Przejdź do treści
dyrektywaNIS2

Branża · Załącznik I

NIS2 w ochronie zdrowia

Ochrona zdrowia jest na świecie sektorem najczęściej atakowanym przez ransomware — od WannaCry w NHS w 2017 r. po atak na irlandzki HSE w 2021 r. (sześć tygodni częściowej niewydolności krajowego systemu zdrowia). Od 3 kwietnia 2026 r. Polska jest objęta reżimem NIS2 — nakłada on na szpitale, laboratoria, producentów leków i wyrobów medycznych obowiązki na poziomie Podmiotu Kluczowego — z jednoczesnym kontekstem nakładających się reżimów (MDR, IVDR, ustawa o ochronie zdrowia, dokumentacja medyczna).

Aktualizacja: 11 min czytania

Autor:Dariusz ZającLead vCISO, Cyber Alterity

Załącznik I

Klasyfikacja sektora

wielkie podmioty = Podmiot Kluczowy

4 mies.

Odtwarzanie HSE Ireland po Conti

atak 2021 r. · koszt ~100 mln EUR

MDR + IVDR

Drugi reżim cyber

dla producentów wyrobów medycznych — MDCG 2019-16

Kto z ochrony zdrowia jest w zakresie

Załącznik I dyrektywy NIS2 wskazuje „ochronę zdrowia" jako sektor wysokiej krytyczności. Polski projekt nowelizacji ustawy o KSC obejmuje tym pojęciem cztery główne kategorie podmiotów:

  • Podmioty lecznicze — szpitale, kliniki, instytuty badawczo-rozwojowe (IGiChP, Centrum Onkologii, Instytut Hematologii), ośrodki rehabilitacyjne. W praktyce każdy szpital powiatowy i wyższego stopnia referencyjności wpada w zakres.
  • Laboratoria referencyjne UE — desygnowane przez Komisję Europejską jednostki o szczególnej roli w diagnostyce chorób zakaźnych. W Polsce m.in. NIZP-PZH (Narodowy Instytut Zdrowia Publicznego — Państwowy Zakład Higieny).
  • Producenci leków — substancji czynnych i wyrobów farmaceutycznych. Polski rynek to m.in. Polpharma, USP Zdrowie, Adamed, Polfa Tarchomin, Bioton, Aflofarm.
  • Producenci wyrobów medycznych objętych rozporządzeniami MDR (2017/745) i IVDR (2017/746). W Polsce m.in. Mabion, Selvita, Cryomatic, większe firmy stomatologiczne i ortopedyczne.

Próg klasyfikacji jest jednolity — średnie i duże przedsiębiorstwa są w zakresie. Próg dla szpitala (zazwyczaj 50+ osób personelu medycznego i administracyjnego) jest przekroczony niemal zawsze, więc niemal każdy szpital powiatowy jest Podmiotem Kluczowym lub Ważnym w zależności od skali. Duzi gracze (kliniki uniwersyteckie, duzi producenci leków) automatycznie kwalifikują się jako Podmiot Kluczowy z mocy skali.

Specyfika sektora — DICOM, EHR, urządzenia medyczne

Cyberbezpieczeństwo w służbie zdrowia rządzi się odmiennymi regułami niż w typowym IT korporacyjnym. Trzy obszary wymagają dedykowanej uwagi.

Po pierwsze, systemy obrazowania DICOM. Pracownie radiologiczne (RTG, CT, MRI, USG) generują obrazy w standardzie DICOM, składowane na serwerach PACS (Picture Archiving and Communication System). Protokół DICOM ma długą historię luk bezpieczeństwa — m.in. brak natywnego szyfrowania ruchu i predefiniowane uprawnienia dostępu. Każdy nowoczesny szpital ma kilkanaście do kilkudziesięciu modalności DICOM podłączonych do sieci szpitalnej. Każda z nich to potencjalny wektor wejścia dla atakującego.

Po drugie, urządzenia medyczne podłączone do sieci. Respiratorzy, pompy infuzyjne, monitory pacjenta, urządzenia dializy, łóżka inteligentne — wszystkie współcześnie komunikują się z systemami centralnymi. Większość ma firmware, którego producent nie aktualizuje (lub aktualizuje tylko po recertyfikacji MDR — proces trwający miesiące). Atak na te urządzenia może mieć bezpośrednie konsekwencje dla zdrowia i życia pacjenta — to nie jest abstrakcja, to FDA wydaje regularne alerty.

Po trzecie, EHR i integracja z NFZ. Polski szpital prowadzi elektroniczną dokumentację medyczną w systemach takich jak Asseco AMMS, CGM CLININET, Eskulap (Asseco), KAMSOFT KS-MEDIS. Awaria EHR oznacza w praktyce powrót do dokumentacji papierowej, który w nowoczesnym szpitalu jest fizycznie niemożliwy do utrzymania powyżej 24–48 godzin. Dodatkowo, brak komunikacji z platformą P1 NFZ (e-recepta, e-skierowanie, e-zwolnienie) paraliżuje obsługę pacjentów ambulatoryjnych.

HSE Ireland 2021 — przypadek, który zmienił sektor

Atak ransomware Conti na irlandzki Health Service Executive w maju 2021 r. doprowadził do wyłączenia większości systemów IT centralnej organizacji NHS Irlandii i ponad 50 szpitali. Pełne odtworzenie zajęło ponad 4 miesiące, koszt szacowany na 100 mln EUR. Bezpośrednie konsekwencje dla pacjentów: odwołane operacje, opóźnione diagnozy onkologiczne, powrót do papierowych skierowań w skali kraju.

HSE nie miał formalnie CISO w momencie ataku. Po audycie powydarzeniowym powstała pozycja Chief Information Security Officer z budżetem 25 mln EUR. Wektor wejścia: phishing załącznika Excel u pracownika administracyjnego — następnie eskalacja przywilejów w Active Directory, lateralne przemieszczanie się po niesegmentowanej sieci szpitalnej przez ok. 8 tygodni przed detonacją ransomware. Tu Polska ma realne ryzyko powtórzenia tego scenariusza w każdym średnim szpitalu wojewódzkim.

Regulatorzy — wielowarstwowy nadzór

Organ właściwy do spraw cyberbezpieczeństwa

Minister Zdrowia

Współsprawowanie nadzoru: Minister Obrony Narodowej. Organy mogą wspólnie prowadzić kontrole i przyjąć wspólną metodykę nadzoru (Min. Cyfr. pkt 11.2).

Minister Obrony Narodowej nadzoruje podmioty ochrony zdrowia podległe MON (szpitale wojskowe, służby medyczne sił zbrojnych). Reszta sektora — Minister Zdrowia.

Sektor: Ochrona zdrowia. Załącznik nr 1 do ustawy o KSC.

Źródło: Ministerstwo Cyfryzacji, „KSC pytania i odpowiedzi" pkt 11.1.

Organem właściwym do spraw cyberbezpieczeństwa dla sektora ochrony zdrowia jest Minister Zdrowia, zewspółsprawowaniem nadzoru przez Ministra Obrony Narodowej dla podmiotów ochrony zdrowia podległych MON (Min. Cyfr. pkt 11.1). Sektor ma najbardziej rozbudowany zestaw regulatorów branżowych spośród wszystkich sektorów NIS2 — niżej wymienione urzędy są niezbędnymi partnerami operacyjnymi w obszarach koncesji, refundacji, jakości i bezpieczeństwa pacjenta, ale to Minister Zdrowia (oraz MON) wymierza kary administracyjne za naruszenia obowiązków NIS2.

  • CSIRT NASK — kanał raportowania incydentów cyber w trybie 24 h / 72 h / 1 miesiąca dla podmiotów cywilnych. Dla podmiotów wojskowych — kanał wskazany przez MON.
  • Centrum e-Zdrowia (CeZ) — operator platformy P1 i systemu EDM (Elektroniczna Dokumentacja Medyczna), działający pod nadzorem Ministra Zdrowia.
  • NFZ — nadzór finansowy nad placówkami i operator platformy rozliczeniowej. Awaria komunikacji szpitala z NFZ przekłada się na realne ryzyko wstrzymania finansowania.
  • GIF (Główny Inspektorat Farmaceutyczny) — nadzór nad producentami leków i dystrybutorami farmaceutyków.
  • URPL (Urząd Rejestracji Produktów Leczniczych, Wyrobów Medycznych i Produktów Biobójczych) — nadzór nad producentami wyrobów medycznych z zakresu MDR/IVDR.
  • GIS + wojewódzkie PIS — kontrole sanitarne.
  • PUODO — nadzór nad ochroną danych osobowych (dane medyczne są danymi szczególnie wrażliwymi w rozumieniu RODO Art. 9).

W praktyce incydent w polskim szpitalu może wymagać równoległego zgłoszenia do CSIRT NASK (NIS2), PUODO (RODO Art. 33), NFZ (operacyjne) i Ministerstwa Zdrowia (jeśli wpływ na ciągłość opieki). Plan obsługi incydentów musi to przewidzieć.

MDR / IVDR — drugi reżim cyber dla wyrobów medycznych

Producenci wyrobów medycznych objętych MDR/IVDR są w 2026 r. w specyficznej sytuacji — równolegle obowiązują ich:

  • NIS2 / polski KSC — w obszarze cyberbezpieczeństwa procesów produkcji i samej organizacji.
  • MDR/IVDR + MDCG 2019-16 — w obszarze cyberbezpieczeństwa samego wyrobu medycznego (security by design, SBOM, vulnerability disclosure policy). Audytowane przez jednostki notyfikowane podczas oceny zgodności produktu.

Dobra praktyka: jeden system zarządzania bezpieczeństwem informacji łączący wymagania ISO 27001 (organizacja) + ISO 14971 (zarządzanie ryzykiem wyrobu medycznego) + IEC 81001-5-1 (cyberbezpieczeństwo oprogramowania medycznego). To redukuje obciążenie audytowe i pozwala mapować jeden zbiór dowodów na dwa równoległe reżimy.

Praktyczna kolejność wdrożenia w polskim szpitalu

Dla średniego szpitala wojewódzkiego (300–500 łóżek, 800–1500 pracowników) wdrożenie NIS2 zajmuje 9–12 miesięcy intensywnej pracy. Sensowna sekwencja:

  1. Miesiąc 1–2: uchwała dyrekcji o klasyfikacji jako Podmiot Kluczowy lub Ważny, formalne wskazanie osoby odpowiedzialnej (zwykle Zastępca Dyrektora ds. IT, ewentualnie wynajęty vCISO). Audyt zerowy z mapowaniem stanu istniejącego (Asseco AMMS, CGM, EHR, PACS, integracja z P1 NFZ).
  2. Miesiąc 2–3: inwentaryzacja zasobów IT/OT ze szczególnym uwzględnieniem urządzeń medycznych z siecią. Mapa szpitalna pokazująca, które urządzenia są w której strefie.
  3. Miesiąc 3–5: segmentacja sieci — wydzielenie VLAN-u dla urządzeń medycznych, VLAN-u dla DICOM/PACS, VLAN-u biurowego, VLAN-u dla EHR. Firewall na granicach. To największe wyzwanie techniczne — wymaga współpracy z każdym producentem sprzętu medycznego.
  4. Miesiąc 5–7: wdrożenie podstawowych środków z Art. 21 (kopie zapasowe z testami odtworzeniowymi, MFA dla kont uprzywilejowanych, polityka SZBI dostosowana do specyfiki medycznej, dokumentacja zgodności z ISO 27799). Pierwsze szkolenie kadry zarządzającej (Art. 20).
  5. Miesiąc 7–9: plan BCP/DRP z realistycznymi RTO/RPO dla EHR, PACS, P1 NFZ. Procedura awaryjnego powrotu do dokumentacji papierowej dla pierwszych 24–72 godzin.
  6. Miesiąc 9–10: rejestracja w S46, wdrożenie procedury raportowania (CSIRT NASK + PUODO + NFZ + ewentualnie Ministerstwo Zdrowia jako równoległe kanały).
  7. Miesiąc 10–12: testy odtworzeniowe BCP w trybie tabletop z udziałem dyrekcji + ćwiczenie scenariusza ransomware na poziomie HSE Ireland.

Łańcuch dostaw — producenci sprzętu medycznego

Art. 21(2)(d) NIS2 nakłada na szpital obowiązek zarządzania ryzykiem kluczowych dostawców. W ochronie zdrowia lista krytycznych dostawców wygląda specyficznie:

  • Producenci sprzętu obrazowania (Siemens Healthineers, GE Healthcare, Philips, Canon Medical) — typowo ze zdalnym dostępem serwisowym do swoich urządzeń.
  • Producenci EHR (Asseco, CGM, KAMSOFT) — często z dostępem administracyjnym do systemów szpitalnych w ramach umów serwisowych.
  • Operatorzy chmury medycznej — dla szpitali korzystających z PACS w chmurze, telemedycyny.
  • Dostawcy laboratoryjnych systemów LIS — Roche, Beckman Coulter, Siemens Healthineers w obszarze diagnostyki.

Kluczowe klauzule do dodania do umów (szczegóły w blogu Łańcuch dostaw — Art. 21(2)(d)):

  • Wymóg MFA dla wszystkich kont serwisowych dostawcy w środowisku szpitala.
  • Zgłoszenie do szpitala incydentu bezpieczeństwa u dostawcy w 24 h (nawet jeśli nie ma jeszcze potwierdzonego wpływu na klienta).
  • SBOM (Software Bill of Materials) dla wyrobów medycznych — obowiązek wynikający z MDR ułatwia spełnienie wymogów NIS2.
  • Plan koordynacji aktualizacji firmware urządzeń medycznych z procesem recertyfikacji MDR producenta.

Co dalej

Jeżeli Państwa szpital jest w zakresie, kolejnym krokiem jest sprawdzenie klasyfikacji (Podmiot Kluczowy vs Ważny zależy od skali — kliniki uniwersyteckie są zwykle Kluczowymi, szpitale powiatowe Ważnymi). Następnie audyt rozbieżności względem 10 obowiązków z Art. 21 (Obowiązki techniczne Art. 21) i decyzja o modelu CISO (etatowy vs vCISO zewnętrzny).

Marka Cyber Alterity posiada doświadczenie wdrożeniowe w polskich podmiotach leczniczych ze szczególnym uwzględnieniem segmentacji urządzeń medycznych i integracji z platformą P1 NFZ. Bezpłatny audyt zerowy obejmuje weryfikację stanu istniejącego oraz rekomendację kolejności działań pod presją obowiązujących już terminów NIS2.

Umów konsultację