Zdrowie8 min czytania

KSC dla szpitali — wdrożenie NIS2 w ochronie zdrowia

Które podmioty lecznicze podlegają KSC

Sektor ochrony zdrowia jest sektorem kluczowym wg załącznika nr 1 do ustawy o KSC. Obejmuje świadczenie opieki zdrowotnej (szpitale, podmioty lecznicze prowadzące działalność leczniczą), produkcję wyrobów medycznych i produktów leczniczych oraz hurtową dystrybucję leków. Klasyfikacja konkretnej placówki zależy od jej formy prawnej i wielkości.

Klasyfikacja PK/PW dla szpitali

Typ podmiotu leczniczegoStatus KSCPodstawa prawna
Szpital — duży przedsiębiorca (>250 prac. lub obrót >50 mln EUR i bilans >43 mln EUR), spółkaPodmiot kluczowyart. 5 ust. 1 pkt 1 + zał. 1
Szpital — średni przedsiębiorca (50–249 prac.), spółkaPodmiot ważnyart. 5 ust. 2 pkt 1 + zał. 1
SP ZOZ — od 50 do 249 zatrudnionychPodmiot ważnyart. 5 ust. 8 KSC
SP ZOZ — co najmniej 250 zatrudnionychPodmiot kluczowyart. 5 ust. 8 KSC
Mała placówka prywatna < 50 prac. / poniżej proguCo do zasady poza KSC (z wyjątkami)art. 5 a contrario
Apteka, hurtownia leków, laboratorium komercyjnePW lub PK zależnie od wielkościzał. 1 sektor zdrowia
Art. 5 ust. 8 KSC stanowi, że samodzielne publiczne zakłady opieki zdrowotnej (SP ZOZ) podlegają regulacjom: od 50 do 249 zatrudnionych = podmiot ważny; co najmniej 250 zatrudnionych = podmiot kluczowy (niezależnie od kryterium obrotowego). Patrz też: Szpital a NIS2 — obowiązki.

Zakres usługi

  • Klasyfikacja podmiotu leczniczego (PK/PW) wg formy prawnej i wielkości — art. 5 KSC
  • Rejestracja w wykazie S46 (art. 7c)
  • Wdrożenie SZBI z 14 obszarów art. 8 ust. 1 pkt 2 lit. a–n — dostosowane do specyfiki sektora zdrowia
  • Procedury reagowania na incydenty (art. 11–12b) z integracją z CSIRT NASK i CSIRT sektorowym ds. ochrony zdrowia
  • Coroczne szkolenie dyrektora szpitala (art. 8e ust. 1)
  • Audyt bezpieczeństwa systemu informacyjnego (art. 15 ust. 1) — pierwszy do 3.04.2028 r. dla PK
  • Mapowanie SZBI na wymogi RODO (art. 32 RODO) — szczególnie istotne dla danych medycznych

Specyfika sektora — HIS, RIS/PACS, EDM

Audyt i wdrożenie SZBI w szpitalu uwzględnia specyfikę systemów medycznych — krytycznych dla bezpieczeństwa pacjenta i ciągłości leczenia. Każdy z tych systemów wymaga adekwatnej oceny ryzyka oraz mapy zależności wewnętrznych.

  • HIS (Hospital Information System) — szpitalny system informatyczny: ruch chorych, rozliczenia z NFZ, dokumentacja medyczna
  • RIS / PACS (Radiology Information System / Picture Archiving and Communication System) — systemy obrazowania medycznego, archiwizacja DICOM
  • EDM (Elektroniczna Dokumentacja Medyczna) — wymagana przepisami o dokumentacji medycznej, integracja z e-Receptą i Indywidualnym Kontem Pacjenta
  • LIS (Laboratory Information System) — systemy laboratoryjne, integracja z analizatorami
  • Systemy OT/medyczne (anestezjologiczne, urządzenia diagnostyczne, infuzomaty) — wyzwanie segmentacji sieci IT/OT
  • Integracja z platformą P1 (eZdrowie) i Centrum e-Zdrowia

Terminy wdrożenia

EtapTerminPodstawa prawna
Rejestracja w S46Wg harmonogramu Ministra Cyfryzacji w komunikacieart. 33 ust. 3 + art. 34 ust. 3 ust. nowel.
Wdrożenie SZBIdo 3 kwietnia 2027 r.art. 33 ust. 1 ust. nowel.
Pierwszy audyt (tylko PK)do 3 kwietnia 2028 r.art. 33 ust. 2 ust. nowel.
Coroczne szkolenie dyrektoraRaz w roku kalendarzowymart. 8e ust. 1

Odpowiedzialność dyrektora szpitala

Dyrektor szpitala jako kierownik podmiotu kluczowego/ważnego ponosi osobistą odpowiedzialność z art. 8c ust. 1 KSC. Kara osobista z art. 73a: do 100% rocznego wynagrodzenia dla dyrektora SP ZOZ (kierownik podmiotu publicznego — art. 73a ust. 5); do 300% dla dyrektora szpitala-spółki prywatnej (art. 73a ust. 4). Niezależnie — kara administracyjna na podmiot z art. 73 ust. 1 (do 10 mln EUR / 2% przychodów dla PK; do 7 mln EUR / 1,4% dla PW). Egzekwowanie kar pieniężnych z art. 73 ust. 1-4 oraz art. 73a-73c rozpoczyna się 3 kwietnia 2028 r. (art. 35 ust. nowel.).

Cena i konsultacja

Bezpłatna konsultacja obejmuje klasyfikację placówki (PK/PW) i mapę systemów krytycznych (HIS, RIS/PACS, EDM). Wycena indywidualna w zależności od skali (liczba łóżek, oddziałów, lokalizacji), formy prawnej i dojrzałości obecnych zabezpieczeń. Lokalna obecność na Pomorzu — dla szpitali z Trójmiasta dostępność on-site bez kosztów delegacji. Patrz też: Wdrożenie KSC w Trójmieście.
FAQ5 pytań

Najczęstsze pytania

Czy mój szpital podlega ustawie o KSC?
Większość średnich i dużych szpitali podlega — sektor ochrony zdrowia jest w załączniku nr 1 KSC. Klasyfikacja: szpital będący przedsiębiorcą (spółka) — duży (powyżej 250 prac. lub obrót powyżej 50 mln EUR i suma bilansowa powyżej 43 mln EUR) → PK (art. 5 ust. 1 pkt 1); średni (50–249 prac.) → PW (art. 5 ust. 2 pkt 1). Szpital będący SP ZOZ — od 50 do 249 zatrudnionych = PW; co najmniej 250 zatrudnionych = PK (art. 5 ust. 8 KSC, niezależnie od kryterium obrotowego). Małe placówki prywatne (poniżej progu małego przedsiębiorcy) co do zasady poza KSC.
Czy SP ZOZ jest tak samo traktowany jak szpital-spółka?
Nie — kryterium klasyfikacji jest inne. Dla SP ZOZ-u stosuje się specjalny przepis art. 5 ust. 8 KSC oparty wyłącznie na zatrudnieniu (od 50 do 249 = PW; co najmniej 250 = PK), bez kryterium obrotowego. Dla szpitala-spółki obowiązuje ogólne kryterium z art. 5 ust. 1-2 (zatrudnienie + obrót/bilans). Praktyczny efekt: SP ZOZ z 200 etatami to PW; szpital-spółka z 200 etatami i obrotem 60 mln EUR to PW (średni); ale jeśli ma 260 etatów lub przekracza próg dużego przedsiębiorcy — PK. Dyrektor SP ZOZ jako kierownik podmiotu publicznego podlega karze osobistej do 100% wynagrodzenia (art. 73a ust. 5), dyrektor szpitala-spółki — do 300% (art. 73a ust. 4).
Jak SZBI z KSC ma się do RODO w szpitalu?
RODO i KSC nakładają się — szpital musi spełnić oba reżimy. RODO chroni dane osobowe (w szczególności dane medyczne ze szczególnej kategorii art. 9 ust. 1 RODO); SZBI z art. 8 KSC obejmuje wszystkie aktywa informacyjne wykorzystywane do świadczenia usługi medycznej — czyli zarówno systemy z danymi pacjentów (HIS, EDM), jak i systemy operacyjne (RIS, LIS, OT, infrastruktura sieciowa). Dobrze zaprojektowany SZBI pokrywa wymogi RODO w obszarze art. 32 (techniczne i organizacyjne środki bezpieczeństwa). W praktyce mapujemy 14 obszarów art. 8 ust. 1 pkt 2 KSC na obowiązki RODO — to oszczędza pracę i daje spójną dokumentację dla obu reżimów.
Co z urządzeniami medycznymi (OT) w SZBI?
Urządzenia medyczne i systemy OT (anestezjologiczne, infuzomaty, urządzenia diagnostyczne, pompy infuzyjne, monitory pacjenta) są częścią systemu informacyjnego szpitala i muszą być uwzględnione w SZBI. Praktyczne wymagania: (1) inwentaryzacja wszystkich urządzeń medycznych podłączonych do sieci (art. 8 ust. 1 pkt 2 lit. a — szacowanie ryzyka), (2) segmentacja sieci IT od OT/medycznej (lit. l — bezpieczeństwo łączności), (3) monitoring ruchu sieciowego dla urządzeń medycznych (lit. g), (4) procedury aktualizacji oprogramowania uwzględniające ograniczenia certyfikacji wyrobu medycznego (lit. b), (5) plan ciągłości dla systemów krytycznych dla bezpieczeństwa pacjenta (lit. f).
Jak zgłaszać incydent w szpitalu?
Incydent poważny zgłasza się do CSIRT NASK przez system S46 — wczesne ostrzeżenie w 24 h, zgłoszenie w 72 h, raport końcowy w miesiąc (art. 11 ust. 1 KSC). Dla sektora ochrony zdrowia działa dodatkowo CSIRT sektorowy wspierający CSIRT NASK (art. 44 KSC). Praktyczna procedura: (1) zespół IT/CISO klasyfikuje zdarzenie jako incydent poważny zgodnie z kryteriami z art. 11 ust. 1, (2) rejestracja w S46 z podstawowymi informacjami w 24 h (art. 11 ust. 1 pkt 1), (3) szczegółowe zgłoszenie w 72 h (pkt 2), (4) raport końcowy w miesiąc (pkt 3). Patrz: artykuł „Raportowanie incydentów KSC”.
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.