NIS2 w placówkach medycznych: nowe wymagania cyberbezpieczeństwa od 3 kwietnia 2026 r.

• Dyrektywa NIS 2 (dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555) to unijne przepisy mające na celu podniesienie poziomu cyberbezpieczeństwa w kluczowych sektorach, w tym w ochronie zdrowia. 
• Nakłada ona obowiązki na tzw. podmioty kluczowe i ważne (PKW), w tym placówki medyczne, zobowiązując je do wdrożenia środków zarządzania ryzykiem, zgłaszania incydentów oraz przestrzegania zasad nadzoru i egzekwowania przepisów. 
• Zakres stosowania regulacji obejmuje przede wszystkim średnie i duże placówki ochrony zdrowia, w tym szpitale, laboratoria oraz producentów farmaceutycznych. 
• Każda placówka powinna zweryfikować swoją kategorię PKW, ponieważ wpływa to na obowiązki związane z zarządzaniem ryzykiem i zgłaszaniem incydentów oraz na wysokość ewentualnych kar za naruszenia przepisów. Nieprzestrzeganie regulacji grozi surowymi sankcjami, w tym wielomilionowymi karami finansowymi.

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa miała na celu wdrożenie Dyrektywy NIS-2. W dalszej części  opracowania ustawę o krajowym systemie cyberbezpieczeństwa opisano skrótem uksc, a jej nowelizację z 23 stycznia 2026 r. określa się jako „nowelizacja” – przy czym szczegóły dotyczące umiejscowienia opisywanych aktów prawnych zawarto na końcu opracowania (podstawa prawna).

Czytaj także: Raport Centrum e-Zdrowia o cyberbezpieczeństwie – 72% placówek bez ochrony

Odpowiadając na pytanie kogo dotyczy NIS2 warto wiedzieć, że Uksc obecnie kieruje nowe obowiązki do podmiotów, w tym firm, zaliczonych do kategorii podmiotów kluczowych lub ważnych (dalej: PKW), a także do ich kierowników.

Uksc przewiduje skomplikowane zasady klasyfikacji, wymagające wglądu w jej przepisy, załączniki oraz inne przepisy sektorowe (załącznik nr 1 do uksc wymienia podmioty lecznicze przy wskazywaniu sektorów kluczowych objętych uksc). W przypadku podmiotów wykonujących działalność leczniczą (PWDL) najczęściej do kategorii PKW zaliczą się:

• podmioty lecznicze będące średnimi lub dużymi przedsiębiorstwami (czyli PWDL inne niż działalności lecznicze lekarzy, pielęgniarek, fizjoterapeutów lub diagnostów laboratoryjnych prowadzone w formie praktyk zawodowych oraz inne niż podmioty lecznicze zaliczane do kategorii mikro i małych przedsiębiorstw) oraz

• inne podmioty udzielające świadczeń opieki zdrowotnej będące podwykonawcą dla PKW w sektorze ochrona zdrowia, w rozumieniu art. 133 ustawy z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych oraz

• świadczeniodawcy posiadający w swojej strukturze organizacyjnej Szpitalny Oddział Ratunkowy, Centrum Urazowe lub Centrum Urazowe dla Dzieci.

Przedsiębiorstwo, które zatrudnia mniej niż 50 pracowników i którego roczny obrót lub roczna suma bilansowa nie przekracza 10 milionów EUR, zasadniczo nie będzie zatem PKW.

Uksc wprost natomiast wskazuje, że podmiot leczniczy, który nie jest przedsiębiorcą (czyli np. SP ZOZ, jednostka budżetowa z ambulatorium opisana w art. 4 ust. 1 pkt 3 ustawy o działalności leczniczej):

• jest podmiotem ważnym, jeżeli zatrudnia od 50 do 249 osób,

• jest podmiotem kluczowym, jeżeli zatrudnia co najmniej 250 osób.

W rzadszych przypadkach, np. z uwagi na specyficzną działalność, do kategorii PKW może być zakwalifikowany jednak każdy PWDL, np. gdy właściwe organy zidentyfikują go jako podmiot krytyczny lub gdy organ właściwy do spraw cyberbezpieczeństwa uzna dany podmiot za PKW.

Kwestia zaliczania się do tej kategorii wymaga zatem odrębnej analizy i każda, nawet mała placówka, powinna taką analizę przeprowadzić.

Podstawowa różnica między podmiotem kluczowym a ważnym polega na tym, że mają do nich zastosowanie różne przepisy uksc dotyczące środków nadzoru i egzekwowania przepisów. Z tytułu nieprzestrzegania przepisów można otrzymać karę pieniężną, różną dla ww. grup podmiotów. Obowiązki natomiast pozostają takie same dla wszystkich PKW.

Kary za nieprzestrzeganie wymogów uksc w nowym brzmieniu może otrzymać zarówno placówka będąca PKW, jak i jej kierownik (np. dyrektor szpitala, członkowie zarządu prywatnej spółki, wspólnicy).

W przypadku podmiotu kluczowego zasadniczo nie może przekroczyć 10 mln euro lub 2% przychodów osiągniętych przez ten podmiot z działalności gospodarczej w roku obrotowym poprzedzającym wymierzenie kary, przy czym zastosowanie ma kwota wyższa (kara nie może być jednak niższa niż 20 tys. zł),

w przypadku podmiotu ważnego zasadniczo nie może przekroczyć 7 mln euro lub 1,4% przychodów osiągniętych przez ten podmiot z działalności gospodarczej w roku obrotowym poprzedzającym wymierzenie kary (kara nie może być jednak niższa niż 15 tys. zł).

Jeżeli jednak PKW rażąco naruszy przepisy uksc, powodując:

• bezpośrednie i poważne cyberzagrożenie dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi,

• zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług,

– może podlegać karze w wysokości do 100 mln zł, a dla tego typu sytuacji nie przewidziano opisanych dalej czasowych odroczeń w stosowaniu kar.

Z kolei karę pieniężną dla kierownika PKW można co do zasady wymierzyć w kwocie nie większej niż 300% otrzymywanego przez ukaranego wynagrodzenia obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop (kara wynosi z reguły do 100% ww. wynagrodzenia w przypadku kierownika PKW zaliczanego do podmiotów publicznych).

Kierownik PKW odpowiada bowiem za szereg obowiązków przypisanych PKW i sam musi przechodzić cykliczne szkolenia z ich wykonywania.

Przepisy przewidują również okresowe kary pieniężne celem przymuszenia PKW do wykonania nałożonych na niego obowiązków, w wysokości od 500 do 100 tys. zł za każdy dzień opóźnienia.

Zgodnie z zasadą samoidentyfikacji, PKW muszą same złożyć wniosek o wpis do wykazu PKW ustanowionego w miejsce dotychczasowego wykazu operatorów usług kluczowych. Muszą tego dokonać w terminie 6 miesięcy od dnia spełnienia przesłanek uznania za podmiot kluczowy lub podmiot ważny (przepisy przewidują w niektórych przypadkach możliwość wpisu z urzędu do wykazu – np. w przypadku podmiotów publicznych).

Podmioty, które z dniem 3 kwietnia 2026 r. spełniają przesłanki uznania ich za PKW, muszą złożyć wniosek o wpis do wykazu PKW zgodnie z harmonogramem określonym w art. 34 ust. 3 pkt 1 nowelizacji (przepis odsyła do przyszłego komunikatu ministra właściwego do spraw informatyzacji, który podlega ogłoszeniu w dzienniku urzędowym ministra).

W przypadku wpisu z urzędu należy jednak dopilnować, aby uzupełnić brakujące dane i dokonać ich ewentualnej aktualizacji. Minister właściwy do spraw informatyzacji wpisuje z urzędu do wykazu PKW tych operatorów usług kluczowych, których wpisano przed 3 kwietnia 2026 r. do wcześniejszego wykazu operatorów usług kluczowych.

Wykaz PKW ma zawierać znaczącą ilość danych, w tym m.in.:

• nazwę (firmę) podmiotu PKW,

• zakres publicznych adresów IP wykorzystywanych przez PKW w sposób ciągły,

• domeny internetowe wykorzystywane przez PKW w sposób ciągły,

• dane osób do kontaktu z podmiotami z krajowego systemu cyberbezpieczeństwa,

• informację o zawarciu umowy z dostawcą usług zarządzanych w zakresie cyberbezpieczeństwa na realizację zadań wskazanych w uksc wraz z danymi tego dostawcy,

• wskazanie organu właściwego do spraw cyberbezpieczeństwa dla danego PKW,

• wskazanie Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT) właściwego dla danego PKW

– przy czym część danych uzupełnia minister właściwy ds. informatyzacji.

Poniższe obowiązki mają związek z prowadzeniem dokumentacji, którą należy pokazać jako dowody w razie kontroli (dokumentację stanowią np. polityki szacowania ryzyka, dokumentacja dotycząca zapewnienia bezpieczeństwa i ciągłości łańcucha dostaw produktów ICT, usług ICT i procesów ICT, od których zależy świadczenie usługi, z uwzględnieniem związków pomiędzy bezpośrednim dostawcą sprzętu lub oprogramowania a placówką).

Placówka o statusie PKW musi wdrożyć system zarządzania bezpieczeństwem informacji (SZBI). O jego kształcie więcej wiedzą podmioty, które już podlegały uksc w poprzednim brzmieniu. Niemniej obecnie zakres elementów wymaganych w ramach SZBI uległ rozszerzeniu.

Placówki realizujące zadania publiczne mogą zestawiać taki SZBI z procedurami znanymi z rozporządzenia KRI (patrz: Podstawa prawna), o ile to rozporządzenie ich obowiązywało. Ważne, aby móc odczytać i wykazać, że nasze procedury zawierają elementy wymagane różnymi konkretnymi przepisami dotyczącymi SZBI.

Z SZBI ścisły związek mają wymogi zawarte w art. 10 uksc, ponieważ wymieniono w nim wymagania co do konkretnej dokumentacji, jaką należy posiadać (dokumentacja dotycząca bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi — dalej: DBSI). W jej skład wchodzi np. dokumentacja SZBI, dokumentacja ochrony infrastruktury, z wykorzystaniem której placówka świadczy usługę, czy też dokumentacja systemu zarządzania ciągłością działania.

Przed rozpoczęciem realizacji następujących zadań:

• prowadzenia SZBI oraz
• obsługi incydentu w zakresie podanym w art. 11 uksc (w tym prowadzenia związanej z nim dokumentacji), 

osoba, która ma te zadania realizować, musi przedstawić PKW informację z Krajowego Rejestru Karnego (KRK) stwierdzającą niekaralność za przestępstwa przeciwko ochronie informacji. Kierownik PKW może dopuścić taką osobę do realizacji ww. zadań dopiero po otrzymaniu takiej informacji. PKW może też wzywać osobę realizującą ww. zadania do ponownego przedstawienia informacji z KRK, jeżeli poweźmie uzasadnione podejrzenie, że osobę tę skazano za przestępstwo przeciwko ochronie informacji. Wymagania te można uznać za spełnione, jeżeli ww. osoba posiada ważne poświadczenie bezpieczeństwa upoważniające do dostępu do informacji niejawnych o klauzuli „poufne” lub wyższej.

Zgodnie z art. 9 uksc PKW ma m.in.:

• wyznaczyć co najmniej 2 osoby odpowiedzialne za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa,

• zapewnić użytkownikom usług dostęp do wiedzy pozwalającej na zrozumienie cyberzagrożeń i stosowanie skutecznych sposobów zabezpieczania się (obowiązek ten można wypełnić np. poprzez zamieszczenie na stronie internetowej hiperłącza do stron internetowych właściwych podmiotów),

• zapewnić użytkownikom usługi możliwość zgłoszenia cyberzagrożenia, incydentu lub podatności związanych ze świadczoną usługą.

Do zadań kierownika PKW należy zwłaszcza:

• podejmowanie decyzji w zakresie przygotowania, wdrażania, stosowania, przeglądu i nadzoru SZBI w placówce,

• planowanie adekwatnych środków finansowych na realizację obowiązków z zakresu cyberbezpieczeństwa,

• przydzielanie zadań z zakresu cyberbezpieczeństwa i nadzorowanie ich wykonania,

• zapewnienie, że personel placówki jest świadomy obowiązków z zakresu cyberbezpieczeństwa i zna wewnętrzne regulacje podmiotu w tym zakresie,

• zapewnienie zgodności działania placówki z przepisami oraz z wewnętrznymi regulacjami podmiotu.

Podmiot kluczowy powinien przeprowadzić na własny koszt, co najmniej raz na 3 lata, audyt bezpieczeństwa systemu informacyjnego wykorzystywanego w procesie świadczenia usługi (dalej: audyt). Powyższy 3-letni termin należy liczyć od dnia sporządzenia i podpisania przez audytorów przeprowadzających audyt raportu z ostatniego audytu.

Podmiot ten musi też przedstawiać — w wersji elektronicznej — kopię raportu z przeprowadzonego audytu organowi właściwemu do spraw cyberbezpieczeństwa w terminie 3 dni roboczych od dnia jego otrzymania.

W przypadku wystąpienia incydentu poważnego lub innego naruszenia uksc przez podmiot ważny, właściwy organ może nakazać również jemu przeprowadzenie zewnętrznego audytu.

PKW ma zapewniać obsługę incydentu, tj. zdarzenia, które ma lub może mieć niekorzystny wpływ na bezpieczeństwo systemów informacyjnych.

Zgodnie z obecnym brzmieniem uksc incydent poważny to incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi przez PKW, straty finansowe dla tego podmiotu lub wpływa na inne osoby fizyczne, osoby prawne, jednostki organizacyjne nieposiadające osobowości prawnej przez wywołanie poważnej szkody materialnej lub niematerialnej.

Sprawdź też: Zgłaszanie incydentów NIS2 w ochronie zdrowia i Instrukcja zgłaszania incydentu w systemie S46 krok po kroku

PKW powinien:

• zapewnić dostęp do informacji o rejestrowanych incydentach właściwemu CSIRT MON, CSIRT NASK, CSIRT GOV lub CSIRT sektorowemu w zakresie niezbędnym do realizacji jego zadań,

• klasyfikować incydent jako poważny na podstawie progów uznawania incydentu za poważny (progi te ma określić rozporządzenie Rady Ministrów),

• zgłaszać do właściwego CSIRT sektorowego wczesne ostrzeżenie o incydencie poważnym niezwłocznie, nie później niż w ciągu 24 godzin od momentu jego wykrycia (za pomocą systemu zarządzania cyberbezpieczeństwem, tj. systemu S46),

• zgłaszać do właściwego CSIRT sektorowego incydent poważny niezwłocznie, nie później niż w ciągu 72 godzin od momentu jego wykrycia (za pomocą systemu S46),

• przekazywać na wniosek właściwego CSIRT sektorowego sprawozdanie okresowe z obsługi incydentu poważnego (za pomocą systemu S46),

• przekazywać właściwemu CSIRT sektorowemu sprawozdanie końcowe z obsługi incydentu poważnego nie później niż w ciągu miesiąca od dnia zgłoszenia incydentu poważnego (za pomocą systemu S46),

• współdziałać podczas obsługi incydentu poważnego i incydentu krytycznego z właściwym CSIRT MON, CSIRT NASK, CSIRT GOV lub CSIRT sektorowym, przekazując niezbędne dane, w tym dane osobowe,

• usuwać podatności, o których mowa w art. 32 ust. 2 uksc, oraz informować o ich usunięciu organ właściwy do spraw cyberbezpieczeństwa (CSIRT MON, CSIRT NASK lub CSIRT GOV mogą bowiem wystąpić do organu właściwego do spraw cyberbezpieczeństwa z wnioskiem o wezwanie PKW, aby w wyznaczonym terminie usunął podatności, które doprowadziły lub mogłyby doprowadzić do incydentu poważnego lub krytycznego).

Znowelizowane przepisy wchodzą w życie 3 kwietnia 2026 r. Jednocześnie:

• placówki, które z dniem wejścia w życie nowelizacji spełniają przesłanki uznania ich za podmiot kluczowy albo za podmiot ważny, mają rozpocząć realizację zaktualizowanych obowiązków określonych w rozdziale 3 uksc „Obowiązki podmiotów kluczowych i ważnych” w terminie 12 miesięcy od dnia wejścia w życie nowelizacji, czyli od kwietnia 2027 r. — rozdział ten obejmuje wspomniane obowiązki dotyczące SZBI, zapewnienia komunikacji, DBSI, obsługi incydentów oraz audytu,

• placówki, które z dniem 3 kwietnia 2026 r. spełniają przesłanki uznania ich za PKW, muszą złożyć wniosek o wpis do wykazu PKW zgodnie z harmonogramem określonym w komunikacie ministra właściwego do spraw informatyzacji,

• kary pieniężne dla PKW, kierownika PKW oraz kary okresowe można będzie po raz pierwszy nakładać po upływie 2 lat od dnia wejścia w życie nowelizacji, tj. od kwietnia 2028 r. — okres przejściowy nie znajdzie jednak zastosowania do wspomnianego wcześniej rażącego naruszenia zagrożonego karą do 100 mln zł.