NIS2 a gabinet stomatologiczny — czy nowe przepisy Cię dotyczą?
Czym jest NIS2 i co zmienia w Polsce?
NIS2 to unijna dyrektywa o cyberbezpieczeństwie (2022/2555), która zastępuje pierwszą dyrektywę NIS i znacząco rozszerza krąg firm objętych obowiązkami: od analizy ryzyka, przez zgłaszanie incydentów, po odpowiedzialność zarządów. Jako dyrektywa nie działa bezpośrednio — każde państwo wdraża ją własną ustawą. W Polsce rolę tę pełni nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC), której proces legislacyjny na 2026 r. wciąż trwa. Kolejne projekty różniły się szczegółami, dlatego do kategorycznych dat i progów podchodź ostrożnie: ostateczny kształt obowiązków poznamy dopiero po uchwaleniu ustawy, a wcześniejsze wersje projektów przewidywały m.in. okresy przejściowe na rejestrację podmiotów i wdrożenie wymagań.
Czy pojedynczy gabinet stomatologiczny podlega NIS2?
Sektor ochrony zdrowia znajduje się w załącznikach dyrektywy, a podmioty dzielone są na kluczowe i ważne. Kluczowy jest jednak próg wielkości: co do zasady przepisy obejmują dopiero średnie przedsiębiorstwa, czyli takie, które zatrudniają co najmniej 50 pracowników lub osiągają 10 mln EUR rocznego obrotu (bądź sumy bilansowej). W praktyce oznacza to, że:
- typowy pojedynczy gabinet — kilka foteli, kilkanaście osób personelu — pozostaje zwykle poza bezpośrednim obowiązkiem;
- sieć klinik lub duże centrum medyczne — kilkanaście lokalizacji, kilkudziesięciu pracowników — może już spełniać kryteria podmiotu ważnego;
- ustawodawca może w szczególnych przypadkach objąć przepisami także mniejsze podmioty o istotnym znaczeniu, dlatego placówki na granicy progów powinny śledzić ostateczne brzmienie ustawy o KSC.
Licz się też z efektem łańcucha dostaw: szpital lub duża sieć objęta NIS2 będzie wymagać podniesienia standardów bezpieczeństwa również od swoich podwykonawców i partnerów — także tych, których przepisy formalnie nie obejmują.
Jak sprawdzić własny status krok po kroku?
Policz zatrudnienie w przeliczeniu na pełne etaty łącznie dla całego przedsiębiorstwa — jeśli prowadzisz kilka gabinetów w ramach jednej spółki, sumują się one, podobnie jak obroty. Zweryfikuj też powiązania kapitałowe: przy ustalaniu wielkości przedsiębiorstwa uwzględnia się co do zasady podmioty partnerskie i powiązane, więc klinika należąca do większej grupy medycznej może przekroczyć progi, mimo że sama jest niewielka. Wynik zapisz i wracaj do niego przy każdej istotnej zmianie — przejęciu placówki, dużej rekrutacji czy wejściu inwestora. Placówkom blisko progu rekomendujemy działanie tak, jakby przepisy już je obejmowały: koszt wdrożenia podstaw jest niewielki, a margines bezpieczeństwa duży.
Jakie obowiązki spadną na podmioty objęte przepisami?
Katalog jest zbliżony niezależnie od wersji projektu: analiza ryzyka i polityki bezpieczeństwa, zarządzanie incydentami wraz z ich zgłaszaniem (w reżimie dyrektywy wczesne ostrzeżenie ma trafić do właściwego CSIRT w ciągu 24 godzin, a pełniejsze zgłoszenie w 72 godziny), ciągłość działania i kopie zapasowe, bezpieczeństwo łańcucha dostaw, szkolenia, kryptografia i uwierzytelnianie wieloskładnikowe. Nowością jest osobista odpowiedzialność kierownictwa za nadzór nad cyberbezpieczeństwem oraz kary administracyjne, które w dyrektywie sięgają milionów euro — choć konkretne widełki dla polskich podmiotów określi dopiero ustawa.
Co warto wdrożyć niezależnie od statusu prawnego?
Dla małego gabinetu NIS2 najlepiej potraktować jako listę dobrych praktyk, które i tak wymuszają RODO oraz zdrowy rozsądek — dane pacjentów z systemów takich jak ProDentis, FELG Dent czy Medicus, dokumentacja EDM i dostęp do platformy P1 wymagają ochrony bez względu na to, czy ustawa o KSC wymienia Twoją placówkę:
- prosta analiza ryzyka — spis systemów i danych, ocena, co się stanie, gdy przestaną działać;
- procedura obsługi incydentów — kto, kogo i w jakim czasie informuje (spójna z obowiązkiem RODO zgłoszenia naruszenia do UODO w 72 godziny);
- backup poza lokalizacją z testem odtworzenia — ostatnia linia obrony przed ransomware;
- MFA i porządek w kontach — imienne konta, silne hasła, uwierzytelnianie wieloskładnikowe;
- aktualizacje i monitoring — łatanie systemów oraz stały nadzór nad serwerem, stacjami i kopiami.
Większość tych punktów pokrywa się z wymaganiami ochrony danych osobowych, które zebraliśmy w osobnej checkliście IT dla RODO w gabinecie stomatologicznym — wdrażając jedną listę, zamykasz w praktyce obie.
Jak przygotować placówkę w praktyce i ile to kosztuje?
Rozsądna ścieżka to audyt bezpieczeństwa (orientacyjnie 800–2500 zł dla gabinetu, więcej dla sieci klinik), plan naprawczy z priorytetami i wdrożenie podstaw w ramach stałej umowy serwisowej — abonament z monitoringiem, backupem i MFA to na 2026 r. zwykle 500–1500 zł miesięcznie dla małej placówki, a ostateczna wycena zależy od liczby stanowisk i zakresu SLA. Profesjonalna obsługa informatyczna gabinetów i klinik medycznych prowadzi ten proces od analizy potrzeb, przez dobór SLA, po abonament — i na bieżąco śledzi zmiany w ustawie o KSC, więc gdy przepisy ostatecznie wejdą w życie, Twoja placówka nie zacznie przygotowań od zera.
Najczęstsze pytania
Czy mój gabinet stomatologiczny podlega NIS2?
Najprawdopodobniej nie, jeśli to pojedyncza placówka zatrudniająca mniej niż 50 osób i osiągająca mniej niż 10 mln EUR obrotu rocznie — przepisy co do zasady obejmują sektor zdrowia od poziomu średnich przedsiębiorstw. Sieci klinik i duże centra medyczne mogą już spełniać kryteria, dlatego warto śledzić ostateczne brzmienie polskiej ustawy o KSC.
Od kiedy NIS2 obowiązuje w Polsce?
Sama dyrektywa została przyjęta w 2022 r., ale w Polsce obowiązki nałoży dopiero nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, której proces legislacyjny na 2026 r. wciąż trwa. Konkretne terminy rejestracji podmiotów i wdrożenia wymagań określi uchwalona ustawa — do tego czasu warto traktować daty z projektów jako orientacyjne.
Czym różni się podmiot kluczowy od ważnego?
Podmioty kluczowe to najbardziej krytyczne organizacje (np. duże szpitale, energetyka), objęte ściślejszym, proaktywnym nadzorem i wyższymi karami. Podmioty ważne — do których może należeć większa placówka medyczna — mają podobne obowiązki, ale nadzór jest głównie następczy, po incydencie lub sygnale o nieprawidłowościach.
Co małemu gabinetowi daje wdrażanie wymagań NIS2, skoro nie musi?
Podstawy NIS2 — analiza ryzyka, procedura incydentów, backup poza lokalizacją, MFA i aktualizacje — chronią przed realnymi zagrożeniami, jak ransomware czy phishing, i pokrywają się z wymaganiami RODO. To także atut we współpracy z większymi podmiotami objętymi przepisami, które coraz częściej sprawdzają bezpieczeństwo swoich partnerów.
Potrzebujesz wsparcia IT w swoim gabinecie lub klinice?
Obsługujemy placówki stomatologiczne i medycyny estetycznej w Warszawie i okolicach.