Cyberbezpieczeństwo w szpitalach: OSSP apeluje o jasne kryteria kwalifikacji

Ogólnopolskie Stowarzyszenie Szpitali Prywatnych w dniu 26 maja 2026 r. skierowało do Ministerstwa Zdrowia pismo, w którym domaga się doprecyzowania zasad, na jakich podmioty lecznicze będą kwalifikowane do krajowego systemu cyberbezpieczeństwa. Obecne przepisy pozostawiają urzędnikom dużą dozę uznaniowości, co budzi niepokój placówek medycznych.

Głównym powodem interwencji jest niepewność prawna dotycząca tzw. trybu uznaniowego. Zgodnie z nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa, organ właściwy może uznać dany podmiot za kluczowy lub ważny, nawet jeśli nie spełnia on standardowych kryteriów wielkościowych (takich jak liczba zatrudnionych czy obrót roczny). Decyzja taka może zapaść, jeśli działalność placówki zostanie uznana za mającą istotne znaczenie dla bezpieczeństwa państwa lub zdrowia publicznego.

Ryzykowne koszty i krótkie terminy

Dla szpitali kwalifikacja do systemu nie jest jedynie kwestią prestiżu, ale przede wszystkim poważnych zobowiązań. Wiąże się ona z koniecznością wdrożenia rygorystycznych zabezpieczeń IT oraz zmianami w strategii zarządzania, co generuje znaczne wydatki finansowe. OSSP podkreśla, że czas na dostosowanie się do nowych wymogów może okazać się bardzo krótki, co przy braku jasnych wytycznych stawia wiele podmiotów w trudnej sytuacji.

Postulat OSSP: Kontrakt z NFZ jako obiektywne kryterium

W celu zwiększenia przejrzystości procesu, Stowarzyszenie zaproponowało, aby jednym z podstawowych kryteriów kwalifikacji w trybie uznaniowym było posiadanie umowy z Narodowym Funduszem Zdrowia.

Według propozycji OSSP, udzielanie świadczeń finansowanych ze środków publicznych jest obiektywnym wskaźnikiem znaczenia placówki dla systemu ochrony zdrowia. Zakłócenie pracy takiego podmiotu w wyniku incydentu cybernetycznego bezpośrednio wpływa na bezpieczeństwo zdrowotne obywateli i ogranicza dostępność do świadczeń gwarantowanych.

Czego oczekują szpitale?

Stowarzyszenie zwróciło się do Ministra Zdrowia z prośbą o wskazanie:

• konkretnych kategorii podmiotów, które będą uznawane za krytyczne lub kluczowe;
• szczegółowych kryteriów „istotności”, jakie będą brane pod uwagę przy podejmowaniu decyzji;
• ewentualnych wytycznych i rekomendacji, które pomogłyby szpitalom przygotować się do nowych obowiązków.

W piśmie podkreślono, że nawet ogólne wytyczne będą nieocenionym wsparciem dla placówek, które chcą odpowiedzialnie podejść do kwestii cyberbezpieczeństwa i zapewnienia ciągłości leczenia pacjentów.

Pełna treść pisma – TUTAJ.