W 2025 roku CSIRT CeZ obsłużył 1441 incydentów cyberbezpieczeństwa w sektorze ochrony zdrowia, czyli o ponad 60% więcej niż rok wcześniej. Wśród nich znalazło się 5 incydentów poważnych oraz 8 ataków ransomware, które należą do najbardziej dotkliwych zagrożeń dla funkcjonowania placówek medycznych. W obliczu rosnącej liczby cyberataków coraz większego znaczenia nabiera poziom przygotowania organizacyjnego podmiotów leczniczych. Raport „Krajobraz cyberbezpieczeństwa w sektorze ochrony zdrowia” przygotowany przez CSIRT CeZ pokazuje, że wiele placówek wzmacnia swoje kompetencje w tym obszarze, choć część nadal nie posiada podstawowych mechanizmów zarządzania cyberbezpieczeństwem.
Z tego artykułu dowiesz się…
- Jak wiele placówek medycznych posiada wyznaczoną osobę odpowiedzialną za cyberbezpieczeństwo.
- Jak wygląda zaangażowanie dyrektorów w szkolenia z zakresu cyberbezpieczeństwa.
- Jak często kadra zarządzająca analizuje raporty oceny ryzyka.
- Ile podmiotów wdrożyło politykę bezpieczeństwa uwzględniającą cyberbezpieczeństwo.
W badaniu uczestniczyło 696 podmiotów
Analiza została przeprowadzona na podstawie ankiety skierowanej do około 1600 podmiotów leczniczych podlegających Ministrowi Zdrowia. Odpowiedzi udzieliło 696 jednostek, co odpowiada 43% potencjalnych respondentów.
Jak wskazują autorzy raportu, nie pozwala to na pełne zobrazowanie całego sektora, jednak umożliwia ocenę dominujących trendów i kierunków zmian zachodzących w ochronie zdrowia.
Według zebranych danych ponad 60% ankietowanych placówek posiada wyznaczoną osobę odpowiedzialną za cyberbezpieczeństwo. Ponadto 76% podmiotów deklaruje wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), a niemal 62% prowadzi okresowe szkolenia z cyberhigieny dla pracowników.
Nadal 34% placówek nie wyznaczyło osoby odpowiedzialnej za cyberbezpieczeństwo
Jednym z badanych obszarów było formalne przypisanie odpowiedzialności za cyberbezpieczeństwo.
W 236 jednostkach funkcjonuje dedykowany specjalista zajmujący się tym obszarem w pełnym wymiarze czasu pracy. W kolejnych 219 placówkach zadania te realizowane są w formule niepełnego etatu.
Jednocześnie 239 podmiotów, czyli 34% respondentów, zadeklarowało brak wyznaczonej osoby odpowiedzialnej za cyberbezpieczeństwo.
Raport pokazuje jednak wyraźną poprawę względem poprzednich lat. W 2022 roku liczba jednostek bez wskazanej osoby odpowiedzialnej za cyberbezpieczeństwo wynosiła 647. W 2023 roku było ich 394, w 2024 roku 323, a w 2025 roku 239.
Mniej niż połowa dyrektorów uczestniczyła w szkoleniu
Autorzy raportu przeanalizowali również zaangażowanie kadry zarządzającej w rozwój kompetencji związanych z cyberbezpieczeństwem.
Szkolenie w tym zakresie odbyło 289 dyrektorów placówek, co stanowi 42% ankietowanych. Jednocześnie 398 osób, czyli 57%, nie uczestniczyło w żadnej formie doskonalenia dotyczącej cyberbezpieczeństwa w ciągu ostatnich 12 miesięcy.
Widoczna jest jednak poprawa w porównaniu z poprzednimi latami. W 2022 roku szkolenia deklarowało 131 dyrektorów, w 2023 roku 221, w 2024 roku 246, a w 2025 roku już 289.
Według autorów raportu ograniczone zaangażowanie części kadry kierowniczej może wpływać na jakość decyzji dotyczących bezpieczeństwa informacji oraz zarządzania ryzykiem.
Coraz więcej placówek regularnie analizuje ryzyko
W badaniu oceniono również, czy dyrektorzy cyklicznie zapoznają się z raportami oceny ryzyka.
Taką praktykę zadeklarowało 487 respondentów, czyli 70% badanych. Brak regularnych przeglądów wskazało 203 dyrektorów, co odpowiada 29% odpowiedzi.
Na przestrzeni ostatnich lat liczba jednostek bez systematycznej analizy ryzyka znacząco spadła. W 2022 roku było ich 554, rok później 364, następnie 259, a w 2025 roku 203.
Zdaniem autorów raportu może to świadczyć o rosnącej dojrzałości organizacyjnej podmiotów leczniczych w obszarze zarządzania cyberbezpieczeństwem.
Ponad jedna czwarta placówek nie opublikowała polityki bezpieczeństwa
Istotnym elementem oceny była także analiza formalnych dokumentów regulujących ochronę informacji.
Opublikowaną politykę bezpieczeństwa uwzględniającą cyberbezpieczeństwo posiada 491 jednostek, co odpowiada 71% respondentów. Brak takiego dokumentu zadeklarowało aż 198 podmiotów, czyli ponad 28%.
Raport przypomina, że polityka bezpieczeństwa określa zasady ochrony informacji, obowiązki pracowników oraz zakres odpowiedzialności poszczególnych osób. Jej brak może utrudniać spójne zarządzanie bezpieczeństwem w organizacji.
Także w tym obszarze widoczna jest poprawa. W 2022 roku liczba podmiotów bez opublikowanej polityki bezpieczeństwa wynosiła 554. W 2023 roku było ich 352, w 2024 roku 200, a w 2025 roku 198.
Cyberbezpieczeństwo coraz częściej staje się elementem zarządzania placówką
Wyniki badania pokazują, że placówki ochrony zdrowia stopniowo wzmacniają swoje kompetencje organizacyjne w zakresie cyberbezpieczeństwa. Rośnie liczba jednostek posiadających wyznaczone osoby odpowiedzialne za ten obszar, zwiększa się udział kadry kierowniczej w szkoleniach, a regularna analiza ryzyka staje się coraz bardziej powszechna.
Jednocześnie raport CSIRT CeZ wskazuje, że znaczna grupa podmiotów nadal nie wdrożyła podstawowych rozwiązań organizacyjnych. Przy rosnącej liczbie cyberincydentów i coraz większej aktywności cyberprzestępców sektor ochrony zdrowia pozostaje jednym z obszarów wymagających dalszych inwestycji w bezpieczeństwo cyfrowe.
Główne wnioski
- W badaniu CSIRT CeZ uczestniczyło 696 podmiotów leczniczych, co stanowiło 43% jednostek objętych ankietą dotyczącą poziomu cyberbezpieczeństwa.
- 34% placówek nie posiada wyznaczonej osoby odpowiedzialnej za cyberbezpieczeństwo, choć liczba takich podmiotów spadła z 647 w 2022 roku do 239 w 2025 roku.
- 42% dyrektorów uczestniczyło w szkoleniach z cyberbezpieczeństwa, a 70% deklaruje regularne przeglądanie raportów oceny ryzyka w swoich jednostkach.
- 71% placówek posiada opublikowaną politykę bezpieczeństwa, a 76% wdrożyło System Zarządzania Bezpieczeństwem Informacji (SZBI).
Źródło:
- https://www.cez.gov.pl/sites/default/files/paragraph.attachments.field_attachments/2026-06/CSIRT%20CeZ_RaportRoczny_2025.pdf
