Zdrowie8 min czytania

Szpital a KSC/NIS2 — lista obowiązków

Kiedy szpital podlega KSC

Sektor ochrony zdrowia znajduje się w załączniku nr 1 do ustawy o KSC, co oznacza, że podmioty lecznicze mogą być zarówno podmiotami kluczowymi, jak i ważnymi. Kluczowe znaczenie ma wielkość podmiotu oraz jego forma prawna. Szpitale będące przedsiębiorcami podlegają ogólnym progom wielkościowym: duży przedsiębiorca (≥250 pracowników lub obrót >50 mln EUR) to podmiot kluczowy z załącznika nr 1, a średni (50–249 pracowników) to podmiot ważny.

Podmioty lecznicze niebędące przedsiębiorcami (np. SPZOZ-y) podlegają odrębnym zasadom klasyfikacji na podstawie art. 5 ust. 8 ustawy o KSC: zatrudnianie co najmniej 250 osób oznacza status podmiotu kluczowego, a zatrudnianie od 50 do 249 osób — status podmiotu ważnego. Próg liczy się według stanu zatrudnienia, nie według formy organizacyjnej.
Forma prawna szpitalaZatrudnienieStatus KSC
Szpital-przedsiębiorca (sp. z o.o., SA)≥ 250 osób (duży)Podmiot kluczowy (art. 5 ust. 1 pkt 1)
Szpital-przedsiębiorca (sp. z o.o., SA)50–249 osób (średni)Podmiot ważny (art. 5 ust. 2 pkt 1)
SPZOZ (niebędący przedsiębiorcą)≥ 250 osóbPodmiot kluczowy (art. 5 ust. 8 pkt 2)
SPZOZ (niebędący przedsiębiorcą)50–249 osóbPodmiot ważny (art. 5 ust. 8 pkt 1)
Szpital utworzony przez ABW/AWDowolneWyłączony z KSC (art. 1 ust. 2 pkt 3)

Szpitale korzystające z podwykonawców medycznych powinny pamiętać, że podwykonawcy świadczący usługi wskazane w załączniku nr 1 (np. laboratoria diagnostyczne, podmioty świadczące usługi telemedycyny) mogą samodzielnie podlegać KSC, jeżeli spełniają progi wielkościowe. Niezależnie od tego szpital ma obowiązek zarządzania bezpieczeństwem łańcucha dostaw swoich dostawców ICT.

Obowiązki SZBI w szpitalu

Każdy szpital będący podmiotem kluczowym lub ważnym musi wdrożyć system zarządzania bezpieczeństwem informacji (SZBI) zgodny z art. 8 ustawy o KSC. SZBI obejmuje systemy informacyjne wykorzystywane do świadczenia usług zdrowotnych — w tym systemy HIS, RIS/PACS, laboratoryjne (LIS), apteczne oraz infrastrukturę sieciową szpitala.

  • Szacowanie ryzyka dla wszystkich systemów informacyjnych wspierających działalność leczniczą
  • Opracowanie polityk bezpieczeństwa i procedur operacyjnych dostosowanych do specyfiki szpitala
  • Wdrożenie środków technicznych: kontrola dostępu, szyfrowanie danych pacjentów, segmentacja sieci, kopie zapasowe
  • Zarządzanie bezpieczeństwem łańcucha dostaw — weryfikacja dostawców systemów medycznych i ICT
  • Szkolenia personelu medycznego i administracyjnego z zakresu cyberhigieny
  • Procedury ciągłości działania uwzględniające scenariusze ataku na systemy szpitalne

Raportowanie incydentów

Szpital jako podmiot kluczowy lub ważny ma obowiązek zgłaszania incydentów poważnych do właściwego CSIRT sektorowego. Ustawa wprowadza trzyetapowy model raportowania, który wymaga szybkiej reakcji — szczególnie istotnej w kontekście ochrony zdrowia, gdzie incydent cybernetyczny może bezpośrednio zagrażać życiu pacjentów.

EtapTerminZakres zgłoszenia
Wczesne ostrzeżenie24 godziny od wykryciaWstępna informacja o incydencie — czy podejrzewane jest działanie bezprawne, czy może mieć wpływ transgraniczny
Zgłoszenie incydentu72 godziny od wykryciaAktualizacja wczesnego ostrzeżenia, wstępna ocena incydentu, jego dotkliwości i skutków, wskaźniki naruszenia bezpieczeństwa
Sprawozdanie końcowe1 miesiąc od zgłoszeniaSzczegółowy opis incydentu, rodzaj zagrożenia, zastosowane środki zaradcze, skutki transgraniczne
W szpitalu incydent cybernetyczny (np. ransomware blokujący system HIS) może bezpośrednio zagrażać zdrowiu i życiu pacjentów. Niezależnie od obowiązków KSC, szpital powinien mieć plan awaryjny umożliwiający kontynuację opieki medycznej w trybie analogowym na czas usuwania skutków incydentu.

Kto jest kierownikiem w szpitalu

Zgodnie z art. 8c ustawy o KSC kierownik podmiotu kluczowego lub ważnego ponosi odpowiedzialność za wykonywanie obowiązków z zakresu cyberbezpieczeństwa. W przypadku szpitala kierownikiem jest dyrektor placówki (kierownik jednostki w rozumieniu ustawy o rachunkowości, a w przypadku SPZOZ — kierownik jednostki sektora finansów publicznych). Odpowiedzialność ta jest osobista i nie wygasa nawet w przypadku delegowania zadań na inne osoby (art. 8c ust. 3).

  • Dyrektor szpitala podejmuje decyzje dotyczące wdrażania, stosowania i nadzoru nad SZBI (art. 8d pkt 1)
  • Planuje adekwatne środki finansowe na cyberbezpieczeństwo (art. 8d pkt 2)
  • Przydziela zadania z zakresu cyberbezpieczeństwa i nadzoruje ich wykonanie (art. 8d pkt 3)
  • Raz w roku przechodzi obowiązkowe szkolenie z zakresu cyberbezpieczeństwa (art. 8e ust. 1)
  • W przypadku organu wieloosobowego — jeśli nie wskazano osoby odpowiedzialnej, odpowiadają wszyscy członkowie (art. 8c ust. 2)
Kara pieniężna dla kierownika podmiotu publicznego (np. dyrektora SPZOZ) wynosi do 100% wynagrodzenia (art. 73a ust. 5). Uwaga: SPZOZ podlega KSC również na podstawie sektora ochrony zdrowia (załącznik nr 1), dlatego na mocy art. 73a ust. 5 zd. 2 kara dla kierownika wynosi do 300% wynagrodzenia. Dla kierownika podmiotu niebędącego podmiotem publicznym — do 300% wynagrodzenia (art. 73a ust. 4). Kara jest nakładana niezależnie od kary dla samego podmiotu.

Checklist wdrożenia

Poniżej znajduje się praktyczna lista kontrolna wdrożenia KSC w szpitalu. Kolejność odpowiada zalecanemu harmonogramowi działań w ramach terminów ustawowych.

  1. Przeprowadź samoidentyfikację: ustal formę prawną szpitala, liczbę zatrudnionych i wynikający z tego status (PK/PW).
  2. Zarejestruj podmiot w wykazie przez system S46 (termin: 6 miesięcy od wejścia w życie ustawy, tj. do 3 października 2026 r.).
  3. Wyznacz osobę kontaktową ds. cyberbezpieczeństwa i zgłoś jej dane w systemie S46.
  4. Przeprowadź inwentaryzację systemów informacyjnych (HIS, RIS/PACS, LIS, systemy apteczne, infrastruktura sieciowa).
  5. Wykonaj szacowanie ryzyka dla zidentyfikowanych systemów.
  6. Opracuj i wdróż dokumentację SZBI: polityki, procedury, instrukcje operacyjne (termin: 12 miesięcy, tj. do 3 kwietnia 2027 r.).
  7. Wdróż środki techniczne: kontrola dostępu, szyfrowanie, monitoring, kopie zapasowe, segmentacja sieci.
  8. Opracuj i przetestuj procedury reagowania na incydenty (wczesne ostrzeżenie 24h, zgłoszenie 72h, raport 1 miesiąc).
  9. Przeprowadź szkolenie dyrektora szpitala z zakresu cyberbezpieczeństwa (art. 8e) oraz szkolenia personelu.
  10. Zweryfikuj bezpieczeństwo łańcucha dostaw: dostawcy systemów medycznych, ICT, serwisanci.
  11. Przeprowadź audyt bezpieczeństwa (termin: 24 miesiące, tj. do 3 kwietnia 2028 r.) (dotyczy podmiotów kluczowych; podmioty ważne — audyt na żądanie organu).
Spis treści
Kiedy szpital podlega KSC
Obowiązki SZBI w szpitalu
Raportowanie incydentów
Kto jest kierownikiem w szpitalu
Checklist wdrożenia
Potrzebujesz wsparcia?

Pomagamy we wdrożeniu KSC od identyfikacji statusu po pełny audyt.

Pozostałe artykuły
KlasyfikacjaPodmiot kluczowy vs. ważny — sprawdź swój statusWdrożenieSZBI wg Załącznika nr 4 — przewodnik dla JSTKaryKary finansowe w ustawie o KSC — ile wynoszą?IncydentyRaportowanie incydentów KSC — 24h, 72h, miesiącAudytAudyt bezpieczeństwa KSC — kto i kiedy?ZarządzanieKierownik a cyberbezpieczeństwo — obowiązki KSCWykazRejestracja w wykazie KSC — system S46Łańcuch dostawBezpieczeństwo łańcucha dostaw wg KSCDostawcyDostawca wysokiego ryzyka — procedura KSCNadzórNadzór nad podmiotami KSC — ex ante i ex postTerminyTerminy wdrożenia KSC 2026–2028Sektor finansowyKSC a DORA — obowiązki sektora finansowegoPersonelWeryfikacja niekaralności personelu — art. 8f KSCWspółpracaWymiana informacji o cyberzagrożeniach w KSCKlasyfikacjaNiezależność systemów — wyłączenie z KSCŻywnośćProducent żywności a KSC — obowiązki 2026ICTDostawca chmury a KSC — kto podlega?PrawoKSC a RODO — czym się różnią?JSTGmina a KSC — plan wdrożenia krok po krokuOdpadyFirma odpadowa a KSC — czy podlegam?KlasyfikacjaCzy podlegam pod KSC? Sprawdź w 5 minutWykazRejestracja KSC krok po kroku — system S46KaryKary za brak rejestracji w KSC — ile grozi?ZarządzanieZarząd a KSC — odpowiedzialność osobista
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.