Dyrektywa NIS2 w ochronie zdrowia – nowe obowiązki, większa odpowiedzialność i cyfrowe bezpieczeństwo pacjentów - Mazowieckie Biuro Rozliczeń Kontraktów

Dyrektywa NIS2 w ochronie zdrowia – nowe obowiązki, większa odpowiedzialność i cyfrowe bezpieczeństwo pacjentów

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dalej jako: „Dyrektywa NIS2”) (Dz. Urz. UE L 333 z 27.12.2022, str. 80) stanowi najważniejszą od lat reformę europejskiego systemu cyberbezpieczeństwa. Jej celem jest podniesienie odporności państw członkowskich UE oraz kluczowych sektorów gospodarki na cyberzagrożenia poprzez wprowadzenie jednolitych zasad zarządzania ryzykiem, raportowania incydentów oraz nadzoru nad bezpieczeństwem systemów informatycznych. Regulacja obejmuje 18 sektorów uznanych za krytyczne dla funkcjonowania państwa i społeczeństwa, w tym ochronę zdrowia, energetykę, transport, finanse czy administrację publiczną.

Dyrektywa NIS2 znacząco rozszerza zakres podmiotów objętych obowiązkami w porównaniu z poprzednią Dyrektywą NIS1. Nowe przepisy wprowadzają wyraźne wymogi dotyczące zarządzania ryzykiem cybernetycznym, reagowania na incydenty oraz odpowiedzialności kadry zarządzającej. Organizacje z sektorów kluczowych i ważnych, w tym podmioty medyczne, muszą wdrożyć adekwatne środki techniczne i organizacyjne, a także raportować poważne incydenty do właściwych organów krajowych.

Ochrona zdrowia jako sektor krytyczny

W kontekście Dyrektywy NIS2 sektor ochrony zdrowia zyskuje szczególne znaczenie. Cyfryzacja usług medycznych, rozwój systemów e-zdrowia, telemedycyny i elektronicznej dokumentacji medycznej powodują, że placówki medyczne stają się atrakcyjnym celem dla cyberprzestępców. Atak na systemy szpitalne może prowadzić do zakłóceń w realizacji świadczeń, co pośrednio wpływa na bezpieczeństwo pacjentów oraz poufność danych medycznych.

Dyrektywa nakłada na podmioty ochrony zdrowia obowiązek wdrożenia kompleksowego podejścia do cyberbezpieczeństwa, obejmującego m.in.:

zarządzanie ryzykiem i podatnościami,
bezpieczeństwo łańcucha dostaw,
procedury reagowania na incydenty,
ciągłość działania i odtwarzanie po awarii,
szkolenia i podnoszenie świadomości personelu.

Jednocześnie zwiększona została odpowiedzialność zarządów i kierownictwa jednostek, które mogą ponosić konsekwencje za brak zgodności z wymogami Dyrektywy NIS2.

Implementacja Dyrektywy NIS2 w Polsce – nowelizacja ustawy o KSC

W styczniu 2026 r. Sejm uchwalił nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa (dalej jako: „KSC”), która stanowi podstawę wdrożenia Dyrektywy NIS2 do polskiego porządku prawnego. Ustawę przekazano w dniu 29 stycznia 2026 r. Prezydentowi do podpisu. Nowe przepisy mają na celu wzmocnienie odporności cyfrowej państwa oraz dostosowanie krajowych regulacji do unijnych wymogów dotyczących zarządzania ryzykiem, raportowania incydentów i nadzoru nad podmiotami kluczowymi i ważnymi.

Jedną z najważniejszych zmian jest rozszerzenie katalogu sektorów objętych systemem cyberbezpieczeństwa. Do istniejących obszarów dołączą kolejne branże uznane za wrażliwe z punktu widzenia funkcjonowania państwa i obywateli, m.in. gospodarka ściekowa, usługi pocztowe, produkcja żywności i chemikaliów czy sektor kosmiczny. Rozszerzenie to wynika bezpośrednio z zakresu Dyrektywy NIS2, która obejmuje większą liczbę sektorów niż poprzednie regulacje.

Nowelizacja przewiduje także utworzenie nowych sektorowych zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT). Ich zadaniem będzie wspieranie obsługi incydentów w poszczególnych branżach, budowanie wiedzy o zagrożeniach i podatnościach oraz zwiększenie skuteczności reagowania na ataki. W praktyce oznacza to bardziej wyspecjalizowane wsparcie dla podmiotów z konkretnych sektorów, w tym również ochrony zdrowia.

Zmiany wzmacniają również kompetencje organów odpowiedzialnych za cyberbezpieczeństwo. Organy właściwe dla poszczególnych sektorów będą mogły m.in. wydawać ostrzeżenia, nakazywać przeprowadzenie audytów bezpieczeństwa czy wyznaczać urzędników monitorujących realizację obowiązków przez podmioty kluczowe. Minister Cyfryzacji zyska natomiast możliwość wydawania poleceń zabezpieczających w sytuacji incydentów krytycznych, a także prowadzenia programów edukacyjnych i kampanii zwiększających świadomość cyberzagrożeń.

Istotną zmianą jest również formalne wprowadzenie podziału na podmioty kluczowe i podmioty ważne, zgodnie z Dyrektywą NIS2. Podmioty te będą zobowiązane do wdrożenia adekwatnych środków technicznych i organizacyjnych, dostosowanych do charakteru świadczonych usług i poziomu ryzyka. Przepisy wprowadzają także odpowiedzialność kierownictwa za realizację obowiązków z zakresu cyberbezpieczeństwa oraz usprawniają procedury zgłaszania incydentów do zespołów CSIRT.

Nowelizacja zakłada ponadto rozszerzenie Strategii Cyberbezpieczeństwa RP na wszystkie sektory z podmiotami kluczowymi i ważnymi oraz wprowadzenie krajowego planu reagowania na incydenty i sytuacje kryzysowe w cyberprzestrzeni. Ma to zapewnić spójne podejście do zarządzania ryzykiem i reagowania na zdarzenia o dużej skali.

Co to oznacza dla podmiotów medycznych?

Dla szpitali, przychodni, laboratoriów diagnostycznych czy operatorów systemów e-zdrowia implementacja Dyrektywy NIS2 oznacza przejście z modelu reaktywnego na model systemowego zarządzania ryzykiem cybernetycznym. W praktyce będzie to wymagało:

formalnego zidentyfikowania zasobów i procesów krytycznych,
wdrożenia polityk bezpieczeństwa i procedur reagowania,
regularnych analiz ryzyka i audytów,
budowy kompetencji personelu w zakresie cyberhigieny,
przygotowania procesów raportowania incydentów.

W wielu placówkach oznacza to konieczność modernizacji infrastruktury IT, uporządkowania zarządzania dostępami, wzmocnienia zabezpieczeń systemów medycznych oraz uregulowania relacji z dostawcami usług i sprzętu.

Kierunek zmian: cyberbezpieczeństwo jako element jakości opieki

Dyrektywa NIS2 wprowadza fundamentalną zmianę podejścia do cyberbezpieczeństwa w ochronie zdrowia. Nie jest ono już wyłącznie kwestią techniczną, lecz elementem bezpieczeństwa pacjenta i ciągłości świadczeń. Nowe regulacje wzmacniają odpowiedzialność zarządów, wprowadzają jednolite standardy i zwiększają nadzór nad kluczowymi podmiotami.

Dla organizacji medycznych nadchodzące lata będą okresem intensywnych dostosowań. Jednocześnie wdrożenie wymogów Dyrektywy NIS2 może sprzyjać uporządkowaniu środowisk IT, poprawie jakości usług oraz budowie zaufania pacjentów do cyfrowej opieki zdrowotnej.