NIS2 w sektorach
NIS2 / KSC dla ochrony zdrowia
Sektor zdrowia jest w załączniku nr 1 („kluczowe”) i obejmuje znacznie więcej niż szpitale: świadczeniodawców, laboratoria referencyjne, producentów substancji farmaceutycznych i leków, producentów krytycznych wyrobów medycznych oraz podmioty prowadzące badania nad lekami. Duże przedsiębiorstwo z tego sektora to podmiot kluczowy, średnie — podmiot ważny. Poniżej: jak sprawdzić kwalifikację, czym różnią się obowiązki w placówce medycznej i u wytwórcy oraz gdzie najczęściej są luki.
Autor: Igor BieleckiAktualizacja: 2026-07-17Stan prawny: 10 lipca 2026 r.Wersja: 1.0
Odpowiedź w 30 sekund
- zdrowie jest w załączniku nr 1: świadczeniodawcy (szpitale, sieci przychodni), laboratoria referencyjne, producenci substancji farmaceutycznych i leków, producenci krytycznych wyrobów medycznych, podmioty badające leki
- duże przedsiębiorstwo → podmiot kluczowy (nadzór proaktywny, cykliczny audyt); średnie → podmiot ważny
- progi: od 50 osób lub ponad 10 mln EUR obrotu albo sumy bilansowej; w grupie kapitałowej dane się sumują
- incydent naruszający dane pacjentów = równolegle zgłoszenie do CSIRT (24/72 h) i do Prezesa UODO (72 h, RODO)
- termin samoidentyfikacji: 3.10.2026; wdrożenie wymagań: do 3.04.2027; pierwszy audyt kluczowych: do 3.04.2028
Czy podmiot z ochrony zdrowia podlega pod KSC — i jako jaki?
Sektor zdrowie w załączniku nr 1 obejmuje: świadczeniodawców (szpitale, sieci przychodni), laboratoria referencyjne, producentów substancji farmaceutycznych i leków, producentów wyrobów medycznych uznanych za krytyczne oraz podmioty prowadzące badania nad lekami. To dlatego wytwórca farmaceutyczny jest podmiotem kluczowym, mimo że potocznie „zdrowie” kojarzy się tylko ze szpitalami.
Kategoria wynika z połączenia sektora i wielkości: duże przedsiębiorstwo (250+ osób lub ponad 50 mln EUR obrotu / 43 mln EUR sumy bilansowej) z załącznika nr 1 to podmiot kluczowy; średnie (od 50 osób lub powyżej 10 mln EUR) — podmiot ważny. Mikro i małe podmioty są co do zasady poza ustawą, ale organ może wskazać podmiot indywidualną decyzją — np. gdy jego zakłócenie miałoby istotny wpływ na bezpieczeństwo publiczne — a podmiot uznany za krytyczny w reżimie odporności (CER) podlega KSC niezależnie od progów wielkości.
Pułapka grup kapitałowych i sieci placówek
Przy liczeniu wielkości uwzględnia się dane przedsiębiorstw partnerskich (25–50%) i powiązanych (powyżej 50%). Pojedyncza spółka z sieci przychodni czy grupy laboratoriów może po zsumowaniu danych przekroczyć próg, mimo że „na własnym NIP-ie” wygląda na małą. Analizę wielkości robi się na poziomie struktury właścicielskiej.
Obowiązki powstają z mocy prawa w dniu spełnienia przesłanek — wpis do wykazu jest deklaratoryjny i może nastąpić z urzędu. Terminy: samoidentyfikacja do 3.10.2026 r., pełne wdrożenie SZBI do 3.04.2027 r., pierwszy obowiązkowy audyt podmiotów kluczowych do 3.04.2028 r. Organem właściwym dla sektora jest minister zdrowia; zgłoszenia incydentów trafiają do właściwego CSIRT przez system S46.
Specyfika obowiązków w ochronie zdrowia
Katalog obowiązków jest wspólny dla wszystkich sektorów — ale w ochronie zdrowia trzy rzeczy ważą szczególnie:
- Podwójny reżim zgłoszeń. Incydent naruszający dane osobowe pacjentów uruchamia równolegle i niezależnie: zegar KSC (wczesne ostrzeżenie 24 h, zgłoszenie 72 h, raport końcowy 1 miesiąc — do CSIRT przez S46) oraz 72-godzinny obowiązek zgłoszenia naruszenia do Prezesa UODO z RODO. Jedno zdarzenie to dwa zgłoszenia do dwóch organów na dwóch formularzach — procedura incydentowa powinna od razu zawierać ścieżkę oceny „czy to także naruszenie ochrony danych”.
- Ciągłość świadczeń. Kopie zapasowe z testami odtworzenia, plany BCP/DRP dla systemów krytycznych z parametrami odtworzenia i właścicielami biznesowymi — o priorytetach decyduje właściciel procesu medycznego lub produkcyjnego, nie IT. Ataki ransomware zatrzymywały szpitale — to jeden z powodów, dla których NIS2 objęła sektor tak szeroko.
- Środowiska OT/urządzenia. U wytwórców leków i wyrobów medycznych ochrona systemów sterowania produkcją musi uwzględniać bezpieczeństwo procesu; klasyfikacja incydentów obejmuje m.in. zagrożenie zdrowia, życia lub produkcji, a wśród minimalnych playbooków powinno się znaleźć „naruszenie OT/produkcji”.
- Łańcuch dostaw. Dostawcy systemów medycznych i laboratoryjnych, serwis urządzeń, usługi chmurowe i outsourcing IT wymagają listy, oceny ryzyka i klauzul w umowach — od informowania o incydentach po prawo audytu.
- Zarząd. Kierownik podmiotu (co do zasady cały zarząd) zatwierdza SZBI, przechodzi coroczne szkolenie i ponosi osobistą odpowiedzialność — delegować można zadania, nie odpowiedzialność.
Typowe luki w podmiotach ochrony zdrowia
- procedura incydentowa bez ścieżki RODO — ocena „czy to także naruszenie danych” odkrywana w 71. godzinie
- brak inwentaryzacji urządzeń i systemów — nie wiadomo, które elementy naprawdę zatrzymują świadczenia lub produkcję
- kopie zapasowe bez testów odtworzenia dla systemów krytycznych
- zdalne dostępy serwisantów urządzeń i systemów bez MFA i bez rejestrowania sesji
- umowy z dostawcami systemów sprzed lat, bez klauzul bezpieczeństwa — luka widoczna w papierach od ręki
- liczenie wielkości na poziomie jednej spółki zamiast całej grupy lub sieci placówek
- brak formalnych decyzji i szkoleń zarządu — dowodów, których organ szuka w pierwszej kolejności
Jak to wygląda w praktyce: wdrożenie u wytwórcy leków
To nasz macierzysty sektor: prowadzimy wdrożenie NIS2/KSC jako podmiot kluczowy u wytwórcy leków z listy leków krytycznych — od analizy ryzyka, przez segmentację IT/OT, po wpis do wykazu i komunikację przez S46. Zakład farmaceutyczny łączy reżim jakościowy z środowiskiem OT/ICS: systemy sterowania procesem, urządzenia laboratoryjne i linie pakujące, których nie można traktować jak stacji biurowych.
Z tego programu wynikają lekcje uniwersalne dla całego sektora zdrowia: parametry odtworzenia i priorytety ustala właściciel procesu (medycznego czy produkcyjnego), nie IT; segmentacja działa jak drzwi przeciwpożarowe — kliknięcie w złośliwy załącznik w administracji nie może otwierać drogi do systemów krytycznych; a w kontroli bronią się dowody operacyjne (rejestr incydentów, raporty z testów odtworzeniowych, zaświadczenia ze szkoleń zarządu), nie segregator polityk.
Świadczeniodawcy (szpitale, sieci przychodni) są w załączniku nr 1. Jeśli organizacja jest co najmniej średnia — od 50 osób lub powyżej 10 mln EUR obrotu albo sumy bilansowej, licząc z przedsiębiorstwami partnerskimi i powiązanymi — co do zasady podlega: średnia jako podmiot ważny, duża jako podmiot kluczowy. Zrób test kwalifikacji, a wynik traktuj jako wstępną ocenę, nie opinię prawną.
Sprawdź status swojej organizacji w 2 minuty
Bezpłatny test kwalifikacji wstępnie wskaże, czy i jako jaki podmiot podlegasz. Na bezpłatnej konsultacji porozmawiamy o specyfice placówki lub zakładu — łącznie z RODO i OT.
Przewodnik po ustawie KSC 2026 (PDF)
Powiązane materiały
Źródła i podstawa opracowania
Igor Bielecki
CIO/CISO, praktyk wdrażający NIS2/KSC jako podmiot kluczowy · PMP · PRINCE2 · ITIL · MBA
Materiały mają charakter edukacyjny i nie stanowią opinii prawnej ani gwarancji zgodności. Zakres obowiązków zależy od indywidualnej sytuacji organizacji, aktualnych przepisów, aktów wykonawczych i stanowisk właściwych organów. Przed podjęciem decyzji wymagającej interpretacji prawa należy przeprowadzić analizę odpowiednią dla danego podmiotu.
Porozmawiajmy o Twojej sytuacji
Bezpłatna, ok. 15-minutowa rozmowa: kwalifikacja, terminy, poziom przygotowania i sensowny pierwszy krok. Bez zobowiązań.
office@ayo-solutions.com