ITSPACEPoradniki › NIS2 a gabinet stomatologiczny — czy nowe przepisy Cię dotyczą?

NIS2 a gabinet stomatologiczny — czy nowe przepisy Cię dotyczą?

Adrian Strzeszewski · opublikowano 15 lipca 2026 · aktualizacja: 15 lipca 2026
Dyrektywa NIS2 obejmuje sektor ochrony zdrowia, ale co do zasady dopiero od średnich przedsiębiorstw — zatrudniających co najmniej 50 osób lub osiągających 10 mln EUR rocznego obrotu. Typowy pojedynczy gabinet stomatologiczny jest więc zwykle poza obowiązkiem, natomiast sieć klinik może się w przepisach zmieścić. Polska implementacja — nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa — jest na 2026 r. wciąż w toku legislacyjnym, więc ostateczne progi i terminy warto śledzić. Niezależnie od statusu podstawy NIS2 — analiza ryzyka, obsługa incydentów, backup i MFA — opłacają się każdej placówce.

Czym jest NIS2 i co zmienia w Polsce?

NIS2 to unijna dyrektywa o cyberbezpieczeństwie (2022/2555), która zastępuje pierwszą dyrektywę NIS i znacząco rozszerza krąg firm objętych obowiązkami: od analizy ryzyka, przez zgłaszanie incydentów, po odpowiedzialność zarządów. Jako dyrektywa nie działa bezpośrednio — każde państwo wdraża ją własną ustawą. W Polsce rolę tę pełni nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC), której proces legislacyjny na 2026 r. wciąż trwa. Kolejne projekty różniły się szczegółami, dlatego do kategorycznych dat i progów podchodź ostrożnie: ostateczny kształt obowiązków poznamy dopiero po uchwaleniu ustawy, a wcześniejsze wersje projektów przewidywały m.in. okresy przejściowe na rejestrację podmiotów i wdrożenie wymagań.

Czy pojedynczy gabinet stomatologiczny podlega NIS2?

Sektor ochrony zdrowia znajduje się w załącznikach dyrektywy, a podmioty dzielone są na kluczowe i ważne. Kluczowy jest jednak próg wielkości: co do zasady przepisy obejmują dopiero średnie przedsiębiorstwa, czyli takie, które zatrudniają co najmniej 50 pracowników lub osiągają 10 mln EUR rocznego obrotu (bądź sumy bilansowej). W praktyce oznacza to, że:

Licz się też z efektem łańcucha dostaw: szpital lub duża sieć objęta NIS2 będzie wymagać podniesienia standardów bezpieczeństwa również od swoich podwykonawców i partnerów — także tych, których przepisy formalnie nie obejmują.

Jak sprawdzić własny status krok po kroku?

Policz zatrudnienie w przeliczeniu na pełne etaty łącznie dla całego przedsiębiorstwa — jeśli prowadzisz kilka gabinetów w ramach jednej spółki, sumują się one, podobnie jak obroty. Zweryfikuj też powiązania kapitałowe: przy ustalaniu wielkości przedsiębiorstwa uwzględnia się co do zasady podmioty partnerskie i powiązane, więc klinika należąca do większej grupy medycznej może przekroczyć progi, mimo że sama jest niewielka. Wynik zapisz i wracaj do niego przy każdej istotnej zmianie — przejęciu placówki, dużej rekrutacji czy wejściu inwestora. Placówkom blisko progu rekomendujemy działanie tak, jakby przepisy już je obejmowały: koszt wdrożenia podstaw jest niewielki, a margines bezpieczeństwa duży.

Jakie obowiązki spadną na podmioty objęte przepisami?

Katalog jest zbliżony niezależnie od wersji projektu: analiza ryzyka i polityki bezpieczeństwa, zarządzanie incydentami wraz z ich zgłaszaniem (w reżimie dyrektywy wczesne ostrzeżenie ma trafić do właściwego CSIRT w ciągu 24 godzin, a pełniejsze zgłoszenie w 72 godziny), ciągłość działania i kopie zapasowe, bezpieczeństwo łańcucha dostaw, szkolenia, kryptografia i uwierzytelnianie wieloskładnikowe. Nowością jest osobista odpowiedzialność kierownictwa za nadzór nad cyberbezpieczeństwem oraz kary administracyjne, które w dyrektywie sięgają milionów euro — choć konkretne widełki dla polskich podmiotów określi dopiero ustawa.

Co warto wdrożyć niezależnie od statusu prawnego?

Dla małego gabinetu NIS2 najlepiej potraktować jako listę dobrych praktyk, które i tak wymuszają RODO oraz zdrowy rozsądek — dane pacjentów z systemów takich jak ProDentis, FELG Dent czy Medicus, dokumentacja EDM i dostęp do platformy P1 wymagają ochrony bez względu na to, czy ustawa o KSC wymienia Twoją placówkę:

  1. prosta analiza ryzyka — spis systemów i danych, ocena, co się stanie, gdy przestaną działać;
  2. procedura obsługi incydentów — kto, kogo i w jakim czasie informuje (spójna z obowiązkiem RODO zgłoszenia naruszenia do UODO w 72 godziny);
  3. backup poza lokalizacją z testem odtworzenia — ostatnia linia obrony przed ransomware;
  4. MFA i porządek w kontach — imienne konta, silne hasła, uwierzytelnianie wieloskładnikowe;
  5. aktualizacje i monitoring — łatanie systemów oraz stały nadzór nad serwerem, stacjami i kopiami.

Większość tych punktów pokrywa się z wymaganiami ochrony danych osobowych, które zebraliśmy w osobnej checkliście IT dla RODO w gabinecie stomatologicznym — wdrażając jedną listę, zamykasz w praktyce obie.

Jak przygotować placówkę w praktyce i ile to kosztuje?

Rozsądna ścieżka to audyt bezpieczeństwa (orientacyjnie 800–2500 zł dla gabinetu, więcej dla sieci klinik), plan naprawczy z priorytetami i wdrożenie podstaw w ramach stałej umowy serwisowej — abonament z monitoringiem, backupem i MFA to na 2026 r. zwykle 500–1500 zł miesięcznie dla małej placówki, a ostateczna wycena zależy od liczby stanowisk i zakresu SLA. Profesjonalna obsługa informatyczna gabinetów i klinik medycznych prowadzi ten proces od analizy potrzeb, przez dobór SLA, po abonament — i na bieżąco śledzi zmiany w ustawie o KSC, więc gdy przepisy ostatecznie wejdą w życie, Twoja placówka nie zacznie przygotowań od zera.

Najczęstsze pytania

Czy mój gabinet stomatologiczny podlega NIS2?

Najprawdopodobniej nie, jeśli to pojedyncza placówka zatrudniająca mniej niż 50 osób i osiągająca mniej niż 10 mln EUR obrotu rocznie — przepisy co do zasady obejmują sektor zdrowia od poziomu średnich przedsiębiorstw. Sieci klinik i duże centra medyczne mogą już spełniać kryteria, dlatego warto śledzić ostateczne brzmienie polskiej ustawy o KSC.

Od kiedy NIS2 obowiązuje w Polsce?

Sama dyrektywa została przyjęta w 2022 r., ale w Polsce obowiązki nałoży dopiero nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, której proces legislacyjny na 2026 r. wciąż trwa. Konkretne terminy rejestracji podmiotów i wdrożenia wymagań określi uchwalona ustawa — do tego czasu warto traktować daty z projektów jako orientacyjne.

Czym różni się podmiot kluczowy od ważnego?

Podmioty kluczowe to najbardziej krytyczne organizacje (np. duże szpitale, energetyka), objęte ściślejszym, proaktywnym nadzorem i wyższymi karami. Podmioty ważne — do których może należeć większa placówka medyczna — mają podobne obowiązki, ale nadzór jest głównie następczy, po incydencie lub sygnale o nieprawidłowościach.

Co małemu gabinetowi daje wdrażanie wymagań NIS2, skoro nie musi?

Podstawy NIS2 — analiza ryzyka, procedura incydentów, backup poza lokalizacją, MFA i aktualizacje — chronią przed realnymi zagrożeniami, jak ransomware czy phishing, i pokrywają się z wymaganiami RODO. To także atut we współpracy z większymi podmiotami objętymi przepisami, które coraz częściej sprawdzają bezpieczeństwo swoich partnerów.

Potrzebujesz wsparcia IT w swoim gabinecie lub klinice?
Obsługujemy placówki stomatologiczne i medycyny estetycznej w Warszawie i okolicach.

📞 531 330 080 kontakt@itspace.com.pl