Podmioty lecznicze jako podmioty kluczowe zobowiązane do implementacji nowych obowiązków w zakresie cyberbezpieczeństwa. Czy Twoja organizacja podlega ustawie o KSC?
3 kwietnia 2026 r. weszła w życie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (dalej: „ustawa o KSC”), stanowiąca implementację do polskiego porządku prawnego dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii („NIS 2”). W wyniku przyjętych zmian istotnemu rozszerzeniu uległ zakres podmiotowy regulacji.W szczególności nowe obowiązki objęły szerszy katalog podmiotów funkcjonujących w sektorze ochrony zdrowia.
Porozmawiajmy o naszej współpracy
Jeżeli są Państwo zainteresowani spersonalizowaną ofertą na usługi prawne zachęcamy do kontaktu.
Ustawa o KSC, podążając za rozwiązaniami przyjętymi w dyrektywie NIS 2, wprowadza podział podmiotów objętych regulacją na dwie kategorie: podmioty kluczowe oraz podmioty ważne. Kryterium tego rozróżnienia stanowi przede wszystkim znaczenie danego podmiotu dla funkcjonowania społeczeństwa i gospodarki.
Do kategorii podmiotów kluczowych zaliczono m.in. podmioty działające w sektorze ochrony zdrowia, w szczególności udzielające świadczeń zdrowotnych, a także prowadzące działalność w zakresie wytwarzania oraz dystrybucji substancji czynnych, produktów leczniczych i wyrobów medycznych.Przyjęty katalog ma charakter szeroki – obejmuje łącznie aż 20 typów podmiotów funkcjonujących w obszarze ochrony zdrowia.
Do najistotniejszych z nich należą:
1. podmioty lecznicze;
2. podmioty udzielające świadczeń opieki zdrowotnej będące podwykonawcą dla podmiotów kluczowych lub podmiotów ważnych w sektorze ochrona zdrowia;
3. podmioty prowadzące działalność badawczo-rozwojową w zakresie produktów leczniczych;
4. podmioty produkujące podstawowe substancje farmaceutyczne oraz leki i pozostałe wyroby farmaceutyczne;
5. podmioty produkujące wyroby medyczne uznane za mające krytyczne znaczenie podczas danego stanu zagrożenia zdrowia publicznego;
6. przedsiębiorcy prowadzący działalność polegającą na prowadzeniu hurtowni farmaceutycznej;
7. wytwórcy produktów leczniczych i substancji czynnych;
8. dystrybutorzy substancji czynnych.
Sam fakt ujęcie danego podmiotu w katalogu określonym w ustawie nie przesądza jeszcze o nadaniu mu statusu podmiotu kluczowego. Dla dokonania takiej kwalifikacji istotne znaczenie ma również wielkość podmiotu, oceniana w szczególności przez pryzmat kryterium liczby zatrudnionych.
Należy ponadto podkreślić, że obowiązki wynikające z ustawy o KSC mają zastosowanie nie tylko do podmiotów kluczowych oraz podmiotów ważnych posiadających siedzibę na terytorium Rzeczypospolitej Polskiej. Regulacją objęte są również podmioty prowadzące działalność na terytorium Polski za pośrednictwem oddziałów lub w ramach działalności transgranicznej.
Rozszerzenie zakresu podmiotowego regulacji – w szczególności o szeroką grupę podmiotów z sektora ochrony zdrowia – wiąże się jednak z nałożeniem licznych obowiązków o charakterze organizacyjnym i technicznym. Należy przy tym podkreślić, że niedopełnienie tych obowiązków może skutkować nałożeniem dotkliwych sankcji finansowych, których wysokość – w przypadku najpoważniejszych naruszeń – może sięgać nawet 10 mln euro. Oznacza to, że dostosowanie działalności do nowych regulacji powinno stanowić istotny element zarządzania ryzykiem prawnym i operacyjnym.
