NIS 2 w szpitalu po podpisie Prezydenta

NIS 2 w szpitalu

Podpisanie nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) przez Prezydenta zakończy najważniejszy proces legislacyjny przepisów dotyczących cyberbezpieczeństwa na przestrzeni ostatnich lat w Polsce. Unijna dyrektywa NIS 2 została ostatecznie zaimplementowana do polskiego porządku prawnego.

Dla sektora ochrony zdrowia oznacza to definitywny koniec etapu analiz i przejście do działania. W obliczu rosnących cyberzagrożeń i cyfryzacji z KPO, wdrożenie dyrektywy NIS 2 przestaje być kwestią dobrej woli, a staje się bezwzględnym wymogiem prawnym. Dla kadry zarządzającej to jasny sygnał: zegar zaczął tykać. Niespełnienie nowych obowiązków grozi teraz konkretnymi sankcjami finansowymi i odpowiedzialnością osobistą Zarządu szpitala. Samo wdrożenie procedur bezpieczeństwa czy zakup serwerów to jednak za mało ustawa wymusza głęboką zmianę w zarządzaniu ryzykiem całej placówki.

Spis treści

Jakie przeszkody i bariery mogą się pojawiać w ramach wdrażania NIS 2 w szpitalu?

Nowe regulacje dotyczące cyberbezpieczeństwa, którym będą podlegać wszystkie szpitale w Polsce wymagają pokonania szeregu barier technologicznych i organizacyjnych. Z perspektywy wdrożeniowej, kluczowym wyzwaniem dla podmiotów ochrony zdrowia jest dług technologiczny.
Wiele placówek operuje na infrastrukturze typu legacy, gdzie krytyczne systemy IT są zintegrowane z urządzeniami diagnostycznymi (tomografy, rezonanse, angiografy). Urządzenia te mogą pracować pod kontrolą nieaktualizowanych systemów operacyjnych, których producent zakończył wsparcie. Zintegrowanie ich z nowoczesnym systemem cyberbezpieczeństwa, bez naruszenia warunków gwarancji producenta sprzętu medycznego, stanowi złożone wyzwanie inżynieryjne.

NIS 2 w szpitalu - Cyberbezpieczeństwo zagrożone shadow IT

Drugą istotną przeszkodą jest zjawisko shadow IT. W placówkach medycznych często funkcjonują zasoby, o których istnieniu dział IT nie wie. Od teraz podmioty objęte dyrektywą NIS 2 nie mogą sobie pozwolić na samodzielne instalowanie routerów Wi-Fi przez personel czy wykorzystywanie w codziennej pracy prywatnych laptopów lekarzy, które będą podłączone do sieci szpitalnej.
Skuteczne wdrożenie unijnej dyrektywy wymaga pełnej widoczności infrastruktury. Brak rzetelnej inwentaryzacji uniemożliwia uszczelnienie sieci, przez co potencjalne cyberataki na szpitale mogą być realizowane poprzez niezabezpieczone, „niewidoczne” punkty styku. Dostosowanie do dyrektywy NIS 2 ma na celu m.in. eliminację tego typu sytuacji i uświadomienie personelowi medycznemu, jak i administracyjnemu, że tego typu zachowania mogą stanowić poważne luki w cyberbezpieczeństwie placówek medycznych.

Jak można się przygotować do wdrożenia NIS 2 w szpitalu?

Przygotowanie do NIS2 nie powinno być chaotycznym zrywem zakupowym, lecz ustrukturyzowanym procesem zarządczym. Warto oprzeć się na metodyce audytorskiej, rozpoczynając od analizy luki (Gap Analysis). Jest to proces zestawienia obecnego stanu zabezpieczeń technicznych i organizacyjnych z tym, co narzucają nowe przepisy dotyczące cyberbezpieczeństwa. Celem nie jest „zaliczenie audytu”, ale zbudowanie odporności operacyjnej.

Wprowadzenie dyrektywy NIS 2 w życie powinno obejmować cztery kluczowe etapy, oparte na dobrych praktykach zarządzania projektami IT:

1. Głęboka inwentaryzacja i budowa CMDB

Nie można chronić czegoś, o czym się nie wie. Inwentaryzacja zasobów w szpitalu to wyzwanie, ponieważ infrastruktura jest hybrydowa. Dobre praktyki nakazują stworzenie nie tyle „listy sprzętu”, co bazy konfiguracji (CMDB – Configuration Management Database).

  • Co inwentaryzujemy? Nie tylko serwery i laptopy, ale również urządzenia medyczne (IoMT) podłączone do sieci, systemy klimatyzacji serwerowni, a także licencje oprogramowania i shadow IT (np. prywatne routery Wi-Fi). Dostosowanie do dyrektywy NIS 2 wymaga przede wszystkim świadomości o istnieniu oraz wykorzystywaniu wszystkich elementów infrastruktury teleinformatycznej w szpitalu.
  • Weryfikacja umów: Kluczowe jest zinwentaryzowanie umów z dostawcami usług pod kątem zapisów SLA (czasu reakcji na awarię) i odpowiedzialności za aktualizacje bezpieczeństwa. Zarządzanie systemami informatycznymi zgodnie z rygorem wprowadzanym przez ustawę o Krajowym Systemie Cyberbezpieczeństwa i zapisy unijnej dyrektywy wymaga ścisłej współpracy na tym polu z dostawcami usług IT.

2. Analiza wpływu biznesowego zamiast ogólnej oceny ryzyka

Zamiast teoretycznej oceny ryzyka, szpitale powinny przeprowadzić analizę wpływu biznesowego. Pozwala ona odpowiedzieć na pytanie: „Co się stanie, jeśli ten konkretny system przestanie działać na 4 godziny?”.

  • Klasyfikacja procesów: Należy podzielić systemy na krytyczne (Laboratoryjny System Informatyczny, RIS/PACS) oraz wspierające (Kadry-Płace,).
  • Ustalenie parametrów: Dla każdego systemu krytycznego należy zdefiniować RTO (Recovery Time Objective – maksymalny czas naprawy) akceptowalny z medycznego punktu widzenia.

3. Plan naprawczy oparty o metodykę MoSCoW

Stworzenie planu naprawczego często kończy się listą życzeń, na którą szpitala nie stać. Aby zoptymalizować koszty dostosowania do dyrektywy NIS 2, rekomendujemy zastosowanie metodyki priorytetyzacji MoSCoW:

  • Must have (musi być): Krytyczne luki niezgodne z ustawą (np. brak backupu offline, brak MFA dla dostępu zdalnego, brak procedury zgłaszania incydentów). To absolutny priorytet budżetowy.
  • Should have (powinien być): Ważne usprawnienia, np. segmentacja sieci, system SIEM.
  • Could have (może być): Usprawnienia, które wdrożymy, jeśli wystarczy środków (np. automatyzacja zarządzania tożsamością).
  • Won’t have (nie będzie): Elementy, z których świadomie rezygnujemy w tym roku budżetowym.

W oczach organu nadzorczego świadome i udokumentowane przesunięcie w czasie pewnych inwestycji (na podstawie analizy ryzyka) jest dowodem dojrzałości zarządczej, a nie zaniedbania. Lepiej wykazać szczelne wdrożenie fundamentów bezpieczeństwa, niż posiadać rozpoczęte i niedokończone projekty we wszystkich obszarach jednocześnie. NIS 2 w szpitalu jest ogromnym przedsięwzięciem inwestycyjnym, którego realizacja w przypadku większości placówek medycznych będzie podzielona na etapy.

 

ZOBACZ RÓWNIEŻ:

Wdrożenie dyrektywy NIS 2 od zaraz

Kompleksowe dostosowanie do dyrektywy NIS2 to proces długotrwały, jednak poziom ochrony należy podnosić natychmiast, nie czekając na zakończenie wielomiesięcznych przetargów. Dobre praktyki wdrożeniowe sugerują rozpoczęcie prac od strategii quick wins (szybkich zwycięstw). Są to działania operacyjne, które nie wymagają wysokich nakładów finansowych, a dają natychmiastowy efekt w postaci uszczelnienia infrastruktury:

  • Eliminacja haseł domyślnych: Najprostszym wektorem ataku pozostają fabryczne hasła w urządzeniach sieciowych i aparaturze medycznej. Ich natychmiastowa inwentaryzacja i zmiana to pierwszy, krytyczny krok budujący szczelny system cyberbezpieczeństwa placówki.
  • Odebranie uprawnień administratora lokalnego: Zgodnie z zasadą najmniejszych przywilejów, personel medyczny i administracyjny nie powinien pracować na kontach z uprawnieniami administratora. Ograniczenie tych praw drastycznie utrudnia rozprzestrzenianie się złośliwego oprogramowania (ransomware), bezpośrednio zwiększając bezpieczeństwo danych pacjentów.
  • Aktywacja logowania zdarzeń: Nawet jeśli szpital nie posiada jeszcze wdrożonego systemu klasy SIEM do analizy incydentów, należy bezwzględnie włączyć rejestrowanie logów na kluczowych serwerach i bazach danych. Gromadzenie tych danych jest niezbędne, aby w przyszłości móc przeprowadzić rzetelny audyt bezpieczeństwa lub analizę powłamaniową na kluczowych serwerach, nawet jeśli jeszcze nie mamy systemu do ich analizy. Dzięki temu zarząd placówki medycznej będzie mógł podejmować decyzje bardziej świadomie bazując na danych zdarzeniach, które już miały miejsce i stanowiły zagrożenie zapewnienia ciągłości działania.
Cyberbezpieczeństwo szpitala - dyrektywa NIS 2

Jakie są obowiązki dyrektora szpitala w ramach KSC i NIS 2?

NIS 2 w szpitalu sprawia, że rola dyrektora jednostki medycznej ewoluuje w stronę osoby aktywnie nadzorującej zarządzanie bezpieczeństwem informacji. Ustawa o Krajowym Systemie Cyberbezpieczeństwa nakłada na kierownika jednostki (jako na podmiot objęty dyrektywą) konkretne zadania, z których nie można zwolnić się poprzez delegację uprawnień:

  • Udział w szkoleniach: Zarząd placówki medycznej ma ustawowy obowiązek regularnego podnoszenia kompetencji w zakresie cyberzagrożeń.
  • Zatwierdzanie analizy ryzyka: To zarząd podejmuje ostateczną decyzję o akceptacji ryzyka. Jest to kluczowy element, jaki wprowadza Dyrektywa NIS2.
  • Zapewnienie zasobów: Obowiązkiem dyrektora jest zagwarantowanie budżetu oraz kadr niezbędnych do utrzymania i rozwoju systemów zarządzania bezpieczeństwem.
  • Nadzór nad audytami: Zlecanie audytów bezpieczeństwa (zgodnie z ustawą co najmniej raz na 2 lata) i egzekwowanie realizacji zaleceń pokontrolnych.

 

Obowiązki w zakresie cyberbezpieczeństwa są ściśle powiązane z nowym reżimem odpowiedzialności prawnej. Zaniedbanie tych kwestii może skutkować nie tylko nałożeniem wielomilionowych kar administracyjnych na szpital, ale przede wszystkim zastosowaniem środków nadzorczych bezpośrednio wobec osób fizycznych, włącznie z tymczasowym zawieszeniem dyrektora w pełnieniu funkcji.
Ustawa o Krajowym Systemie Cyberbezpieczeństwa wprowadza również mechanizm podawania do publicznej wiadomości tożsamości osób odpowiedzialnych za naruszenia, co sprawia, że stawką staje się nie tylko budżet placówki, ale również osobista reputacja zawodowa menedżera. W nowej rzeczywistości prawnej każda decyzja o odmowie finansowania kluczowych zabezpieczeń musi być traktowana jako świadome przyjęcie ryzyka osobistego przez zarząd. Zarządzanie bezpieczeństwem w szpitalach przestało mieć wymiar bezosobowy z rozproszoną odpowiedzialnością i niskim priorytetem oddziaływania na codzienne funkcjonowania jednostek ochrony zdrowia.

Jakie działania powinien podjąć kierownik IT w obliczu wprowadzenia dyrektywy NIS 2?

Dział IT powinien rozpocząć prace dostosowawcze niezwłocznie, wykorzystując okres vacatio legis. Wzrost cyberzagrożeń w sektorze medycznym wymusza podjęcie działań wyprzedzających, które nie wymagają dużych nakładów inwestycyjnych, lecz nakładów pracy.
Priorytetem jest weryfikacja polityki kopii zapasowych. Należy upewnić się, czy szpital posiada gwarancję ciągłości działania w oparciu o backupy przechowywane w trybie offline (odseparowane fizycznie lub logicznie od sieci produkcyjnej). W przypadku ataku ransomware jest to jedyny mechanizm gwarantujący odzyskanie danych.

Drugim obszarem jest zarządzanie systemami informatycznymi w kontekście tożsamości użytkowników. Należy przeprowadzić przegląd kont, odebrać dostępy byłym pracownikom i ograniczyć uprawnienia administracyjne do niezbędnego minimum. Realizuje to wymogi dotyczące cyberbezpieczeństwa i uszczelnia system przed atakami wewnętrznymi.
Wprowadzenie dyrektywy NIS 2 jest wielopoziomowym i kosztownym zadaniem, niemniej jednak są obszary, w których podjęcie działań może się odbyć bez dużych wydatków i przyspieszyć dostosowanie do nowych regulacji w zakresie cyberbezpieczeństwa szpitala.
Postępujący wzrost cyberzagrożeń sprawia, że zarząd placówki medycznej, jak i dział IT powinni w miarę możliwości operacyjnych i zdolności finansowych na bieżąco podnosić poziom cyberbezpieczeństwa szpitala.

Jak NIS 2 zmienia perspektywę bezpieczeństwa w oczach personelu medycznego?

Dla lekarzy, pielęgniarek i personelu administracyjnego wprowadzenie dyrektywy NIS oznacza koniec ery „cyfrowej beztroski”. Opieka zdrowotna w coraz większym stopniu opiera się na danych cyfrowych, a dostępność historii choroby czy wyników badań determinuje szybkość i trafność diagnozy. Dlatego w nowej rzeczywistości prawnej cyberbezpieczeństwo przestaje być domeną informatyków, a staje się integralnym elementem bezpieczeństwa pacjenta, na równi z procedurami sanitarnymi. Dostosowanie do dyrektywy NIS 2 oznacza zmianę kultury pracy w odniesieniu do narzędzi cyfrowych, przestrzeganie procedur bezpieczeństwa oraz gotowość do pracy w sytuacji, gdy systemy informatyczne zostaną wyłączone z użytku w skutek cyberataku na szpital.
Wzrost cyberzagrożeń w dużej mierze jest ukierunkowany na próby wyłudzenia danych medycznych lub dostępów do systemów medycznych. Odbywa się poprzez wysyłanie fałszywych wiadomości e-mail lub sms, w których hakerzy podszywają się pod organy nadzorcze (np. NFZ, ZUS), podmioty świadczące usługi medyczne współpracujące ze szpitalami oraz wykradzione dane personalne innych pracowników szpitala.

Personel jako pierwsza linia obrony i główny cel ataku

Statystyki incydentów pokazują, że nowoczesne systemy IT są trudne do przełamania technicznego, dlatego cyberprzestępcy coraz częściej celują w człowieka. Personel medyczny, pracujący pod presją czasu i w stresie, jest idealnym celem ataków socjotechnicznych (phishing). Nowe regulacje dotyczące cyberbezpieczeństwa wymuszają na pracownikach wyrobienie nawyku ograniczonego zaufania do przychodzących wiadomości e-mail czy próśb o zmianę hasła. Odporność szpitala zależy teraz nie tylko od jakości serwera, ale od czujności lekarza dyżurnego, który nie kliknie w podejrzany załącznik.
Co więcej personel medyczny musi być świadomy, że opieka zdrowotna to wielki zbiór danych i informacji, które są celem ataków. Dlatego ich ochrona powinna być traktowana priorytetowo.

Koniec niebezpiecznych praktyk i nowe standardy logowania

Wymogi dotyczące cyberbezpieczeństwa eliminują stosowanie ryzykownych praktyk, które przez lata były tolerowane ze względu na „wygodę pracy”. Współdzielenie haseł przez personel dyżurujący, zapisywanie kodów dostępu na kartkach przyklejonych do monitora ułatwiało codzienną pracę. Dostosowanie do dyrektywy NIS 2 uniemożliwia dalsze zachowanie takiej praktyki.

Wdrożenie unijnej dyrektywy sprawi, że standardem w dostępie do systemów HIS/EDM oraz poczty służbowej stanie się uwierzytelnianie wieloskładnikowe (MFA). Choć konieczność potwierdzania logowania drugim składnikiem (np. tokenem lub kartą zbliżeniową) wprowadza dodatkową czynność w procesie, jest to cena niezbędna za bezpieczeństwo danych pacjentów. Celem jest uniemożliwienie przejęcia tożsamości cyfrowej lekarza, co mogłoby posłużyć do wyłudzeń leków, fałszowania dokumentacji medycznej lub autoryzacji fałszywych przelewów. Ochrona tożsamości pracownika staje się tak samo ważna, jak ochrona danych osobowych pacjenta.

Jak NIS 2 zmienia perspektywę wyboru partnerów i dostawców usług cyfrowych?

Dział Zamówień Publicznych musi zaktualizować kryteria oceny ofert w postępowaniach przetargowych. Bezpieczeństwo łańcucha dostaw wymaga, aby każdy dostawca oprogramowania (HIS, ERP) czy aparatury medycznej gwarantował zgodność z przyjętymi normami bezpieczeństwa. Szpital, jako placówka medyczna będąca elementem infrastruktury krytycznej, jest odpowiedzialny za weryfikację swoich kontrahentów.

Jako podmiot objęty regulacją, szpital będzie wymagał od partnerów:

  • Przedstawienia certyfikatów bezpieczeństwa (np. ISO 27001).
  • Gwarancji czasów reakcji (SLA) na incydenty bezpieczeństwa.
  • Zapewnienia aktualizacji bezpieczeństwa (security patches) przez cały okres trwania umowy.
NIS 2 w szpitalu wybór dostawcy IT

Dostawcy usług medycznych i IT, którzy nie dostosują swoich produktów do wymogów bezpieczeństwa, mogą zostać skutecznie wykluczeni z postępowań przetargowych ze względów formalnych. Podmioty świadczące usługi dla szpitali podlegają tym samym rygorom weryfikacji, co sam szpital, dlatego relacja z dostawcą musi ewoluować z czysto handlowej w partnerską odpowiedzialność za ciągłość działania.
Aby skutecznie zabezpieczyć interesy szpitala, w nowych umowach warto zawrzeć trzy kluczowe klauzule:

  1. Prawo do audytu: Zapis gwarantujący szpitalowi (lub wskazanemu audytorowi) możliwość fizycznej weryfikacji poziomu zabezpieczeń u dostawcy w trakcie trwania kontraktu.
  2. Software bill of materials: Wymóg dostarczenia pełnej listy komponentów i bibliotek użytych w oprogramowaniu. Pozwala to na błyskawiczną ocenę ryzyka, gdy w świecie IT pojawi się informacja o luce w popularnym komponencie.
  3. Procedura wyjścia: Precyzyjne określenie, w jakim formacie i czasie dostawca zwróci dane pacjentów w przypadku rozwiązania umowy lub upadłości firmy, aby zapewnić ciągłość leczenia.

Jak podmioty objęte dyrektywą mogą spełnić obowiązek zgłaszania incydentów?

Zarządzanie incydentami cybernetycznymi to jeden z filarów nowej ustawy. Procedura raportowania incydentów w trybie 24-godzinnym wymaga posiadania zdefiniowanych ścieżek komunikacyjnych.

Każdy szpital musi posiadać procedurę reagowania na incydenty, która precyzuje:

  1. Kto wewnątrz organizacji dokonuje klasyfikacji zdarzenia jako poważny incydent bezpieczeństwa (mogący powodować zagrożenia zdrowia publicznego).
  2. Kto odpowiada za wysłanie zgłoszenia do właściwego CSIRT (Krajowy System Cyberbezpieczeństwa – NASK lub GOV).
  3. Kto odpowiada za komunikację z Inspektorem Ochrony Danych w kontekście RODO i zarządzania bezpieczeństwem danych.

Aby spełnić ten wymóg technicznie, niezbędne jest wdrożenie narzędzi monitorujących sieć (SIEM/SOC), które pozwolą na wczesną detekcję anomalii. Wdrożenie procedur bezpieczeństwa w zakresie raportowania jest kluczowe dla uniknięcia sankcji administracyjnych za zatajenie incydentu.

Jak dostosować aktualną infrastrukturę IT szpitala do NIS 2?

Wdrożenie dyrektywy NIS w warstwie technicznej nie musi oznaczać natychmiastowej wymiany całej infrastruktury sprzętowej, co znacząco podniosłoby koszty zarządzania bezpieczeństwem w szpitalach. Kluczem do optymalizacji jest zaawansowana segmentacja sieci. Szpitale muszą odejść od architektury płaskiej na rzecz separacji stref.

Niezbędne jest wydzielenie VLAN-ów:

  • Sieć dla aparatury medycznej (OT) – bez bezpośredniego dostępu do Internetu.
  • Sieć administracyjna i dla systemów HIS.
  • Odizolowana sieć Wi-Fi dla pacjentów (Gość).

W przypadku starszych systemów, kluczowych dla sektora medycznego, rozwiązaniem jest zastosowanie wirtualnej izolacji (mikrosegmentacja) i ścisła kontrola ruchu sieciowego na poziomie firewall. Takie podejście pozwala spełnić wymogi dotyczące cyberbezpieczeństwa narzucone przez NIS 2 i utrzymać szczelny system, bez konieczności natychmiastowej wymiany kosztownej aparatury diagnostycznej.

NIS 2 w szpitalu - infrastruktura IT

Jak implementacja NIS 2 w Polsce wpłynie na bezpieczeństwo państwa?

Wejście w życie znowelizowanej ustawy o Krajowym Systemie Cyberbezpieczeństwa ma wymiar wykraczający poza mury pojedynczej placówki. Wdrożenie dyrektywy NIS w sektorze ochrony zdrowia, energetyki czy transportu, stanowi fundament budowy realnej odporności państwa.
Skoro tak wiele kluczowych sektorów gospodarki przejdzie transformację bezpieczeństwa, wpłynie to bezpośrednio na stabilność funkcjonowania społeczeństwa w sytuacjach kryzysowych.

Efektem ubocznym, ale niezwykle pożądanym, będzie wzrost powszechnej świadomości zagrożeń cyfrowych. Podobnie jak szkolenia z pierwszej pomocy stały się standardem społecznym, tak podstawowa higiena cybernetyczna (rozpoznawanie phishingu, ochrona tożsamości) stanie się kompetencją powszechną wśród setek tysięcy pracowników sektora ochrony zdrowia.

ustawa o Krajowym Systemie Cyberbezpieczeństwa

Co istotne, ten skok jakościowy nie ogranicza się wyłącznie do personelu medycznego. Mechanizm weryfikacji łańcucha dostaw sprawia, że wymogi bezpieczeństwa „promieniują” na tysiące firm kooperujących ze szpitalami. Pracownicy dostawców oprogramowania, firm serwisowych czy logistycznych, aby utrzymać kontrakty z sektorem kluczowym, również muszą zostać objęci rygorem szkoleniowym i procedurami bezpieczeństwa.
W ten sposób sektor medyczny obok innych kluczowych sektorów gospodarki staje się swoistym hubem edukacyjnym, wymuszającym podniesienie kompetencji cyfrowych w szerokim otoczeniu biznesowym, co w skali makro buduje szczelną kulturę bezpieczeństwa w całym państwie.

Jak będzie wyglądać zarządzanie bezpieczeństwem w szpitalach po wdrożeniu dyrektywy NIS 2?

Dyrektywa NIS 2 i jej implementacja w postaci ustawy o KSC narzuca wiele nowych obowiązków, jednak w dłuższej perspektywie wymusza profesjonalizację kadry zarządzającej. Szpitale, dotychczas skupione na procedurach medycznych, zyskają kompetencje w obszarze zarządzania kryzysowego i ciągłości działania.

Nowe przepisy wymuszają ćwiczenia i testowanie scenariuszy awaryjnych. Dzięki temu placówki medyczne zdobędą unikalne know-how w zakresie reagowania na incydenty. Ustrukturyzowana, przećwiczona gotowość na sytuacje kryzysowe przekłada się na sprawniejsze zarządzanie placówką na co dzień. W efekcie, zarządzanie bezpieczeństwem w szpitalach przestanie być reaktywne („gaszenie pożarów”), a stanie się procesem planowanym, mierzalnym i audytowalnym.

Ochrona inwestycji KPO. Cyberbezpieczeństwo jako fundament rozwoju technologicznego

Pojawia się obawa, że przepisy dotyczące cyberbezpieczeństwa przytłoczą zasadniczą funkcję szpitala, jaką jest ratowanie życia, narzucając nadmierną ostrożność blokującą pracę lekarzy. Jest to jednak fałszywa dychotomia. Polskie szpitale przeszły w ostatnich latach gigantyczną transformację cyfrową. Projekty realizowane na masową skalę w 2026 roku, finansowane m.in. ze środków KPO, sprawiły, że opieka zdrowotna stała się wysoce zaawansowana technologicznie od robotyki chirurgicznej po algorytmy AI wspierające diagnostykę obrazową.

Cyberbezpieczeństwo szpitala - ochrona infrastruktury IT

W tym kontekście ustawa o KSC i wspomniane powyżej wymogi dotyczące cyberbezpieczeństwa nie są hamulcem, lecz niezbędnym „systemem immunologicznym” dla tej nowoczesnej infrastruktury. Regulacje te porządkują i chronią wielomilionowe inwestycje, które zostały już poczynione. Zarządzanie bezpieczeństwem w szpitalach w obszarze cyberprzestrzeni jest tożsame z bezpieczeństwem medycznym. Bez sprawnego IT nowoczesna medycyna po prostu nie może funkcjonować. NIS 2 w szpitalu nie zmienia placówki medycznej w firmę IT, ale uznaje fakt, że technologia stała się ważnym elementem współczesnej medycyny.

NIS 2 w szpitalu a podaż ekspertów od cyberbezpieczeństwa

Obowiązki w zakresie cyberbezpieczeństwa, które wprowadza ustawa O KSC doprowadzą do zderzenia się z realiami rynku pracy. W Polsce podobnie jak w całej Unii Europejskiej, brakuje wykwalifikowanych specjalistów ds. cyberbezpieczeństwa. Ustawa o KSC jeszcze bardziej pobudzi popyt na ekspertów posiadających specyficzne kompetencje (audytorów wiodących, architektów bezpieczeństwa, analityków SOC), windując ich wynagrodzenia do poziomów często nieosiągalnych dla sektora publicznego.

Dla wielu szpitali zatrudnienie pełnoetatowego zespołu bezpieczeństwa będzie ekonomicznie nieuzasadnione lub niemożliwe. Rozwiązaniem, które dopuszcza ustawodawca, jest korzystanie z usług podmiotów zewnętrznych. Firmy oferujące usługi wspierające i doradcze (w modelu Cybersecurity as a Service) stanowią efektywną alternatywę. Pozwalają one szpitalom na dostęp do wysokiej klasy ekspertów i technologii w ramach stałej umowy ryczałtowej, co zapewnia zgodność z ustawą bez konieczności konkurowania o talenty z sektorem bankowym czy komercyjnym.

NIS 2 w szpitali - od obowiązku regulacyjnego do cyfrowej odporności

Podpis Prezydenta pod nowelizacją ustawy o KSC zamknie etap legislacyjny, a otworzy czas weryfikacji dojrzałości organizacyjnej polskich szpitali. NIS 2 w szpitalu nie powinna być postrzegana jedynie przez pryzmat grożących sankcji czy biurokratycznej uciążliwości. Są to przede wszystkim ramy prawne, które podnoszą cyberbezpieczeństwo do rangi priorytetu klinicznego, na równi z aseptyką czy dostępnością leków. W dobie cyfrowej medycyny, odporność na cyberataki jest warunkiem koniecznym do zagwarantowania bezpieczeństwa pacjenta.

Dla kadry zarządzającej nadchodzi czas trudnych decyzji i konieczności balansowania między wymogami prawa, ograniczonym budżetem a deficytem specjalistów na rynku. Kluczem do sukcesu nie jest jednak zakup najdroższych technologii, lecz zmiana podejścia: przejście od doraźnego „łatania dziur” do budowy systemowej, mierzalnej odporności operacyjnej.

W Coongi rozumiemy specyfikę sektora medycznego i wiemy, że wdrożenie dyrektywy NIS 2 w żywym organizmie szpitala to złożone przedsięwzięcie. W naszym przekonaniu punktem wyjścia każdej zmiany jest analiza sytuacji i określenie celów. Proponujemy przeprowadzenie wstępnego audytu zero, który pozwoli obiektywnie określić poziom dopasowania do unijnej dyrektywy oraz określić priorytety działania i inwestycji.

Sprawdź Audyt zero
Sprawdź Audyt zero