ciągłości działania procesów klinicznych – praca oddziału ratunkowego, zlecanie badań, dokumentacja medyczna w razie niedostępności systemów. Wiele zespołów nie ma praktyki pracy „na papierze”, co samo w sobie jest istotnym ryzykiem organizacyjnym.
Kary i nadzór nad placówkami medycznymi
Dla podmiotów kluczowych maksymalna kara w NIS2 to co najmniej 10 mln EUR lub 2% globalnego rocznego obrotu – wyższa z tych wartości. W praktyce kara z NIS2 może się nakładać z karą z RODO i ewentualnymi roszczeniami cywilnymi pacjentów po incydencie.
Organy nadzorcze otrzymują szerokie narzędzia: kontrole prewencyjne (ex ante), żądanie dokumentacji, inspekcje na miejscu, wiążące zalecenia i publiczne ostrzeżenia. Szczególnie dotkliwym środkiem jest możliwość czasowego zakazu pełnienia funkcji kierowniczych dla osób, które rażąco zaniedbały obowiązki wynikające z NIS2.
Niespełnienie wymogów może mieć też konsekwencje ubezpieczeniowe – ubezpieczyciele coraz częściej pytają o zgodność z NIS2 przy polisach cyber. Brak zgodności może oznaczać odmowę wypłaty odszkodowania albo znaczne podniesienie składki.
Kluczowe terminy dla organizacji objętych regulacją czas od wejścia w życie Nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (UKSC):
Roadmapa wdrożenia NIS2/KSC w szpitalu do końca 2026 r.
– 6 miesięcy – zgłoszenie do wykazu podmiotów kluczowych lub ważnych
– 12 miesięcy – wdrożenie środków zarządzania ryzykiem cyberbezpieczeństwa
– 24 miesiące – przeprowadzenie pierwszego audytu bezpieczeństwa
– 2 lata od wejścia w życie ustawy – możliwość nakładania kar finansowych
Plan wdrożenia obejmuje ona kolejno:
– diagnozę (audyt NIS2/KSC, inwentaryzację aktywów),
– zbudowanie fundamentu dokumentacyjnego (SZBI, polityka ryzyka, IR, BCP/DRP),
– priorytetowe wdrożenia techniczne (segmentacja, MFA, EDR),
– uruchomienie monitoringu (SIEM/SOC, NDR).
Dalsze etapy to
– uporządkowanie łańcucha dostaw (inwentaryzacja, ocena i klauzule bezpieczeństwa dla dostawców),
– szkolenia dla personelu i zarządu, testy (ćwiczenia IR, kampanie phishingowe)
– końcowa weryfikacja poprzez testy penetracyjne i audyt zewnętrzny.
Od 2027 r. program powinien przejść w tryb utrzymania ciągłego: coroczne przeglądy ryzyka, aktualizacja dokumentacji i regularne szkolenia.
Sukces przy wdrożeniu KSC/NIS2 determinują pierwsze dwie fazy – rzetelna diagnoza i porządny fundament procesowo-dokumentacyjny. Organizacje, które zaczynają od zakupu narzędzi bez analizy, zwykle marnują czas i budżet na rozwiązania niedopasowane do realnego profilu ryzyka.
Przykładowa tabela praktycznego wdrożenia NIS2/KSC:
Poniższa tabela przedstawia praktyczną, fazową roadmapę wdrożenia NIS2 w placówce medycznej. Zakłada, że placówka zaczyna od podstawowego poziomu dojrzałości cyberbezpieczeństwa i ma przed sobą termin końca 2026 roku.
| Faza | Termin | Kluczowe działania | Produkty (Deliverables) | Odpowiedzialny |
|---|---|---|---|---|
| 1. Diagnoza i tzw. baseline | 1 kwartał 2026 | Audyt gotowości NIS2, inwentaryzacja aktywów IT/OT/IoMT, ocena obecnego poziomu dojrzałości | Raport z audytu NIS2, rejestr aktywów, ocena ryzyka wstępna, decyzja o budżecie | Dyrekcja, CISO/IT, partner zewnętrzny |
| 2. Opracowanie podstawowej dokumentacji | 1-2 kwartał 2026 | Opracowanie i wdrożenie polityki bezpieczeństwa informacji (SZBI), polityki zarządzania ryzykiem, procedury zarządzania incydentami, BCP/DRP, polityki dostępu i MFA | Dokumentacja SZBI zgodna z NIS2/ISO 27001, IR Plan zatwierdzony przez dyrekcję, BCP z zdefiniowanymi RTO/RPO | CISO, dział prawny, dział IT |
| 3. Wdrożenia techniczne | 2-3 kwartał 2026 | Segmentacja sieci (IoMT vs IT vs administracja), wdrożenie MFA dla systemów krytycznych (HIS, PACS, AD), wdrożenie EDR na stacjach roboczych i serwerach, audyt i hardening konfiguracji | Dokumentacja architektury sieci po segmentacji, raport z wdrożenia MFA, raport z wdrożenia EDR, raport z hardeningu | Dział IT, partner bezpieczeństwa |
| 4. Monitoring i wykrywanie | 3 kwartał 2026 | Wdrożenie SIEM lub usługi SOC (monitoring 24/7), wdrożenie NDR/IDS dla sieci IoMT, konfiguracja alertów i playbooki reagowania, integracja logów systemów krytycznych | Uruchomiony monitoring 24/7, skonfigurowane playbooki IR, raport z pierwszego testu alertowania | Dział IT, SOC (własny lub zarządzany) |
| 5. Łańcuch dostaw i dostawcy | 3 kwartał 2026 | Inwentaryzacja dostawców IT/systemy medyczne, ocena ryzyka dostawców (kwestionariusze), renegocjacja umów z klauzulami bezpieczeństwa, rejestr dostawców z oceną | Rejestr dostawców z klasyfikacją ryzyka, zaktualizowane umowy z kluczowymi dostawcami (HIS, PACS, IT) | Dział zakupów, dział prawny, CISO |
| 6. Szkolenia i testy | 3-4 kwartał 2026 | Obowiązkowe szkolenia cyberbezpieczeństwa dla całego personelu, dedykowane szkolenia dla zarządu (odpowiedzialność NIS2), kampania phishingowa symulacyjna, ćwiczenia table-top IR | Zaświadczenia szkoleń dla zarządu i personelu, raport z kampanii phishingowej, raport z ćwiczeń table-top | HR, CISO, dział szkoleń |
| 7. Weryfikacja i certyfikacja | 4 kwartał 2026 | Test penetracyjny infrastruktury IT/OT, audyt zgodności NIS2 przez podmiot zewnętrzny, przegląd dokumentacji, raport końcowy | Raport z testu penetracyjnego, audytowe potwierdzenie zgodności, zaakceptowany przez zarząd plan dalszego utrzymania | CISO, dyrekcja, audytor zewnętrzny |
| 8. Utrzymanie | Od 2027 | Cykliczne przeglądy ryzyka (min. rocznie), aktualizacja dokumentacji po zmianach, monitoring CSIRT/ostrzeżeń, szkolenia uświadamiające co kwartał | Raporty kwartalne dla zarządu, aktualizowany rejestr ryzyk, dowody ciągłości procesów bezpieczeństwa | CISO, dyrekcja |