Baza wiedzy

Cyberbezpieczeństwo w POZ — KSC 2026, audyt i ubezpieczenie cyber w praktyce

Michał Kowalski 2026-05-25

Cyberbezpieczeństwo w POZ — KSC 2026, audyt i ubezpieczenie cyber w praktyce

3 kwietnia 2026 roku weszła w życie nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa, która wdraża do polskiego prawa unijną dyrektywę NIS2. Ochrona zdrowia została w niej zaklasyfikowana jako sektor kluczowy — na równi z energetyką, bankowością i transportem. Dla menedżera placówki medycznej oznacza to konkretne, datowane obowiązki, których nie można dłużej delegować „do informatyka”. Skuteczna ochrona placówki opiera się dziś o trzy filary — zgodność z ustawą, cykliczny audyt bezpieczeństwa i ubezpieczenie cyber. Każdy z nich pełni inną funkcję; każdy z nich tym artykułem omawiamy po kolei.

Ustawa dzieli świadczeniodawców medycznych na trzy kategorie. Podmiot kluczowy to placówka zatrudniająca co najmniej 250 osób (duże szpitale, SPZOZ-y, sieci przychodni). Podmiot ważny to placówka zatrudniająca od 50 do 249 osób — w tej grupie mieści się większość średnich i większych sieci POZ. Mała przychodnia poniżej 50 pracowników jest co do zasady wyłączona z bezpośrednich obowiązków rejestracyjnych.

To „wyłączenie” bywa złudne. Po pierwsze, na mocy art. 7l KSC organ nadzorczy może decyzją administracyjną nadać statusu podmiotu ważnego nawet kilkuosobowej przychodni, jeżeli jest jedynym świadczeniodawcą POZ w danym mikroregionie lub realizuje krytyczne zadania profilaktyczne. Po drugie i ważniejsze — wszyscy dostawcy podmiotów kluczowych (dostawy oprogramowania medycznego, laboratoria, firmy hostingowe, lokalne firmy serwisu IT) sami muszą spełniać wymogi NIS2 i przenoszą je kontraktowo na swoich klientów. Mała przychodnia, która chce zostać partnerem laboratorium albo sieci diagnostycznej, dostanie umowę z zapisami o SLA cyberbezpieczeństwa, obowiązkiem wdrożenia MFA i raportowania incydentów. Wybór sprowadza się do: dostosować się albo wypaść z integracji systemowych.

Sześć obowiązków, które musisz wdrożyć

Ustawa nakłada na podmioty kluczowe i ważne katalog wymogów technicznych i organizacyjnych. Sześć z nich ma największy wpływ na codzienne zarządzanie przychodnią:

  • System Zarządzania Bezpieczeństwem Informacji (SZBI) — udokumentowana analiza ryzyka, klasyfikacja zasobów, polityki bezpieczeństwa zatwierdzone uchwałą zarządu lub decyzją dyrektora. Dokumentacja dzieli się na normatywną (opis usługi, systemów, infrastruktury, ról) i operacyjną (zapisy potwierdzające realne wykonywanie polityk). W razie kontroli to pierwsza rzecz, o którą pyta organ.
  • Uwierzytelnianie wieloskładnikowe (MFA) dla wszystkich dostępów zdalnych, kont administratorów oraz dostępu do systemów HIS i integracji z platformą P1. Samo hasło lekarza do systemu medycznego przestaje być zgodne z prawem.
  • Kopie zapasowe i plan ciągłości działania (BCP/DRP) — reguła 3-2-1 (trzy kopie, dwa nośniki, jedna offline/immutable, odporna na ransomware), praktycznie testowane co najmniej raz w roku, z udokumentowanym scenariuszem pracy awaryjnej: przyjęcie pacjenta bez dostępu do bazy, wystawianie recepty w trybie offline.
  • Obowiązkowe szkolenia kierownictwa — raz w roku kalendarzowym dla zarządu, właściciela, dyrektora SPZOZ oraz osoby, której powierzono nadzór nad cyberbezpieczeństwem. Szkolenie musi być formalnie udokumentowane imiennym certyfikatem. Brak szkolenia to osobista kara dla kierownika, nie dla przychodni.
  • Trzyetapowe raportowanie incydentów do CSIRT sektorowego przez system S46: wczesne ostrzeżenie do 24 godzin od wykrycia, pełne zgłoszenie do 72 godzin, raport końcowy do 30 dni. Każdy podmiot kluczowy lub ważny musi też wyznaczyć dwie osoby do kontaktu z krajowym systemem cyberbezpieczeństwa (mikroprzedsiębiorca lub mały przedsiębiorca — jedną).
  • Bezpieczeństwo łańcucha dostaw — inwentaryzacja dostawców IT, ocena ryzyka każdego z nich, zapisy umowne o łataniu podatności i obowiązku natychmiastowego informowania o incydentach po stronie dostawcy. Jeżeli Kolegium ds. Cyberbezpieczeństwa uzna któregoś dostawcę za Dostawcę Wysokiego Ryzyka, przychodnia ma ustawowy termin na wymianę jego rozwiązań pod rygorem kar.

Kalendarz — daty, których nie wolno przegapić

Ustawodawca rozłożył wdrożenie na trzy etapy:

  • Od 7 maja do 3 października 2026 roku — okno samoidentyfikacji. Placówka musi samodzielnie ocenić swój status i złożyć wniosek o wpis do Wykazu KSC. Niezłożenie wniosku w terminie samo w sobie jest naruszeniem ustawy podlegającym karze, niezależnie od tego, czy doszło do incydentu.
  • Do 3 kwietnia 2027 roku — pełne wdrożenie obowiązków technicznych (kompletny SZBI, MFA, BCP, polityki). To 12-miesięczny okres dostosowawczy od wejścia ustawy w życie.
  • Do 3 kwietnia 2028 roku — karencja na nakładanie administracyjnych kar pieniężnych za naruszenie wymogów merytorycznych. Karencja nie dotyczy jednak ignorowania decyzji nakazowych organu nadzorczego ani obowiązku zgłaszania incydentów.

Innymi słowy: za nieprzygotowanie SZBI w 2026 roku jeszcze nie zapłacisz, za zignorowanie kontroli i niezgłoszony wyciek danych — zapłacisz natychmiast.

Kary — placówka i osobista odpowiedzialność dyrektora

Skala sankcji finansowych jest bezprecedensowa w polskim prawie ochrony zdrowia:

  • Podmiot kluczowy — kara do 10 milionów euro lub do 2% łącznego rocznego obrotu (stosuje się kwotę wyższą).
  • Podmiot ważny — kara do 7 milionów euro lub do 1,4% obrotu.
  • Kara nadzwyczajna do 100 milionów złotych — za rażące naruszenie, które stworzyło bezpośrednie zagrożenie dla życia i zdrowia ludzi (paraliż systemów ratujących życie po ataku ransomware to realny scenariusz).
  • Okresowe kary dzienne — od 500 do 100 000 złotych za każdy dzień zwłoki w wykonaniu decyzji administracyjnej. Tu nie ma karencji.

Najgłębsza zmiana mentalna dotyczy jednak osobistej odpowiedzialności kierownictwa. Ustawa przenosi ciężar finansowy bezpośrednio na zarząd, właściciela lub dyrektora. W podmiotach publicznych (SPZOZ-y, szpitale uniwersyteckie) osobista kara dla kierownika może wynieść do 100% jego rocznego wynagrodzenia. W podmiotach prywatnych (przychodnia jako sp. z o.o. lub S.A.) — do 300% miesięcznego wynagrodzenia otrzymywanego w tym podmiocie. Dyrektor, który nie zatwierdzi analizy ryzyka albo nie przejdzie obowiązkowego szkolenia, płaci z własnej kieszeni.

Audyt cyber — drugi filar i ustawowy obowiązek

Sama zgodność z ustawą to dopiero pierwszy filar. Drugim jest cykliczny audyt bezpieczeństwa systemu informacyjnego, który dla podmiotów kluczowych ma rangę ustawowego obowiązku — co najmniej raz na trzy lata, na własny koszt, przez akredytowaną jednostkę lub dwóch audytorów z odpowiednimi certyfikatami (CISA, ISO 27001 lead auditor, CISM, CRISC, CISSP, SSCP, ISA/IEC 62443 lub ekwiwalent). Audyt nie może być przeprowadzony przez osobę, która w ostatnim roku realizowała w tym samym podmiocie zadania z zakresu SZBI lub obsługi incydentów — chodzi o realną niezależność oceny.

Podmioty ważne nie mają ustawowego obowiązku cyklicznego audytu, ale dobrowolne zlecenie audytu jest dziś najtańszym dowodem prewencji wobec UODO i jednocześnie najkrótszą ścieżką do gotowości na awans do statusu kluczowego.

Co praktycznie zawiera audyt cyber dla placówki medycznej oferowany dziś na polskim rynku — niezależnie od dostawcy — to spójny pakiet pięciu ocen:

  • Środowisko IT i architektura sieci — przegląd infrastruktury serwerowej, sieciowej i stacji roboczych, segmentacja sieci medycznej od administracyjnej, zabezpieczenia systemów HIS, integracji z P1 i e-receptą.
  • Ochrona przed zagrożeniami i reakcja na incydent — zabezpieczenia endpointów (EDR/antywirus), systemy ochrony sieci (firewall, IDS/IPS), mechanizmy wykrywania incydentów i procedury reakcji, zarządzanie podatnościami i aktualizacjami.
  • Ciągłość działania — testy mechanizmów backupu, procedur odtwarzania danych, gotowość na incydent ransomware (czy z aktualnej kopii uruchomimy gabinety w 4 godziny, czy w 4 dni).
  • Warstwa organizacyjna — analiza polityk i procedur bezpieczeństwa, ocena poziomu świadomości personelu, weryfikacja zasad współpracy z podmiotami zewnętrznymi i przetwarzania danych.
  • Zgodność prawna — ocena dopasowania do RODO, NIS2 i KSC, z konkretną listą luk i rekomendacjami.

Rezultatem dobrze przeprowadzonego audytu jest pisemny raport zawierający identyfikację ryzyk i podatności, ocenę obecnego poziomu bezpieczeństwa, wskazanie niezgodności formalnych i technicznych oraz roadmapę priorytetów naprawczych. Rynkowy koszt takiego audytu dla średniej placówki POZ to dziś rząd wielkości kilku tysięcy złotych netto, a termin realizacji — od dwóch do trzech tygodni. To wydatek nieporównywalnie niższy od potencjalnej kary administracyjnej lub kosztów pojedynczego incydentu.

Ubezpieczenie cyber — trzeci filar, którego nie zastąpi żaden firewall

Trzeci filar to polisa cyber, dostępna dziś na polskim rynku od kilku europejskich towarzystw ubezpieczeniowych w wersjach dopasowanych do podmiotów medycznych. To produkt, który wypełnia lukę pomiędzy „mam zgodność” a „mam realny atak” — czyli pokrywa te koszty, których audyt i SZBI nie usuwają, bo żadne zabezpieczenie nie daje 100% pewności.

Standardowa polisa cyber obejmuje sześć obszarów ochrony pogrupowanych w dwie kategorie. Ryzyka własne placówki to wszystko, co przychodnia traci sama:

  • Koszty reakcji na zdarzenie — opłaty za zespół forensic, prawnika ds. ochrony danych, komunikację kryzysową, powiadomienia pacjentów (przy wycieku to często główny koszt).
  • Zakłócenie działalności (business interruption) — utracone przychody z wizyt, kapitacji i pakietów komercyjnych za czas, w którym systemy są niedostępne. Dla sieci POZ kilka dni przestoju to setki tysięcy złotych.
  • Przywrócenie danych i systemu — odbudowa baz, reinstalacja oprogramowania, odzyskanie danych medycznych z kopii zapasowych.
  • Wymuszenie komputerowe (cyber extortion) — koszty obsługi ataku ransomware, w tym negocjacje z grupą ransomware i — pod ścisłymi warunkami i poza wyłączeniami sankcyjnymi — sam okup.

Odpowiedzialność cywilna to dwie kategorie pokrywające pozwy strony trzeciej:

  • Naruszenie prywatności i bezpieczeństwa sieci — odszkodowania i koszty obrony przy pozwach pacjentów po wycieku danych medycznych
  • Naruszenie związane z działalnością medialną — szkody powstałe w związku z treściami publikowanymi przez placówkę (np. na stronie WWW, w komunikacji marketingowej).

Polisa cyber nie jest substytutem audytu ani SZBI — większość ubezpieczycieli przed zawarciem umowy żąda potwierdzenia, że placówka ma wdrożone podstawowe zabezpieczenia (MFA, EDR, backupy, polityki). Te trzy filary się uzupełniają: zgodność z KSC zmniejsza prawdopodobieństwo incydentu, audyt mierzy realną dojrzałość zabezpieczeń, ubezpieczenie przenosi finansowe ryzyko resztkowe. Brak któregokolwiek z nich zostawia w obronie wyrwę, której pojedynczy filar nie zasłoni.

Co zrobić jako pierwsze

Najczęstszym błędem zarządczym jest dziś czekanie do końca karencji w 2028 roku. To pułapka — wdrożenie SZBI, audyt łańcucha dostaw i wyszkolenie zespołu zajmuje 6-12 miesięcy, a nakaz pokontrolny podlega karze dziennej bez żadnej karencji. Cztery działania, które warto wykonać jeszcze w 2026 roku:

  • Samoidentyfikacja statusu placówki i złożenie wniosku do Wykazu KSC w wyznaczonym oknie (7 maja – 3 października 2026).
  • Wstępna analiza ryzyka i gap-audyt wobec wymogów art. 8 ustawy — to fundament SZBI i jednocześnie dowód „prewencyjnego działania”.
  • Obowiązkowe szkolenie kierownictwa z udokumentowanym imiennym certyfikatem — to pierwsza linia obrony dyrektora przed osobistą karą finansową.
  • Rozeznanie ofert audytu cyber i polisy Cyber ERM — porównanie 2-3 ofert audytu i 2-3 ofert ubezpieczenia daje twardy budżet, który można wprowadzić do planu finansowego placówki na 2027 rok. Większość ubezpieczycieli wymaga audytu jako warunku zawarcia polisy — kolejność „audyt → polisa” jest naturalna.
Źródła
  1. Ministerstwo Cyfryzacji (gov.pl) — Q&A nowelizacja KSC (przedmowa wicepremiera K. Gawkowskiego, 3 kwietnia 2026 r.); Nowelizacja ustawy o KSC — kogo obejmuje, jak dokonać wpisu, najważniejsze terminy.
  2. Dziennik Ustaw / SIP Lex: Ustawa o Krajowym Systemie Cyberbezpieczeństwa — art. 7l, 8, 8d, 8e, 8f, 11, 12, 35, 67b, 73a (tekst jednolity po nowelizacji wdrażającej NIS2); sekcja 9 ustawy o cyklicznych audytach bezpieczeństwa.
  3. Lex.pl: Do kiedy trzeba wdrożyć NIS 2 / UKSC w podmiotach kluczowych i ważnych — harmonogram obowiązków; Samoidentyfikacja a decyzja organu ds. cyberbezpieczeństwa.
  4. KSC.expert: Szpital — NIS2 obowiązki, Wdrożenie KSC, Łańcuch dostaw KSC, Raportowanie incydentów — branżowe omówienia wymogów technicznych i raportowych.