Zdrowie8 min czytania

Szpital a KSC/NIS2 — lista obowiązków

Kiedy szpital podlega KSC

Sektor ochrony zdrowia znajduje się w załączniku nr 1 do ustawy o KSC, co oznacza, że podmioty lecznicze mogą być zarówno podmiotami kluczowymi, jak i ważnymi. Kluczowe znaczenie ma wielkość podmiotu oraz jego forma prawna. Szpitale będące przedsiębiorcami podlegają ogólnym progom wielkościowym: duży przedsiębiorca (≥250 pracowników lub (obrót >50 mln EUR oraz bilans >43 mln EUR)) to podmiot kluczowy z załącznika nr 1, a średni (50–249 pracowników) to podmiot ważny. Patrz też nasz pakiet wdrożeniowy: KSC dla szpitali — wdrożenie NIS2 w ochronie zdrowia.

Podmioty lecznicze niebędące przedsiębiorcami (np. SPZOZ-y) podlegają odrębnym zasadom klasyfikacji na podstawie art. 5 ust. 8 ustawy o KSC: zatrudnianie co najmniej 250 osób oznacza status podmiotu kluczowego, a zatrudnianie od 50 do 249 osób — status podmiotu ważnego. Próg liczy się według stanu zatrudnienia, nie według formy organizacyjnej.
Forma prawna szpitalaZatrudnienieStatus KSC
Szpital-przedsiębiorca (sp. z o.o., SA)≥ 250 osób (duży)Podmiot kluczowy (art. 5 ust. 1 pkt 1)
Szpital-przedsiębiorca (sp. z o.o., SA)50–249 osób (średni)Podmiot ważny (art. 5 ust. 2 pkt 1)
SPZOZ (niebędący przedsiębiorcą)≥ 250 osóbPodmiot kluczowy (art. 5 ust. 8 pkt 2)
SPZOZ (niebędący przedsiębiorcą)50–249 osóbPodmiot ważny (art. 5 ust. 8 pkt 1)
Szpital utworzony przez ABW/AWDowolneWyłączony z KSC (art. 1 ust. 2 pkt 3)

Szpitale korzystające z podwykonawców medycznych powinny pamiętać, że podwykonawcy świadczący usługi wskazane w załączniku nr 1 (np. laboratoria diagnostyczne, podmioty świadczące usługi telemedycyny) mogą samodzielnie podlegać KSC, jeżeli spełniają progi wielkościowe. Niezależnie od tego szpital ma obowiązek zarządzania bezpieczeństwem łańcucha dostaw swoich dostawców ICT.

Obowiązki SZBI w szpitalu

Każdy szpital będący podmiotem kluczowym lub ważnym musi wdrożyć system zarządzania bezpieczeństwem informacji (SZBI) zgodny z art. 8 ustawy o KSC. SZBI obejmuje systemy informacyjne wykorzystywane do świadczenia usług zdrowotnych — w tym systemy HIS, RIS/PACS, laboratoryjne (LIS), apteczne oraz infrastrukturę sieciową szpitala.

  • Szacowanie ryzyka dla wszystkich systemów informacyjnych wspierających działalność leczniczą
  • Opracowanie polityk bezpieczeństwa i procedur operacyjnych dostosowanych do specyfiki szpitala
  • Wdrożenie środków technicznych: kontrola dostępu, szyfrowanie danych pacjentów (uwzględniając wymogi RODO), segmentacja sieci, kopie zapasowe
  • Zarządzanie bezpieczeństwem łańcucha dostaw — weryfikacja dostawców systemów medycznych i ICT
  • Szkolenia personelu medycznego i administracyjnego z zakresu cyberhigieny
  • Procedury ciągłości działania uwzględniające scenariusze ataku na systemy szpitalne

Raportowanie incydentów

Szpital jako podmiot kluczowy lub ważny ma obowiązek zgłaszania incydentów poważnych do właściwego CSIRT sektorowego. Ustawa wprowadza trzyetapowy model raportowania, który wymaga szybkiej reakcji — szczególnie istotnej w kontekście ochrony zdrowia, gdzie incydent cybernetyczny może bezpośrednio zagrażać życiu pacjentów. Realne studium przypadku: Ransomware w szpitalach 2025 — obowiązki KSC.

EtapTerminZakres zgłoszenia
Wczesne ostrzeżenie24 godziny od wykryciaWstępna informacja o incydencie — czy podejrzewane jest działanie bezprawne, czy może mieć wpływ transgraniczny
Zgłoszenie incydentu72 godziny od wykryciaAktualizacja wczesnego ostrzeżenia, wstępna ocena incydentu, jego dotkliwości i skutków, wskaźniki naruszenia bezpieczeństwa
Sprawozdanie końcowe1 miesiąc od zgłoszeniaSzczegółowy opis incydentu, rodzaj zagrożenia, zastosowane środki zaradcze, skutki transgraniczne
W szpitalu incydent cybernetyczny (np. ransomware blokujący system HIS) może bezpośrednio zagrażać zdrowiu i życiu pacjentów. Niezależnie od obowiązków KSC, szpital powinien mieć plan awaryjny umożliwiający kontynuację opieki medycznej w trybie analogowym na czas usuwania skutków incydentu.

Kto jest kierownikiem w szpitalu

Zgodnie z art. 8c ustawy o KSC kierownik podmiotu kluczowego lub ważnego ponosi odpowiedzialność za wykonywanie obowiązków z zakresu cyberbezpieczeństwa. W przypadku szpitala kierownikiem jest dyrektor placówki (kierownik jednostki w rozumieniu ustawy o rachunkowości, a w przypadku SPZOZ — kierownik jednostki sektora finansów publicznych). Odpowiedzialność ta jest osobista i nie wygasa nawet w przypadku delegowania zadań na inne osoby (art. 8c ust. 3).

  • Dyrektor szpitala podejmuje decyzje dotyczące wdrażania, stosowania i nadzoru nad SZBI (art. 8d pkt 1)
  • Planuje adekwatne środki finansowe na cyberbezpieczeństwo (art. 8d pkt 2)
  • Przydziela zadania z zakresu cyberbezpieczeństwa i nadzoruje ich wykonanie (art. 8d pkt 3)
  • Raz w roku przechodzi obowiązkowe szkolenie z zakresu cyberbezpieczeństwa (art. 8e ust. 1)
  • W przypadku organu wieloosobowego — jeśli nie wskazano osoby odpowiedzialnej, odpowiadają wszyscy członkowie (art. 8c ust. 2)
Kara pieniężna dla kierownika podmiotu publicznego (np. dyrektora SPZOZ) wynosi do 100% wynagrodzenia (art. 73a ust. 5). Uwaga: SPZOZ podlega KSC również na podstawie sektora ochrony zdrowia (załącznik nr 1), dlatego na mocy art. 73a ust. 5 zd. 2 kara dla kierownika wynosi do 300% wynagrodzenia. Dla kierownika podmiotu niebędącego podmiotem publicznym — do 300% wynagrodzenia (art. 73a ust. 4). Kara jest nakładana niezależnie od kary dla samego podmiotu.
Kara administracyjna na szpital — różnice prywatny vs SP ZOZ. Szpital-spółka prywatna (z przychodami z działalności gospodarczej): kara z art. 73 ust. 3 KSC do 10 mln EUR lub 2% rocznych przychodów (PK) lub z ust. 4 do 7 mln EUR / 1,4% (PW). SP ZOZ jako podmiot publiczny zwykle nie ma przychodów z działalności gospodarczej (działa w trybie kontraktu z NFZ, finansowanie statutowe) — wówczas zastosowanie ma art. 73 ust. 3a KSC: podstawa wymiaru kary to równowartość 500 000 EUR (PK — SP ZOZ z ≥ 250 etatami) lub 250 000 EUR (PW — SP ZOZ 50–249 etatów). Organ właściwy (minister właściwy do spraw zdrowia) uwzględnia obowiązkowo możliwości finansowe SP ZOZ (art. 76a ust. 1 KSC) — realna kara dla małego szpitala powiatowego będzie znacznie niższa od ryczałtu, ale nie znika. Minimum ustawowe: 20 000 zł (PK) / 15 000 zł (PW).

Checklist wdrożenia

Poniżej znajduje się praktyczna lista kontrolna wdrożenia KSC w szpitalu. Kolejność odpowiada zalecanemu harmonogramowi działań w ramach terminów ustawowych.

  1. Przeprowadź samoidentyfikację: ustal formę prawną szpitala, liczbę zatrudnionych i wynikający z tego status (PK/PW).
  2. Zarejestruj podmiot w wykazie przez system S46 — dla podmiotów istniejących w dniu 3.04.2026 r. termin wynika z komunikatu Ministra Cyfryzacji (art. 34 ust. 3 ustawy nowelizującej); dla nowych podmiotów: 6 miesięcy od spełnienia przesłanek (art. 7c ust. 1 KSC).
  3. Wyznacz co najmniej dwie osoby kontaktowe ds. cyberbezpieczeństwa (art. 9 ust. 1 pkt 1 KSC; mikro/mali oraz PW publiczny mogą wyznaczyć jedną osobę — art. 9 ust. 2–3) i zgłoś ich dane w systemie S46.
  4. Przeprowadź inwentaryzację systemów informacyjnych (HIS, RIS/PACS, LIS, systemy apteczne, infrastruktura sieciowa).
  5. Wykonaj szacowanie ryzyka dla zidentyfikowanych systemów.
  6. Opracuj i wdróż dokumentację SZBI: polityki, procedury, instrukcje operacyjne (termin: 12 miesięcy, tj. do 3 kwietnia 2027 r.).
  7. Wdróż środki techniczne: kontrola dostępu, szyfrowanie, monitoring, kopie zapasowe, segmentacja sieci.
  8. Opracuj i przetestuj procedury reagowania na incydenty (wczesne ostrzeżenie 24h, zgłoszenie 72h, raport 1 miesiąc).
  9. Przeprowadź szkolenie dyrektora szpitala z zakresu cyberbezpieczeństwa (art. 8e) oraz szkolenia personelu.
  10. Zweryfikuj bezpieczeństwo łańcucha dostaw: dostawcy systemów medycznych, ICT, serwisanci.
  11. Przeprowadź audyt bezpieczeństwa (termin: 24 miesiące, tj. do 3 kwietnia 2028 r.) (dotyczy podmiotów kluczowych; podmioty ważne — audyt na żądanie organu).
FAQ4 pytania

Najczęstsze pytania

Czy szpital musi wdrożyć NIS2 / KSC?
Tak — sektor zdrowia (szpitale, przychodnie, laboratoria, producenci farmaceutyków, producenci wyrobów medycznych) jest wymieniony w zał. 1 KSC. Szpital ≥ 250 pracowników jest podmiotem kluczowym, mniejszy publiczny — podmiotem ważnym. Szpital publiczny jako podmiot publiczny podlega KSC niezależnie od wielkości w ramach zobowiązań JST.
Jakie obowiązki techniczne ma szpital w ramach NIS2?
Minimalny zakres: (1) MFA dla dostępu do HIS/EDM i systemów klinicznych, (2) backupy z regułą 3-2-1-1-0 (także offline), (3) segmentacja sieci klinicznej od administracyjnej i IoMT, (4) plan ciągłości działania z procedurą „emergency mode” (szpital pracujący bez IT), (5) zarządzanie podatnościami urządzeń medycznych, (6) aktualizacje i hardening systemów, (7) monitoring SIEM/EDR.
Co z małym szpitalem powiatowym — podlega KSC?
Tak — szpital powiatowy będący samodzielnym publicznym zakładem opieki zdrowotnej (SPZOZ) jest podmiotem publicznym. Jeśli zatrudnia mniej niż 250 osób, będzie podmiotem ważnym. Szpital prywatny niezatrudniający ≥ 50 pracowników i z obrotem ≤ 10 mln EUR nie podlega KSC — chyba że wpisany do wykazu decyzją organu z uwagi na znaczenie dla usługi zdrowotnej.
Jak raportować incydent z systemu HIS w szpitalu?
Dwutorowo: (1) do CSIRT sektora zdrowia (ustanowionego przy Ministerstwie Zdrowia) — wczesne ostrzeżenie 24h, zgłoszenie 72h, sprawozdanie końcowe 1 miesiąc; (2) przy naruszeniu danych osobowych pacjentów — równolegle do UODO w trybie art. 33 RODO (72h). Dodatkowo informacja do organu założycielskiego (samorząd lub Minister Zdrowia) w razie zakłócenia usługi klinicznej.
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.