Gdy szpital przechodzi na papier

Gdy szpital przechodzi na papier
NIS2 wchodzi do polskich lecznic w środku fali ataków — i przenosi odpowiedzialność za cyberbezpieczeństwo tam, gdzie zapadają decyzje: na zarząd.
Seria „Nośność systemu ochrony zdrowia" · Artykuł 17
Obszar III — Bezpieczeństwo i odporność
Autor: Michał P. Dybowski — założyciel i współzarządzający Fundacją Healthcare Poland; architekt systemowy i twórca polityk zdrowotnych · stan na 4 czerwca 2026
Noc, która zmieniła wszystko
W nocy z 7 na 8 marca 2026 roku Samodzielny Publiczny Wojewódzki Szpital Zespolony w Szczecinie przestał być instytucją cyfrową. Część zasobów serwerowych została zaszyfrowana, przestępcy zażądali okupu liczonego w milionach dolarów, a placówka przeszła na obieg papierowy.
Trzy tygodnie później rzecznik szpitala mówił wprost, że atak „nie sparaliżował całkowicie szpitala, ale boleśnie zachwiał codzienną pracą, a powrót do pełnej równowagi potrwa na pewno długie tygodnie". Szpital nie miał dostępu do znacznej części danych medycznych pacjentów, część lekarzy nie mogła wystawiać recept ani zwolnień, a konfiguracja ponad tysiąca komputerów stała się zadaniem na tygodnie.
Szczecin, marzec 2026
Ransomware, okup w milionach dolarów, przejście na papier, brak dostępu do danych pacjentów.
Bonifraterskie Centrum Medyczne
Atak ransomware w tym samym miesiącu — CBZC uznało oba zdarzenia za prawdopodobnie powiązane.
Skala zjawiska
1 028 zdarzeń w sektorze zdrowia w 2024 r., już 1 441 w 2025 r. — dane CSIRT Centrum e-Zdrowia.
„To nie jest pytanie »czy«, lecz »kiedy« nastąpi kolejna próba ataku i jak dobrze organizacja będzie na nią przygotowana." — Jeremi Olechnowicz, kierownik Sektorowego Zespołu Cyberbezpieczeństwa CSIRT CeZ
Czym jest NIS2 i dlaczego dotyczy każdego szpitala
19 lutego 2026 roku Prezydent Karol Nawrocki podpisał nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (UKSC), wdrażającą unijną dyrektywę NIS2. Po miesięcznym vacatio legis nowe przepisy weszły w życie 3 kwietnia 2026 roku. Część przepisów — dotyczących dostawców wysokiego ryzyka, poleceń zabezpieczających i kar — skierowano do Trybunału Konstytucyjnego; trzon regulacji pozostaje jednak w mocy.
Ochrona zdrowia została zaliczona do sektorów kluczowych — najwyższego poziomu wymagań i najsurowszych sankcji. Prawo nareszcie traktuje cyberbezpieczeństwo placówki medycznej tak, jak od dawna traktuje jej sterylność czy zaopatrzenie w prąd — jako warunek bezpiecznego leczenia.
Kluczowy harmonogram
3 października 2026 — wniosek o wpis do wykazu podmiotów kluczowych i ważnych
3 kwietnia 2027 — wdrożenie obowiązków z rozdziału 3 ustawy
3 kwietnia 2028 — pierwszy audyt zgodności
To kalendarz, który już biegnie.
Liczby, które mówią prawdę o ryzyku
Europejska Agencja ds. Cyberbezpieczeństwa (ENISA) przeanalizowała ponad dwa lata zdarzeń w sektorze zdrowia w UE. Wyniki są jednoznaczne — i nakładają się na polską rzeczywistość z niepokojącą dokładnością.
54%
Ransomware
Udział ransomware wśród wszystkich zagrożeń w sektorze zdrowia (ENISA).
42%
Szpitale
Odsetek incydentów dotykających bezpośrednio szpitali spośród wszystkich zdarzeń u świadczeniodawców.
27%
Gotowość
Tylko tyle organizacji zdrowotnych miało dedykowany program obrony przed ransomware.
300K€
Mediana kosztu
Szacowany medianowy koszt poważnego incydentu cyberbezpieczeństwa w sektorze zdrowia.
46% incydentów miało na celu kradzież lub ujawnienie danych pacjentów — w tym elektronicznej dokumentacji medycznej. Najczęstszą przyczyną udanych ataków ransomware jest ignorowanie alertów w systemach antywirusowych i EDR.
Decyzja: odpowiedzialność wraca na właściwe piętro
Najważniejsza zmiana, jaką przynosi NIS2, nie jest techniczna — jest ustrojowa. Ustawa wprowadza osobistą odpowiedzialność kierownictwa za cyberbezpieczeństwo i wprost wyklucza możliwość przerzucenia jej na niższe szczeble. Dyrektor szpitala i rada nadzorcza odpowiadają za wdrożenie i nadzór nad środkami zarządzania ryzykiem, a ustawa nakłada obowiązek regularnych, udokumentowanych szkoleń członków zarządu.
Podmioty kluczowe
Kary do 10 mln EUR lub 2% światowego rocznego obrotu — liczy się kwota wyższa.
Podmioty ważne
Kary do 7 mln EUR lub 1,4% obrotu. Odpowiedzialność finansowa kierownictwa za naruszenie obowiązków.
Zagrożenie życia
Do 100 mln zł, gdy naruszenie wywołało bezpośrednie zagrożenie dla życia i zdrowia ludzi.
Prezes UODO już egzekwował tę odpowiedzialność: nałożył karę 66 500 zł na Uniwersytecki Dziecięcy Szpital Kliniczny w Białymstoku za niewdrożenie odpowiednich środków technicznych i organizacyjnych po incydencie cyberbezpieczeństwa. NIS2 nie tworzy odpowiedzialności z niczego — porządkuje ją i lokuje tam, gdzie naprawdę zapadają decyzje o pieniądzach i priorytetach.
Co świat oferuje Polsce: gotowe wzorce
Polskie szpitale nie muszą wymyślać odporności od zera. ENISA publikuje praktyczne przewodniki dla sektora zdrowia — w tym wydany we wrześniu 2025 roku poradnik higieny cyfrowej oraz wytyczne techniczne do rozporządzenia wykonawczego NIS2. To materiały dostępne bezpłatnie, wymagające jedynie przełożenia na lokalne procedury.
Aktualizacje i dostęp
Aktualizowanie systemów do najnowszych wersji, dostęp administracyjny wyłącznie z wydzielonej sieci zarządzającej.
Monitoring i konta
Weryfikacja logowań o nietypowych godzinach, natychmiastowe usuwanie kont byłych pracowników, przegląd kont o podwyższonych uprawnieniach.
Kopie i alerty
Regularne tworzenie kopii zapasowych i codzienny przegląd dzienników alertów — kluczowe przy ransomware.
Resort cyfryzacji podkreślił: „realizacja nawet części działań pozwoli znacząco ograniczyć ryzyko wystąpienia incydentu". Odporność nie zaczyna się od wielkiego budżetu — zaczyna się od dyscypliny.
Co Polska może zaoferować Europie
Sektorowy CSIRT CeZ
Polska zbudowała sektorowy zespół reagowania na incydenty dedykowany wyłącznie ochronie zdrowia — rozumiejący specyfikę szpitala, jego urządzenia medyczne i tryb pracy. To wzorzec, do którego NIS2 zachęca, a który Polska już realnie uruchomiła jako pierwszą linię wsparcia w kryzysie.
Współpraca cywilno-wojskowa
W Szczecinie ujawnił się element bez precedensu: żołnierze Wojsk Obrony Terytorialnej wspierali sparaliżowaną placówkę. To zalążek modelu, w którym zdolności państwa kierowane są tam, gdzie infrastruktura krytyczna zdrowia traci nośność — szczególnie istotny wobec rosnącej presji geopolitycznej.
Domknięciem jest przyjęta przez Radę Ministrów 10 marca 2026 roku Strategia Cyberbezpieczeństwa RP na lata 2025–2029, wyznaczająca kierunki wzmacniania krajowego systemu cyberbezpieczeństwa i ochrony danych obywateli. Polska, zmierzająca się z presją ze wschodu jak mało które państwo Unii, ma szansę wypracować i pokazać Europie praktykę, której inni będą dopiero potrzebować.
Tarcza dla obywatela i pułapka Just Culture
Gdy szpital traci dostęp do dokumentacji medycznej, traci pamięć o pacjencie: o jego uczuleniach, lekach, wynikach, historii. Atak na system informatyczny szpitala jest atakiem na bezpieczeństwo pacjenta — nawet jeśli nie pada ani jeden strzał. ENISA wskazuje bezpieczeństwo pacjenta jako nadrzędną troskę sektora, przywołując realne ryzyko opóźnień w triażu i leczeniu wywołanych incydentami cyfrowymi.
Surowe sankcje NIS2 niosą jednak pułapkę: skoro incydent grozi karą i piętnem, pojawia się pokusa, by go ukryć. Tymczasem najczęstszą przyczyną udanych ataków ransomware jest właśnie ignorowanie wczesnych alertów. System, który karze za zgłoszenie, uczy patrzeć w drugą stronę.
Bonifraterskie Centrum Medyczne, komunikując o ataku, podkreśliło, że „atak nie był wynikiem nieostrożności pracownika" — i to jest dokładnie właściwy, dojrzały ton.
Fundacja Healthcare Poland traktuje Just Culture jako fundament doktrynalny: sprawiedliwa kultura oddziela uczciwą pomyłkę od świadomego zaniedbania i kieruje uwagę na decyzje systemowe, nie na pojedynczych ludzi. Odpowiedzialność na górze, bezpieczeństwo zgłaszania na dole — jedno bez drugiego nie działa.
Wdrożenie: jak CyberC4HE domyka sekwencję
Między literą ustawy a realnym bezpieczeństwem szpitala rozciąga się przepaść wdrożeniowa. Fundacja Healthcare Poland rozwija w ramach Koalicji CyberC4HE model odpowiadający na tę przepaść po stronie wdrożenia i rozliczenia.
01
Audyt zgodności z NIS2 i UKSC
Sektorowo świadoma diagnoza: gdzie placówka jest, czego jej brakuje i które działania przyniosą największą poprawę przy danym budżecie.
02
Architektura reagowania (SOC)
Własne centrum operacji bezpieczeństwa lub model współdzielony — bo nie każdą placówkę stać na własny zespół w trybie ciągłym.
03
Ciągłość działania (BCP)
Plany odtwarzania po awarii przetestowane w praktyce — by przejście „na papier" było kontrolowaną procedurą, nie chaosem jak w Szczecinie.
04
Szkolenia i kultura
Budowanie kultury, w której człowiek jest pierwszą linią obrony, a zgłoszenie alertu jest nagradzane — nie karane.
Korzyść, której nie widać na pierwszy rzut oka
Reforma, która nie oferuje korzyści wszystkim, pozostaje na papierze. NIS2 jest dźwignią — nie zaklęciem. A dźwignia bez punktu podparcia nie podnosi niczego.
Obywatel i pacjent
Pewność, że dane są bezpieczne, a opieka ciągła — nawet w dniu ataku.
Szpital i kadra
Jasność odpowiedzialności i wsparcie sektorowego CSIRT, audytu i planów ciągłości.
Zarząd
Ryzyko dotąd niewidzialne staje się policzalne, zarządzalne i podzielone na kroki z terminami.
Polska marka zdrowia
Reputacja systemu, który traktuje dane pacjenta poważnie i potrafi obronić ciągłość opieki.
Polska ma dziś rzadką, gorzką okazję: fala ataków, która obnażyła kruchość cyfrowej pamięci szpitala, zbiega się z prawem dającym narzędzia, by tę kruchość zmniejszyć. Pod jednym warunkiem: że zaczniemy nie od strachu przed karą, lecz od pytania — nie „czy", lecz „kiedy", i jak dobrze będziemy przygotowani.
Healthcare Poland Foundation
CyberC4HE
Artykuł 17 · Seria „Nośność systemu ochrony zdrowia"