W pierwszym półroczu 2026 roku wejdą w życie przepisy znowelizowanej Ustawy o krajowym systemie cyberbezpieczeństwa (UKSC) w ramach, których zaimplementowano regulacje unijnej dyrektyw NIS2, która nakłada szereg obowiązków i procedur związanych z zapewnieniem bezpieczeństwa informatycznego w podmiotach należących do kluczowych sektorów gospodarki narodowej.

Organizacjami zobowiązanymi (tzw. podmiot kluczowy) do ich wdrożenia i przestrzegania są m.in. podmioty lecznicze, o którym mowa w art. 4 ust. 1 ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej.

Odpowiedzialność podmiotu i członków zarządu podmiotu leczniczego za NIS2

Przepisy UKSC wprowadzają odpowiedzialność kierownika podmiotu kluczowego za wdrożenie, nadzór i przestrzeganie procedur i zasad bezpieczeństwa wynikających z nowych regulacji. Jeśli kierownictwo podmiotu kluczowego sprawuje organ wieloosobowy to odpowiedzialność ponoszą wszyscy członkowie tego organu np. zarząd i rada nadzorcza. Do zadań kierownika należy m.in.:

• podejmuje decyzje w zakresie przygotowania, wdrażania, stosowania i przeglądu systemu zarządzania bezpieczeństwem informacji w podmiocie;
• planuje adekwatne środki finansowe na realizację obowiązków z zakresu cyberbezpieczeństwa;
• przydziela zadania z zakresu cyberbezpieczeństwa w tym podmiocie i nadzoruje ich wykonanie;
• zapewnia, że personel podmiotu jest świadomy obowiązków z zakresu cyberbezpieczeństwa i zna przepisy prawa oraz wewnętrzne regulacje podmiotu w tym zakresie;
• zapewnia zgodność działania tego podmiotu z przepisami prawa oraz z wewnętrznymi regulacjami podmiotu.

Organ właściwy ds. cyberbezpieczeństwa za naruszenie regulacji NIS2, w tym brak realizowania obowiązków i zadań wynikających z UKSC może nałożyć administracyjną karę pieniężną (w tym karę pod rygorem natychmiastowej wykonalności, jeżeli wymaga tego ochrona bezpieczeństwa lub porządku publicznego):

• na podmiot kluczowy – do 10 mln euro lub do 2% przychodów osiągniętych przez podmiot kluczowy z działalności gospodarczej w roku obrotowym poprzedzającym wymierzenie kary, przy czym zastosowanie ma kwota wyższa. Kara ta nie może być jednak niższa niż 20 000 zł. Jeżeli podmiot kluczowy narusza przepisy ustawy, powodując bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego lub życia i zdrowia ludzi lub zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług kara może wynieść do 100 000 000 zł;
• na kierownictwo podmiotu kluczowego – do 600% otrzymywanego przez ukaranego wynagrodzenia obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop.

To tylko jedna z możliwych sankcji do zastosowanie przez organ, a pełna lista naruszeń wymieniona jest w art. 73 i 73a znowelizowanej ustawy.

Odpowiedzialność podmiotu i członków zarządu podmiotu leczniczego a ubezpieczenia

Ubezpieczenia OC podmiotu leczniczego nie obejmuje swoim zakresem uchybień i naruszeń przepisów w obszarze cyberbezpieczeństwa, w tym kar administracyjnych, a także majątkowej odpowiedzialności osobistej członków zarządu i rady nadzorczej (dotyczy podmiotów leczniczych prowadzonych w formie: SPZOZ, sp. z o.o., S.A., stowarzyszeń i fundacji) z tytułu sprawowania funkcji zarządczych i nadzorczych w podmiocie. W tym celu należy rozważyć zawarcie dedykowanych umów ubezpieczenia dostępnych na rynku:

• ubezpieczenie D&O – obejmujące ochroną kluczowych członków kierownictwa (m.in. zarząd i rada nadzorcza) za błędy z zarządzaniu i brak właściwego nadzoru w związku z wykonywaniem swoich funkcji. Co ważne polisa działa nie tylko w zakresie bezpośrednich kar administracyjnych nakładanych na członków kierownictwa, ale także innych roszczeń wynikających z przepisów prawa (KSH, K.C, czy ustaw szczególnych) np. w sytuacji niewypłacalności samego podmiotu lub roszczeń od podmiotu do członków zarządu za niewłaściwe zarządzanie podmiotem leczniczym, w tym narażenie na straty majątkowe. Ważne! Ochrona D&O nie zadziała, jeśli członkowie kierownictwa działają w sposób umyślny np. świadome niestosowanie się do przepisów prawa lub w celu osiągnięcia osobistych korzyści majątkowych;
• ubezpieczenie Cyber – obejmujące ochroną sam podmiot w obszarze odpowiedzialności cywilnej (postępowania sądowe) i regulacyjnej (postępowania przez UODO) w zakresie naruszeń danych osobowych, w tym ich utraty, kradzieży, wycieku itp. oraz koszty reakcji na cyber-incydenty (informatyka śledcza, doradztwo prawne, usługi PR, koszty notyfikacji w sytuacji stwierdzenia naruszeń), włącznie z kosztami przestoju i utraty przychodów w wyniku incydentu. Ważne! W związku z tym, że sektor zdrowia należy do grupy wysokiej ekspozycji na ryzyka cybernetyczne, otrzymanie oferty wymaga spełnienia przed podmiot leczniczy szeregu wymogów bezpieczeństwa technicznego i proceduralnego np. backup danych, szkolenia pracowników, zabezpieczenia kluczowej infrastruktury itp.