Nowe przepisy KSC - sprawdź, czy dotyczą Twojego podmiotu | Centrum e-Zdrowia

Dlaczego te zmiany są istotne

Sektor ochrony zdrowia należy do najbardziej zagrożonych cyberatakami. Ataki ransomware, próby wyłudzeń, phishing czy zakłócenia ciągłości usług to realne ryzyka, które dotyczą zarówno dużych jednostek, jak i małych placówek. Ustawa o KSC ma zapewnić podstawowy, wspólny standard działania oraz zwiększyć odporność całego systemu.

Terminy na wdrożenie obowiązków

Po wejściu w życie nowelizacji ustawy o KSC (3 kwietnia 2026 r.) wszystkie podmioty będą miały sześć miesięcy na określenie czy podlegają ustawie oraz następnie złożenie wniosku o wpis do wykazu podmiotów kluczowych i ważnych.  

Ponadto, w ciągu 12 miesięcy od wejścia ustawy w życie podmioty zobowiązane są do realizacji pełnego zakresu obowiązków, w tym:

• wdrożenie systemu zarządzania bezpieczeństwem informacji,
• przygotowanie lub aktualizację procedur,
• zgłoszenie wymaganych informacji właściwym organom,
• przygotowanie procedury obsługi incydentów.

Podmioty kluczowe mają dodatkowo 24 miesiące na przeprowadzenie pierwszego obowiązkowego audytu bezpieczeństwa.

Zrób pierwszy krok – zgłoś osobę do kontaktu

Pierwszym ważnym krokiem w przygotowaniu placówki do wymagań ustawy o KSC jest zgłoszenie osoby kontaktowej ds. Cyberbezpieczeństwa lub dwóch osób w przypadku podmiotów kluczowych i ważnych. To właśnie z tą osobą CSIRT CeZ będzie się komunikował w sprawach związanych z obsługą incydentów, wymaganiami technicznymi. Dzięki temu informacje trafiają szybko do właściwych osób, a reakcja na zagrożenia jest sprawniejsza.

Wyznaczenie kontaktu nie jest tylko formalnością. Ustawa nakłada taki obowiązek, ale przede wszystkim pomaga to zwiększyć gotowość operacyjną placówki. Osoba kontaktowa nie musi być ekspertem IT, lecz ważne, by znała organizację i mogła koordynować działania wewnętrzne. To ułatwia CSIRT CeZ skuteczne wsparcie na co dzień i podczas incydentu.

Zgłoszenie kontaktu to najprostszy sposób, aby zapewnić placówce lepszą komunikację, szybsze wsparcie i większą odporność na rosnące zagrożenia cybernetyczne. Warto zrobić to jak najszybciej.

Drugi krok - wdrożenie systemu zarządzania bezpieczeństwem informacji (SZBI)

Każdy podmiot kluczowy lub ważny powinien wdrożyć system zarządzania bezpieczeństwem informacji. To kluczowy etap, ponieważ pozwala określić, jakie wymagania należy wdrożyć oraz jaki poziom zabezpieczeń jest adekwatny. Wymagania są proporcjonalne i dostosowane do charakteru podmiotu, jego wielkości oraz poziomu ryzyka.

Bezpłatne narzędzie - ankieta samooceny

CSIRT CeZ przygotował zestaw ankiet do samooceny, które w prosty sposób pomagają sprawdzić, jak Twoja organizacja wypada na tle wymagań wynikających z nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa.

Ankiety zostały opracowane tak, aby ułatwić ocenę:

• aktualnego poziomu zabezpieczeń,
• dojrzałości cyberbezpieczeństwa,
• obszarów, w których mogą pojawiać się luki,
• gotowości organizacji do spełnienia nowych wymagań.

Formularze są dostosowane do różnych typów podmiotów (kluczowych i ważnych), dzięki czemu każda jednostka otrzymuje pytania odpowiednie do swoich obowiązków.

Wypełnienie ankiet jest proste i nie wymaga specjalistycznej wiedzy.

Narzędzie:

• prowadzi krok po kroku przez wszystkie zagadnienia,
• jest intuicyjne w obsłudze,
• automatycznie analizuje odpowiedzi,
• przygotowuje plan działania wraz z rekomendacjami i harmonogramem dopasowanym do potrzeb Twojej organizacji.

Ważne! Ankiety mają charakter pomocniczy. W przypadku wątpliwości zalecamy konsultację prawną w zakresie zagadnień objętych nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa.

Procedura obsługi incydentów

Jednym z obowiązkowych elementów KSC jest posiadanie procedury obsługi incydentów, która określa:

• sposób obsługi incydentów,
• sposób klasyfikacji incydentów,
• sposób zgłaszania incydentów,
• zasady współpracy z CSIRT sektorowym i krajowym.

KSC nie zastępuje istniejących procesów, ale ma pomóc w ich uporządkowaniu i zwiększeniu odporności organizacji.

Wsparcie Centrum e‑Zdrowia

Centrum e‑Zdrowia, poprzez działający w jego strukturach CSIRT CeZ, zapewnia szerokie wsparcie wszystkim podmiotom objętym ustawą o krajowym systemie cyberbezpieczeństwa. Naszym celem jest ułatwienie organizacjom przejścia przez nowelizowane wymagania oraz pomoc w budowaniu realnego, skutecznego poziomu bezpieczeństwa.

CSIRT CeZ wspiera podmioty m.in. poprzez:

• Udostępnienie narzędzi do samooceny - przygotowaliśmy zestaw intuicyjnych ankiet oraz formularzy, które pomagają krok po kroku ocenić aktualny poziom cyberbezpieczeństwa. Narzędzia te automatycznie analizują ryzyka i generują rekomendacje dostosowane do konkretnego typu podmiotu.
• Materiały informacyjne i wyjaśniające - opracowujemy przewodniki, instrukcje, odpowiedzi na najczęściej zadawane pytania, a także materiały edukacyjne, które w prosty sposób tłumaczą, jak interpretować wymagania ustawy oraz jak wdrażać kluczowe rozwiązania, m.in.:
  • Podstawy bezpieczeństwa i ochrony danych w sektorze ochrony zdrowia
  • Fundamentalne wytyczne w zakresie ochrony przed cyberatakami
• Konsultacje dotyczące wdrażania obowiązków - podmioty mogą liczyć na wsparcie merytoryczne zarówno na etapie weryfikacji statusu, jak i podczas planowania oraz realizacji działań wynikających z ustawy. Pomagamy rozwiać wątpliwości i wskazać najlepsze ścieżki postępowania.
• Wskazówki w zakresie cyberbezpieczeństwa - możliwość konsultacji w zakresie dobrych praktyk, procedur, polityk i procesów związanych z bezpieczeństwem informacji i reagowaniem na incydenty. Podpowiadamy, jakie działania są priorytetowe oraz jak skutecznie je wdrażać w codziennej pracy organizacji.

Dzięki temu wsparciu każda jednostka może sprawniej przejść przez proces oceny swojej gotowości, lepiej zrozumieć obowiązki wynikające z ustawy i szybciej przygotować się do ich realizacji.