Sektor ochrony zdrowia został objęty nowymi obowiązkami wynikającymi z nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC), która weszła w życie 3 kwietnia 2026 r. Zmiany rozszerzają katalog podmiotów objętych regulacją i wprowadzają konkretne wymagania organizacyjne oraz techniczne. Obejmują one zarówno duże szpitale, jak i mniejsze placówki medyczne. CSIRT CeZ przypomina, że przygotowanie do nowych przepisów wymaga szybkich działań i uporządkowania obszaru bezpieczeństwa informacji.
Z tego artykułu dowiesz się…
- Jakie obowiązki nakłada nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC).
- Jakie terminy – 6, 12 i 24 miesiące – obowiązują placówki medyczne.
- Jaką rolę pełni osoba do kontaktu ds. cyberbezpieczeństwa.
- Jak przygotować się do wdrożenia systemu zarządzania bezpieczeństwem informacji.
Ochrona zdrowia wśród najbardziej narażonych sektorów
CSIRT CeZ przypomina, że podmioty ochrony zdrowia należą do grupy szczególnie narażonej na cyberataki. W ostatnich latach rośnie liczba incydentów obejmujących ransomware, próby wyłudzeń danych, phishing oraz zakłócenia ciągłości działania systemów.
Skala zagrożeń dotyczy zarówno dużych szpitali, jak i mniejszych placówek. Nowelizacja ustawy o KSC ma wprowadzić wspólne standardy działania i zwiększyć odporność całego systemu, a nie tylko wybranych jednostek.
Kluczowe terminy: 6, 12 i 24 miesiące
Nowe przepisy wprowadzają jasny harmonogram działań, którego placówki nie mogą pominąć.
W ciągu 6 miesięcy od wejścia w życie ustawy podmioty muszą:
- określić, czy podlegają przepisom,
- złożyć wniosek o wpis do wykazu podmiotów kluczowych i ważnych.
W ciągu 12 miesięcy należy wdrożyć pełen zakres obowiązków, obejmujący:
- system zarządzania bezpieczeństwem informacji,
- procedury wewnętrzne,
- zgłoszenia do właściwych organów,
- procedurę obsługi incydentów.
Podmioty uznane za kluczowe mają dodatkowe 24 miesiące na przeprowadzenie pierwszego audytu bezpieczeństwa.
Osoba do kontaktu – obowiązek i element zarządzania ryzykiem
Jednym z pierwszych działań organizacyjnych jest wyznaczenie osoby odpowiedzialnej za kontakt w sprawach cyberbezpieczeństwa. W przypadku podmiotów kluczowych i ważnych konieczne jest wskazanie dwóch osób.
CSIRT CeZ wskazuje, że rola ta ma znaczenie operacyjne – to właśnie przez tę osobę przebiega komunikacja dotycząca incydentów oraz wymagań technicznych. Funkcja ta nie wymaga specjalistycznej wiedzy IT, ale znajomości organizacji i zdolności koordynacyjnych.
System zarządzania bezpieczeństwem informacji jako fundament
Wdrożenie systemu zarządzania bezpieczeństwem informacji (SZBI) jest jednym z głównych obowiązków wynikających z ustawy. Rozwiązanie pozwala uporządkować procesy związane z ochroną danych i określić adekwatny poziom zabezpieczeń. Wymagania są dostosowane do wielkości podmiotu oraz poziomu ryzyka, co oznacza, że zakres wdrożeń będzie różny w zależności od charakteru działalności.
Na początek ankieta samooceny
CSIRT CeZ przygotował narzędzie wspierające placówki w ocenie ich gotowości. To zestaw ankiet do samooceny, które pozwalają określić:
- poziom zabezpieczeń,
- dojrzałość organizacji w obszarze cyberbezpieczeństwa,
- potencjalne luki,
- zakres działań wymaganych do wdrożenia.
Formularze są dostosowane do typu podmiotu i nie wymagają specjalistycznej wiedzy. System prowadzi użytkownika przez kolejne etapy i automatycznie generuje rekomendacje oraz harmonogram działań.
CSIRT CeZ zaznacza, że narzędzie ma charakter pomocniczy i w przypadku wątpliwości konieczna może być konsultacja prawna.
Link do ankiety: https://cez.gov.pl/pl/page/weryfikacja-zgodnosci-z-wymogami-cyberbezpieczenstwa
Procedura obsługi incydentów jako obowiązek ustawowy
Nowelizacja ustawy o KSC wprowadza obowiązek posiadania procedury obsługi incydentów. Jak wskazuje CSIRT CeZ Dokument ten powinien określać:
- sposób identyfikacji i klasyfikacji incydentów,
- zasady ich zgłaszania,
- tryb postępowania,
- współpracę z CSIRT sektorowym i krajowym.
Nowe przepisy nie zastępują istniejących rozwiązań, ale wymagają ich uporządkowania i dostosowania do jednolitego modelu działania.
Wsparcie CSIRT CeZ dla placówek
Centrum e-Zdrowia, poprzez CSIRT CeZ, oferuje wsparcie dla podmiotów objętych ustawą. Obejmuje ono zarówno narzędzia do samooceny, jak i materiały edukacyjne oraz konsultacje merytoryczne.
Placówki mogą korzystać z:
- przewodników i instrukcji dotyczących wdrażania wymagań,
- materiałów edukacyjnych z zakresu ochrony danych i bezpieczeństwa,
- konsultacji przy interpretacji przepisów i planowaniu działań,
- wskazówek dotyczących dobrych praktyk i zarządzania incydentami.
Celem tych działań jest ułatwienie przejścia przez proces wdrożenia nowych obowiązków i ograniczenie ryzyka błędów organizacyjnych.
Główne wnioski
- Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) obowiązuje od 3 kwietnia 2026 r. i obejmuje szerszą grupę podmiotów ochrony zdrowia.
- Placówki mają 6 miesięcy na określenie statusu i zgłoszenie do wykazu oraz 12 miesięcy na wdrożenie obowiązków.
- Podmioty kluczowe muszą przeprowadzić pierwszy audyt bezpieczeństwa w ciągu 24 miesięcy.
- CSIRT CeZ zapewnia narzędzia samooceny, materiały i wsparcie merytoryczne dla placówek.
Źródło:
- https://www.cez.gov.pl/pl/page/o-nas/aktualnosci/nowe-przepisy-ksc-sprawdz-czy-dotycza-twojego-podmiotu
