Nowelizacja KSC – dyrektor pod finansową odpowiedzialnością

Fakty regulacyjne

3 kwietnia 2026 r. weszła w życie nowelizacja ustawy z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa – ustawa z 23 stycznia 2026 r., która wdrożyła do polskiego porządku prawnego unijną dyrektywę NIS2 oraz Toolbox 5G. Dla polskich szpitali to najpoważniejsza zmiana regulacyjna w obszarze IT od czasu RODO.

Nowelizacja ustawy o KSC nałoży nowe obowiązki cyberbezpieczeństwa na niemal wszystkie szpitale w Polsce, kwalifikując placówki zatrudniające powyżej 50 osób. Według szacunków Ministerstwa Cyfryzacji przepisy obejmą ok. 38 tys. podmiotów, z czego aż 27 tys. to instytucje publiczne, w tym szpitale, urzędy i uczelnie.

Jedną z najważniejszych zmian dla sektora ochrony zdrowia wynikających z ustawy jest osobista odpowiedzialność dyrektorów szpitali za wdrożenie obowiązków w zakresie cyberbezpieczeństwa.

– Nowelizacja KSC nie jest rozszerzeniem zakresu obowiązków informatyków szpitala — to fundamentalna zmiana odpowiedzialności samego dyrektora. Po raz pierwszy w polskim prawie kadra zarządzająca może być pociągnięta do osobistej odpowiedzialności finansowej za zaniedbania w cyberbezpieczeństwie. To nie jest temat, który można delegować – mówi „Menedżerowi Zdrowia” Michał Dybowski, prezes Healthcare Poland Foundation, koordynator CyberC4HE, dyrektor ds. Bezpieczeństwa Szpitali Polskiej Federacji Szpitali.

Kto podlega ustawie?

Nowelizacja wprowadza nowy podział: na podmioty kluczowe i podmioty ważne – zamiast operatorów usług kluczowych i dostawców usług cyfrowych.

W świetle obowiązujących przepisów nie istnieje odgórna, urzędowa lista szpitali objętych nowymi obowiązkami. Każdy podmiot leczniczy jest zobowiązany do samodzielnej oceny swojego statusu (samoidentyfikacji).

W celu ustalenia, czy szpital jest podmiotem kluczowym lub ważnym, należy przejść przez następujący trzyetapowy proces:

• krok 1. – wielkość (weryfikacja na podstawie liczby pracowników, obrotu i sumy bilansowej, zgodnie z rozporządzeniem Komisji UE 651/2014),
• krok 2. – sektor i działalność (weryfikacja kodów PKD i rodzaju działalności pod kątem załączników nr 1 i 2 do ustawy. Dla szpitali kluczowy jest załącznik nr 1, sektor „Ochrona zdrowia”),
• krok 3. – klasyfikacja (ustalenie, czy podmiot jest kluczowy, czy ważny – z odpowiednim reżimem nadzoru i sankcji).

Do personelu wlicza się nie tylko pracowników etatowych, lecz także osoby na umowach cywilnoprawnych (zlecenie, agencja, dzieło) oraz właścicieli-kierowników. Większość polskich szpitali, w tym tych mniejszych, przekroczy próg 50 osób.  

Jak wskazuje dyrektor Dybowski, próg 50 pracowników oznacza, że nowelizacja obejmie praktycznie każdy szpital w Polsce. – Z naszych analiz w CyberC4HE wynika, że na 30 kwietnia 2026 roku zdecydowana większość dyrektorów szpitali nawet nie zaczęła samoidentyfikacji. Mamy zaledwie pięć miesięcy do 3 października, kiedy upływa termin wpisu do Wykazu KSC – zauważa.

Kalendarz wdrożenia KSC

Dybowski przypomina, że 13 kwietnia minister cyfryzacji rozpoczął wpisywanie z urzędu dotychczasowych operatorów usług kluczowych, dostawców usług zaufania, przedsiębiorców telekomunikacyjnych oraz wybranych podmiotów publicznych. Podmioty, które nie zostały wpisane z urzędu, muszą złożyć wniosek o wpis do Wykazu KSC w terminie od 7 maja 2026 r. do 3 października 2026 r. Natomiast 12 czerwca nastąpi uruchomienie systemu S46 dla nowo objętych podmiotów – będzie to kluczowy element dostosowania polskiego systemu cyberbezpieczeństwa do wymogów dyrektywy NIS2.

3 października mija ostateczny termin samoidentyfikacji i złożenia wniosku o wpis do Wykazu KSC. Brak tego wpisu będzie jednoznaczny z naruszeniem przepisów ustawy.

Co musi zrobić dyrektor szpitala?

Ustawowe obowiązki w zakresie IT dzielą się na pięć obszarów, z których każdy wymaga bezpośrednich decyzji dyrektora. Kwestia ta wykracza poza kompetencje działu technicznego i nie może zostać w pełni delegowana.

1. Obowiązki formalne do 3 października 2026 roku obejmują samoidentyfikację z dokumentacją analizy (wielkość, PKD, sektor, status), wpis do Wykazu KSC z kwalifikowanym podpisem elektronicznym, wyznaczenie 1–2 osób do kontaktu z podmiotami KSC (pełnomocnik ds. cyberbezpieczeństwa) oraz aktualizację danych w 14 dni od każdej zmiany.

2. System Zarządzania Bezpieczeństwem Informacji (SZBI) do 3 kwietnia 2027 roku obejmuje politykę bezpieczeństwa informacji zatwierdzoną przez kierownictwo, cykliczną analizę ryzyka (udokumentowaną, z planem postępowania z ryzykiem), zarządzanie incydentami, podatnościami, zmianami i konfiguracją, szkolenia personelu (wszystkich, w tym kadry zarządzającej), bezpieczeństwo personelu i kontrolę dostępu fizycznego.

3. Środki techniczne i organizacyjne obejmują uwierzytelnianie wieloskładnikowe (MFA) krytyczne dla kont administracyjnych i zdalnego dostępu, kontrolę dostępu opartą na rolach (RBAC), czyli zasadę najmniejszych uprawnień, szyfrowanie danych w spoczynku i w tranzycie, segmentację sieci, w tym oddzielenie sieci klinicznej od administracyjnej, kopie zapasowe z testowanym odtwarzaniem (BCP/DR), zarządzanie podatnościami (patche, monitoring CVE, twarde okna serwisowe) oraz plany ciągłości działania (szpital musi umieć funkcjonować bez systemu HIS).

4. Raportowanie incydentów to wdrożenie działań z zakresu wczesnego ostrzegania do CSIRT Centrum e-Zdrowia (do 24 godzin od wykrycia incydentu poważnego), zgłoszenie incydentu (do 72 godzin od wykrycia), raport końcowy (do 1 miesiąca od zakończenia obsługi incydentu), współpraca z CSIRT (Zespołem reagowania na Incydenty Bezpieczeństwa Komputerowego) i organem właściwym do spraw ochrony zdrowia.

5. Łańcuch dostaw to wymagania kontraktowe obejmujące klasyfikację dostawców według ryzyka, w tym dostawców systemów HIS, wyrobów medycznych z łącznością i dostawców chmurowych, klauzule kontraktowe (prawo do audytu, raportowanie incydentów po stronie dostawcy, exit plan, otwarte API, eksport danych), ocenę spełniania obowiązków NIS2 przez dostawcę, mechanizm reakcji na decyzje ministra cyfryzacji o uznaniu dostawcy za dostawcę wysokiego ryzyka (DWR).

Zdaniem Michała Dybowskiego wymóg zarządzania ryzykiem łańcucha dostaw, który NIS2 narzuca szpitalom, jest fikcyjny, jeśli szpital jest zakładnikiem dostawcy systemu HIS bez otwartego API i exit planu. Dodaje, że to dlatego CyberC4HE i Polska Federacja Szpitali wydały raport „Otwarte i bezpieczne HIS”, gdyż bez standardu zamówień anty-vendor-lock cyberbezpieczeństwo szpitali pozostanie jedynie pustym wymogiem. 

Reżim kar – wymiar finansowy i osobowy

Nowelizacja wprowadza także najsurowszy reżim sankcji w historii polskiej regulacji ochrony zdrowia. Choć pełny system sankcji administracyjnych wejdzie w życie 3 kwietnia 2028 r., niektóre z nich – jak choćby kary dzienne za ignorowanie nakazów – będą stosowane już wcześniej.

Podajemy podział kar na kategorie oraz ich wysokość:

• podmiot kluczowy — kara podstawowa do 10 mln euro lub 2 proc. rocznych przychodów (wartość wyższa); minimum 20 tys. zł,
• podmiot ważny — kara podstawowa do 7 mln euro lub 1,4 proc. rocznych przychodów (wartość wyższa); minimum 15 tys. zł,
• kara nadzwyczajna – do 100 mln zł — gdy naruszenie powoduje bezpośrednie i poważne zagrożenie obronności, bezpieczeństwa państwa, życia lub zdrowia ludzi, ciągłości usług,
• kara dzienna od 500 zł do 100 tys. zł za każdy dzień zwłoki w wykonaniu nakazu organu (np. po audycie, w obsłudze incydentu),
• kara osobista na kierownika do 600 proc. miesięcznego wynagrodzenia kierownika podmiotu — za zaniedbania w obszarze cyberbezpieczeństwa organizacji,
• aktywacja kar administracyjnych – większość sankcji będzie nakładana od 3 kwietnia 2028 r., z wyjątkiem kar dziennych za niewykonanie nakazów, które działają wcześniej.

Trzy rekomendacje CyberC4HE

W ocenie Michała Dybowskiego – z perspektywy Koalicji Cyberbezpieczeństwa w Ochronie Zdrowia (CyberC4HE) oraz Polskiej Federacji Szpitali – samo wdrożenie ustawy bez zmian systemowych grozi tym, że wymagania pozostaną na papierze.

Jak podkreśla przedstawiciel CyberC4HE, małych i średnich szpitali nie stać na utrzymanie własnych zespołów Security Operations Center. Kompetencje analityka SOC są wyceniane na rynku od 50 do 200 tys. zł miesięcznie, a sektor zdrowia konkuruje o tych samych ludzi z bankowością i telekomami.

Ekspert zaznacza, że nie można oczekiwać, że szpital powiatowy wdroży obowiązki NIS2 w pojedynkę.

– Realną odpowiedzią są regionalne SOC i wspólne centra danych, koordynowane przez urzędy marszałkowskie. To jest model, nad którym pracujemy z Pomorskim Urzędem Marszałkowskim — i który CyberC4HE rekomenduje całemu sektorowi – stwierdza Dybowski.

– Z konsultacji wynika, że szpitale są tym kierunkiem żywotnie zainteresowane. Modele europejskie –  austriacki, niemiecki – pokazują wyraźnie, że odpowiedzią są regionalne SOC i wspólne centra danych. W Polsce naturalnym kandydatem do koordynacji są urzędy marszałkowskie – mają mandat regionalny, instrumenty finansowe (RPO), możliwość zawierania porozumień międzyszpitalnych – wskazuje Dybowski. 

Ponadto, jak dodaje, CyberC4HE rekomenduje także standardy zamówień anty-vendor-lock, który jest tańszy niż każda kara – i jest jedynym sposobem, aby NIS2 w szpitalach było wdrażalne, a nie tylko ogłaszalne.

W ocenie koalicji istotnym elementem jest również edukacja kadry zarządzającej (nie tylko działu IT), bowiem okazuje się, że 78 proc. kierowników podmiotów leczniczych deklarowało brak świadomości konsekwencji nowelizacji KSC (raport PTKOZ, wrzesień 2025). Zdaniem eksperta bez systematycznego programu edukacji dyrektorów i ich zastępców regulacja nie przeniesie się na realną zmianę.

KSC – kogo obejmuje?Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC), wdrażająca dyrektywę NIS2, nakłada obowiązki w zakresie cyberbezpieczeństwa na zwiększa grupę podmiotów.

Michał Dybowski dla „Menedżera Zdrowia” przedstawia pięć tez, które wynikają z jego pracy z polskimi szpitalami, koalicji CyberC4HE oraz uczestnictwa w pracach Grupy Roboczej ds. AI Ministerstwa Cyfryzacji.

Pierwszą jest kwestia terminu – Polska implementuje NIS2 z 400-dniowym opóźnieniem.

– Termin transpozycji dyrektywy NIS2 minął 17 października 2024 r. Polska zdążyła z ustawą o ponad rok później – i to nie jest detal kalendarzowy. W tym czasie Niemcy, Holandia, kraje skandynawskie wdrożyły nie tylko przepisy, ale też operacyjne wzorce: jak działa sektorowy CSIRT w zdrowiu, jak wygląda regionalna koordynacja SOC, jak rozliczać klauzule anty-vendor-lock w przetargach centralnych – tłumaczy ekspert.

– Polskie szpitale wchodzą w reżim NIS2 bez tego dorobku. CSIRT CeZ rozpoczyna pełną operację dopiero teraz, sektorowe zespoły w innych obszarach jeszcze nie powstały. To znaczy, że dyrektor szpitala w 2026 r. nie może oprzeć się na dojrzałych politykach krajowych – musi je w dużej mierze zbudować od zera, na podstawie ENISA, ISO 27001 i własnej oceny ryzyka – wyjaśnia Dybowski.

– Jest to dług instytucjonalny, który koalicje, takie jak CyberC4HE, próbują redukować przez transfer wiedzy z innych krajów UE, ale ten transfer kosztuje czas – przyznaje. 

Jego zdaniem najsłabszym ogniwem w zakresie incydentów cyberbezpieczeństwa nie jest szpital, ale łańcuch dostaw.

 – Z danych ENISA o sektorze zdrowia wynika, że istotna część cyberataków w europejskich szpitalach ma swoje źródło nie wewnątrz placówki, lecz u dostawcy: producenta systemu HIS, dostawcy chmury, integratora urządzeń medycznych, podwykonawcy outsourcingu IT. Polskie szpitale są w tej sytuacji szczególnie eksponowane – bo struktury rynku HIS są skoncentrowane, a większość placówek nie ma realnej możliwości migracji między systemami w rozsądnym horyzoncie – mówi ekspert.

Wyjaśnia też, że wymaganie NIS2 dotyczące zarządzania ryzykiem łańcucha dostaw jest najważniejszym przepisem nowelizacji – i jednocześnie najtrudniejszym do realnego wdrożenia.

– Szpital, który dostaje od dostawcy HIS umowę z drugiej dekady XXI wieku – bez exit planu, bez SLA na bezpieczeństwo, bez prawa do audytu – nie ma realnej kontroli nad swoim własnym ryzykiem, niezależnie od tego, jak dobrze zbuduje SZBI wewnętrznie – wskazuje.

Cyberbezpieczeństwo JEST opieką nad pacjentem

W ocenie Michała Dybowskiego kolejną kwestią wynikającą z nowelizacji jest to, że cyberbezpieczeństwo nie konkuruje z opieką nad pacjentem. Podkreśla, że argument o braku pieniędzy na IT to pułapka, dodając, że atak ransomware paraliżuje SOR i bloki operacyjne, realnie zagrażając życiu pacjentów, czego dowodzą tragiczne przypadki z Niemiec. Odpowiedzialność dyrektora jest tu zatem naturalna.

– Dyrektor szpitala, który nie inwestuje w cyberbezpieczeństwo, jest w identycznej sytuacji jak dyrektor, który nie inwestuje w sterylizację, w pożarówkę, w plan ewakuacji. To są obowiązki bezpieczeństwa pacjenta, a nie obowiązki techniczne. Z tej perspektywy reżim odpowiedzialności osobistej kierownictwa, który wprowadza nowelizacja, jest spójny – bo dotyczy bezpieczeństwa, a nie biurokratycznego compliance – tłumaczy.

– Cyberbezpieczeństwo musi być pozycją w analizie ryzyka klinicznego, a nie tylko w analizie ryzyka IT – stwierdza specjalista.

Ekspert zaznacza, że bez regionalnych ekosystemów cyberbezpieczeństwa ustawa nie zadziała. – Resort cyfryzacji szacuje, że KSC obejmie ok. 27 tys. podmiotów publicznych. Założenie, że każdy z nich zbuduje równolegle własny pełny system zarządzania bezpieczeństwem informacji i własny zespół SOC, jest nierealistyczne – uważa.

– Bez regionalnej warstwy cyberbezpieczeństwa publicznego ustawa zostanie wdrożona na papierze w 50–60 proc. szpitali, a w pozostałych pozostanie martwa. To nie jest pesymizm – to wniosek z naszej ankiety w sektorze – mówi specjalista. 

Punkt wyjścia, a nie punkt docelowy

Michał Dybowski przedstawia również trzy ruchy, które dyrektor szpitala powinien wykonać w pierwszych 30 dniach od złożenia wniosku o wpis do wykazu Krajowego Systemu Cyberbezpieczeństwa.

• Wyznaczenie pełnomocnika. Formalne wyznaczenie osoby odpowiedzialnej za cyberbezpieczeństwo, z dostępem do kierownictwa, z mandatem do egzekwowania polityki. Bez tej osoby kontaktowej cała struktura wdrożeniowa nie ma podmiotu.
• Samoidentyfikacja w trybie roboczym. Nie czekamy do września. Już teraz przeprowadzamy analizę: ilu mamy pracowników (z umowami cywilnoprawnymi włącznie), pod jakim PKD działamy, jakie są nasze powiązania kapitałowe. Wynik tej analizy będzie podstawą formalnego wniosku, ale powinien być gotowy w maju, a nie we wrześniu.
• Przegląd umów z dostawcami. Wybieramy 5 najważniejszych umów (HIS, RIS, PACS, dostawca chmurowy, kluczowy outsourcing) i robimy szybki audyt: czy mamy prawo do audytu? Czy mamy exit plan? Czy dostawca zobowiązał się do raportowania incydentów po swojej stronie? W większości polskich szpitali odpowiedź na wszystkie trzy pytania będzie „nie” — i to jest pierwsza pozycja na liście negocjacji aneksów.

Przeczytaj także: „Co zrobić, aby mieć cyberbezpieczny szpital w epoce NIS2”