Jak wdrożyć NIS2 w placówce zdrowia? [PORADNIK]

Szacuje się, że 38 000 podmiotów w Polsce musi wprowadzić nowe procedury cyberbezpieczeństwa. Wśród nich jest ok. 1500 placówek zdrowia. To efekt dyrektywy NIS2, którą wprowadza znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa (KSC). Zegar tyka, a pierwszy ważny termin upływa w październiku.

• Dyrektywa NIS2 wprowadza obowiązkowe standardy cyberbezpieczeństwa dla podmiotów ochrony zdrowia i traktuje bezpieczeństwo cyfrowe jako element bezpieczeństwa pacjentów.
• Placówki muszą przeprowadzić samoidentyfikację, zarejestrować się w wykazie KSC do 3 października oraz wdrożyć system zarządzania cyberbezpieczeństwem do kwietnia 2027 roku.
• NIS2 wymaga nie tylko zabezpieczeń technicznych, ale także zarządzania ryzykiem, planów awaryjnych, kontroli dostawców IT i zaangażowania kadry zarządzającej.
• Kluczowym elementem przygotowań jest inwentaryzacja systemów, danych i procesów krytycznych oraz wdrożenie procedur tworzenia kopii zapasowych i odtwarzania danych.
• Regularne szkolenia pracowników pozostają podstawowym narzędziem ochrony, ponieważ większość cyberataków rozpoczyna się od błędów ludzkich i phishingu.

NIS2 to konieczna zmiana

Zapewnienie ciągłości dostępu do usług zdrowotnych jest dziś elementem bezpieczeństwa zarówno pacjentów, jak i państwa. Dlatego sektor ochrony zdrowia został uznany w dyrektywie NIS2 za sektor kluczowy, tym bardziej że skala cyberataków stale rośnie – według danych Centrum e-Zdrowia, liczba incydentów cyberbezpieczeństwa w latach 2021–2025 zwiększyła się aż 12-krotnie.

W marcu 2025 roku ransomware sparaliżował Szpital MSWiA w Krakowie, powodując niedostępność systemu EDM, wstrzymanie planowych przyjęć i przekierowywanie karetek do innych placówek. W ostatnich miesiącach cyberprzestępcy zaatakowali też Samodzielny Publiczny Wojewódzki Szpital Zespolony w Szczecinie, Bonifraterskie Centrum Medyczne, Centrum Medyczne Eskulap oraz Świętokrzyskie Centrum Rehabilitacji.

NIS2 ma wzmocnić sektor zdrowia przed skutkami ataków hakerów, co jednak wiąże się z koniecznością wprowadzenia dodatkowych procedur ochrony danych. Nowe przepisy dotyczą szpitali publicznych i prywatnych, większych przychodni, laboratoriów diagnostycznych, operatorów usług medycznych, części dostawców IT dla zdrowia oraz podmiotów zarządzających infrastrukturą cyfrową wykorzystywaną przez ochronę zdrowia.

Nowe obowiązki, terminy i kary

W podmiotach objętych NIS2, cyberbezpieczeństwo staje się obowiązkiem regulacyjnym, a nie jak dotychczas – luźnymi rekomendacjami. Pierwszym podstawowym krokiem, jaki powinna wykonać każda placówka zdrowia, jest wypełnienie ankiety, która pozwoli ocenić, czy podmiot musi spełnić obowiązki wynikające z ustawy o KSC i dyrektywy NIS2. Tzw. pre-weryfikację zgodności z zaleceniami NIS2 można przeprowadzić na udostępnionej przez rząd stronie www (kliknij tutaj).

Nawet jeśli z ankiety wyjdzie, że NIS2 nie dotyczy twojej placówki, nie oznacza to, że nie zmieni się to w przyszłości (np. w wyniku fuzji, zwiększenia skali działania itd.). Druga ważna wiadomość: otrzymanie wyniku weryfikacji „NIS 2 nie ma zastosowania do twojej działalności” nie zwalnia z obowiązków dokonania rejestracji w Wykazie KSC (kliknij tutaj).
Tę trzeba przeprowadzić do 3 października. Niektóre podmioty zostaną wpisane do KSC z urzędu i otrzymają odpowiednie zawiadomienie.

Wdrożenie pełnego systemu zarządzania cyberbezpieczeństwem trzeba zamknąć do 3 kwietnia 2027 roku. Po 24 miesiącach od momentu spełnienia przesłanek uznania za podmiot kluczowy należy przeprowadzić pierwszy audyt zgodności z przepisami, aby potwierdzić realizację obowiązków i przygotować się do kontroli organów państwowych. A kary za niedociągnięcia – przykładowo za brak Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) lub niezgłoszenie incydentu albo lekceważenie obowiązków technicznych i organizacyjnych – mogą być dotkliwe (nawet do 10 mln euro lub 2% rocznego obrotu).

Dobra wiadomość jest taka, że regulacja opiera się na zasadzie proporcjonalności – wymagania dla dużego szpitala są dużo wyższe niż dla małej przychodni. Jest i zła – zbudowanie modelu bezpieczeństwa zgodnego z NIS2 wymaga wdrożenia nowego modelu zarządzania ryzykiem, co trwa kilka miesięcy i kosztuje. Niektóre szpitale otrzymały na wzmocnienie cyberbezpieczeństwa pieniądze z KPO. Pozostałe będą musiały sfinansować proces dostosowawczy z własnych środków.

Samoidentyfikacja dokonana. Czas na inwentaryzację

Błędem jest myślenie, że wystarczy oddelegować wdrożenie obowiązków NIS2 do działu IT. Przepisy wymagają zaangażowania zarządu i odpowiedzialności kierownictwa. Dlatego kolejnym krokiem jest stworzenie zespołu odpowiedzialnego za cyberbezpieczeństwo. W jego skład powinien wejść:

• dział IT,
• dyrekcja,
• inspektor ochrony danych,
• dział prawny,
• administracja,
• przedstawiciele pionów klinicznych,
• osoby odpowiedzialne za ciągłość działania.

NIS2 wychodzi z logicznego założenia, że skoro cyberatak dotyka każdej komórki organizacyjnej i w każdej może się zacząć, to strategią ochrony musi być objęty każdy element szpitala.

Kolejnym elementem jest inwentaryzacja, która polega na odpowiedzi na kilka pytań:

• Które systemy są krytyczne dla bezpieczeństwa działania placówki?
• Jakie procesy mogą zostać zakłócone w wyniku cyberataku?
• Jakie dane są najbardziej wrażliwe?
• Które urządzenia stanowią największe zagrożenie dla bezpieczeństwa informacyjnego?

Hakerzy najczęściej wkradają się do systemu szpitala za pomocą phishingu, ale także wykorzystując luki ochrony w postaci nieaktualnych systemów operacyjnych albo urządzeń medycznych wpiętych do internetu (np. systemów, urządzeń medycznych).

Jeśli już wiemy, jakie zasoby IT mamy, przechodzimy do budowania zabezpieczeń. Pierwszym i najważniejszym jest stworzenie mechanizmu automatycznego tworzenia kopii zapasowych i procedur odtwarzania danych na wypadek ataku hakerów. Następnie przeprowadza się segmentację sieci, czyli podział infrastruktury IT na mniejsze, odseparowane od siebie części. W efekcie, szpitalny system IT musi działać w innej sieci niż np. sieć Wi-Fi dla pacjentów. Każdy pracownik musi mieć tylko niezbędne uprawnienia dostępu do zasobów IT, podzielone zgodnie z rolami.

Już po stronie działu IT są regularna aktualizacja infrastruktury IT, monitoring incydentów bezpieczeństwa danych i ich raportowanie, ochrona poczty elektronicznej oraz stworzenie procedur awaryjnych – działań, które szpital lub placówka medyczna uruchamia w sytuacji kryzysowej, np. podczas cyberataku.

Procedury są bezcenne, aby uniknąć jeszcze większego chaosu

Procedury awaryjne precyzują, kto podejmuje decyzje w sytuacji kryzysowej, jak personel ma pracować bez systemów cyfrowych, w jaki sposób zabezpieczyć dane i sprzęt, jak utrzymać ciągłość leczenia pacjentów oraz kiedy i komu zgłosić incydent. W praktyce chodzi m.in. o przejście na dokumentację papierową, alternatywne sposoby komunikacji między oddziałami (np. telefon), manualne przyjmowanie pacjentów bez komputera, odłączanie zainfekowanych komputerów od sieci, procedury odwoływania lub przekierowywania wizyt i karetek, a także kontakt z CERT, policją i UODO.

Włącznie z procedurami trzeba też dokładnie określić, kto za co odpowiada: kto podejmuje decyzję o odłączeniu systemów w przypadku ataku hakerów, kto komunikuje się z mediami, kto przejmuje proces przejścia na dokumentację papierową oraz przywracania działania kluczowych usług.

Wcześniej było zaleceniem, a w NIS2 jest obowiązkiem – chodzi o zarządzanie łańcuchem dostaw. Większe placówki zdrowia powinny już znać zasady w tym obszarze. Podmiot musi sprawdzić, czy dostawcy IT posiadają procedury bezpieczeństwa dotyczące przechowywania danych, kto ma zdalny dostęp do systemów oraz czy umowy zawierają wymagania cyberbezpieczeństwa.

Szkolenia są często ważniejsze niż najlepsze zabezpieczenia technologiczne

90% wszystkich udanych ataków hakerów zaczyna się od phishingu, czyli maila albo wiadomości na telefon, w którym hakerzy podszywają się pod zaufane instytucje i osoby, nakłaniając odbiorcę do kliknięcia zainfekowanego linku lub otwarcia załącznika. W przypadku placówek ochrony mieliśmy już do czynienia z sytuacjami, gdy hakerzy podszywali się pod NFZ albo dostawcę IT, prosząc o zalogowanie się celem pobrania nowej wersji oprogramowania gabinetowego albo wyjaśnienia problemów z rozliczeniem.

Phishingu nie da się zatrzymać zabezpieczeniami technicznymi, dlatego pracownicy muszą wiedzieć, jak go zdemaskować. Dlatego NIS2 kładzie nacisk na cykliczne szkolenia. W przypadku lekarzy, pielęgniarek i pracowników rejestracji powinny się one odbywać co 6 miesięcy. W ramach planu szkoleń można przygotować symulacje phishingu, testować procedury bezpieczeństwa, ćwiczyć przejście na pracę offline.

Każdy pracownik musi wiedzieć, kogo informować o incydentach i nie bać się tego robić w obawie o konsekwencje personalne. W przypadku poważnego incydentu cyberbezpieczeństwa podmiot zdrowia musi zgłosić go do CSIRT Centrum e-Zdrowia, ocenić możliwy wpływ oraz poinformować użytkowników o zagrożeniu i działaniach ochronnych.

Procedura obejmuje trzy etapy: wczesne ostrzeżenie w ciągu 24 godzin (informacja do CSIRT CeZ; ocena, czy to działanie celowe i określenie, czy dotyczy także innych państw UE), szczegółowe zgłoszenie incydentu w ciągu 72 godzin (zgłoszenie formalne do CSIRT CeZ) oraz sprawozdanie końcowe maksymalnie miesiąc po zgłoszeniu. Raporty muszą zawierać m.in. opis incydentu, jego przyczyn, skutków oraz zastosowanych działań naprawczych. Podmioty mogą także przekazywać informacje o podatnościach, ryzykach i cyberzagrożeniach przez system S46 lub inne kanały komunikacji, pamiętając o oznaczeniu danych objętych tajemnicą przedsiębiorstwa.

Czytaj także: Pobierz bezpłatny poradnik bezpieczeństwa danych w placówlkach ochrony zdrowia