Sektor ochrony zdrowia jest "kluczowym podmiotem" zgodnie z Dyrektywą NIS-2 (Załącznik I pkt 5). To oznacza konkretny obowiązek: regularne szkolenia pracowników z higieny cyberbezpieczeństwa - zapisane wprost w art. 21 ust. 2 lit. g. Dotyczy szpitali publicznych i prywatnych, laboratoriów, firm farmaceutycznych i producentów wyrobów medycznych.
Jeśli placówka tego nie udokumentuje, odpowiedzialność spada osobiście na dyrektora i członków zarządu (art. 20), a kara może sięgnąć 10 mln EUR lub 2% rocznego obrotu - wybiera się kwotę wyższą (art. 34 ust. 4). Na tle zdrowia i życia pacjentów to nie kwestia "ryzyka finansowego" - to kwestia odpowiedzialności za funkcjonowanie szpitala.
Rozmawiamy o Twojej placówce - liczba pracowników, systemy medyczne, co już macie wdrożone.
To nie są hipotetyczne scenariusze. To konkretne szpitale, konkretne odwołane zabiegi, konkretne dane pacjentów w sieci. W sektorze gdzie stawką jest zdrowie i życie, koszt ataku liczy się inaczej niż w produkcji.
8 marca 2025 doszło do ataku ransomware na Samodzielny Publiczny ZOZ MSWiA w Krakowie. Główny system obsługujący dokumentację medyczną przestał działać — szpital przez wiele dni pracował "analogowo", w oparciu o dokumentację papierową. Atak dotknął dane identyfikacyjne pacjentów (imię, nazwisko, PESEL, adres), historię leczenia i dane finansowe. Śledztwo zostało zawieszone w oczekiwaniu na pomoc prawną z USA i Irlandii.
Źródła: Sekurak · TVN24 · Alert Medyczny.
W listopadzie 2022 ICZMP padł ofiarą ransomware LockBit 3.0. Zaszyfrowano pliki maszyn wirtualnych oraz dane na serwerze BACKUP. Wszystkie systemy IT zostały wyłączone. Szpital wciąż przyjmował pacjentów, ale wszystko co wcześniej robiono zdalnie, wykonywano metodami tradycyjnymi. Przywracanie systemów trwało kilka tygodni, we współpracy z Ministerstwem Zdrowia, CeZ i NASK.
Źródła: Sekurak · CyberDefence24.
14 maja 2021 ransomware Conti sparaliżował cały irlandzki system opieki zdrowotnej. Wektor początkowy: jeden złośliwy email otwarty przez pracownika 16 marca — atakujący byli w sieci przez 8 tygodni przed atakiem. Wszystkie systemy IT wyłączone, szpitale wróciły do papierowej dokumentacji, wstrzymano badania obrazowe (CT, rezonans), odwołano dziesiątki tysięcy zabiegów. Dane 520 pacjentów opublikowane w sieci. Atak uznany za największy na agencję państwową w historii Irlandii.
Źródła: Wikipedia - Post Incident Review · PwC Independent Review (PDF, HSE.ie) · Krebs on Security.
Największy atak na sektor medyczny w historii USA. Wektor: skradzione dane logowania do portalu Citrix bez MFA. Grupa BlackCat/ALPHV uzyskała dostęp 12 lutego, atak 21 lutego 2024. Sparaliżowane rozliczenia recept w całym kraju — 80% praktyk lekarskich straciło przychody, małe apteki i szpitale wiejskie na skraju bankructwa. UnitedHealth zapłacił okup 22 mln USD, łączny koszt przekroczył 2,4 mld USD. Wyciek danych medycznych dotyczy około 1/3 Amerykanów (100+ mln osób).
Źródła: CBS News - ransom $22M · The Record - $2.4B cost · American Hospital Association.
Globalny atak WannaCry uderzył w NHS: 81 z 236 angielskich trustów, 595 przychodni POZ, ponad 600 organizacji. Anulowano około 19 000 wizyt (w tym 139 pilnych skierowań na onkologię), 5 szpitali musiało odsyłać karetki do innych placówek. Łączny koszt dla NHS: 92 mln GBP. Atak rozniósł się przez niezałatane systemy Windows, ale w sektorze zdrowia pierwszą linię obrony stanowi zawsze pracownik otwierający załącznik.
Źródła: UK National Audit Office · National Health Executive - £92m koszt · Nature Digital Medicine - analiza wpływu.
1 028 incydentów w polskim sektorze ochrony zdrowia w 2024. Phishing numer 1.
Według CSIRT NASK i CeZ w 2024 roku odnotowano ponad 630 ataków na instytucje medyczne, a łączna liczba incydentów w całym roku wyniosła 1 028. Najczęstsze zagrożenia: oszustwa komputerowe (311), podatności w systemach (238), złośliwe oprogramowanie (90). CERT Polska odnotował w 2024 roku ponad 40 000 przypadków phishingu i smishingu. W styczniu 2026 CSIRT Centrum e-Zdrowia ostrzegał przed nasilającą się kampanią phishingową podszywającą się pod system e-zdrowie.
Źródła: Alert Medyczny / CSIRT NASK · CyberDefence24 / MZ · CERT Polska.
68% naruszeń cyber angażuje element ludzki.
Nie chodzi o exploit zero-day ani supergeniusza z kapturem. Chodzi o kliknięcie w link, wpisanie hasła na fałszywej stronie, otwarcie załącznika, uleganie socjotechnice. W HSE Ireland to był jeden email. W szpitalu UHS (USA, 67 mln USD strat) — phishing dostarczający TrickBot. Szkolenie pracowników adresuje 2/3 realnego ryzyka.
Źródło: Verizon Data Breach Investigations Report 2024 — "the human element was a component of 68% of breaches".
Dyrektywa 2022/2555 (NIS-2) została transponowana do polskiego porządku prawnego przez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Poniżej cztery konkretne artykuły, które dotyczą Twojej placówki bezpośrednio.
Sektor ochrony zdrowia - szpitale (publiczne i prywatne), laboratoria, firmy farmaceutyczne, producenci wyrobów medycznych - są zdefiniowane jako "kluczowy" (essential entity). Wyższa stawka kar, obowiązek zgłaszania incydentów do CSIRT w ciągu 24h od wykrycia.
"Podstawowe praktyki w zakresie higieny cyberbezpieczeństwa i szkolenia w zakresie cyberbezpieczeństwa" - cytat wprost z dyrektywy. Nie "zalecane". Wymagane. Dla wszystkich pracowników mających dostęp do systemów informatycznych - lekarzy, pielęgniarek, personelu administracyjnego, technicznego.
Dyrektor placówki i organy zarządzające zatwierdzają środki cyberbezpieczeństwa, nadzorują ich wdrożenie i ponoszą osobistą odpowiedzialność za naruszenia. Dyrektor ma obowiązek odbyć szkolenie - a pracowników zachęca się "regularnie" do analogicznych.
Dla kluczowych podmiotów: minimum 10 000 000 EUR lub 2% całkowitego rocznego obrotu na poziomie światowym - w zależności od tego, która kwota jest wyższa. Do tego sankcje osobiste: zawieszenie funkcji dyrektora, zastępcy ds. administracyjnych, IT.
Dokumentacja ≠ papierek. Audytor sprawdza: listę obecności, program szkolenia, test końcowy, certyfikaty, cykliczność (raz na rok lub po zmianie stanowiska). Brak któregokolwiek = niewypełnienie art. 21. Brak art. 21 = kara z art. 34. W kontekście szpitala - również ryzyko dla ciągłości opieki nad pacjentami.
Szkolenie dopasowane do realiów placówki medycznej — systemy HIS/EDM, RPWDL, NFZ, e-recepta, e-skierowanie, laboratoria, dokumentacja pacjentów. Konkretne przykłady ataków na sektor zdrowia, nie generyczne slajdy.
Stacjonarnie u Ciebie w placówce lub online przez Zoom. 6-8 modułów zależnie od pakietu. Pracownicy dostają realne przykłady: phishing pod NFZ i e-zdrowie, BEC, ataki na systemy HIS, socjotechnika w recepcji, bezpieczeństwo danych pacjentów.
Lista obecności z podpisami, program szkolenia, test końcowy z wynikami, imienne certyfikaty. Wszystko w PDF, podpisane elektronicznie. Dokładnie to, czego audytor NFZ, CSIRT CeZ lub UODO potrzebuje do zamknięcia wymogu z art. 21 KSC/NIS-2.
Realne scenariusze z ochrony zdrowia - fałszywy mail "z NFZ" z linkiem do logowania, podszywanie się pod CeZ i e-zdrowie, próba wyłudzenia dostępu do HIS, podejrzany pendrive zostawiony w rejestracji, "serwisant" aparatury diagnostycznej. Nie abstrakcja - rzeczy które już się zdarzyły w polskich szpitalach.
12 pytań, wynik procentowy, zapis kto zdał. Podstawa do audytu: nie wystarczy obecność - trzeba pokazać że wiedza została sprawdzona. Wyniki w raporcie zbiorczym + imiennie. Przydatne również w rozmowach z ubezpieczycielem cyber.
Dla: zespoły 5-15 osób (przychodnia, mała klinika), pierwsze szkolenie w placówce.
Dla: zespoły 10-30 osób (szpital powiatowy, duża przychodnia), kompleksowe pokrycie art. 21.
Dla: zespoły 20+ osób, szpital z oddziałami i działem IT, laboratoria, firmy farmaceutyczne.
Dokumentacja gotowa dla audytora wewnętrznego, NFZ, CSIRT CeZ i UODO. Jeden komplet PDF-ów zamyka wymóg art. 21 ust. 2 lit. g dla wszystkich uczestników. Możesz pokazać organowi nadzorującemu, ubezpieczycielowi cyber, komisji bioetycznej.
Nie klikną w link "z NFZ". Zauważą, że login do e-zdrowia ma inną domenę. Zadzwonią do działu IT zamiast wpisać hasło na podejrzanej stronie. Zgłoszą dziwnego "serwisanta aparatury" na oddziale. Tego nie da się wyegzekwować regulaminem — tylko szkoleniem.
68% ataków zaczyna się od człowieka. W HSE Ireland to był jeden email w marcu — atak paraliżujący cały kraj w maju. W służbie zdrowia stawką nie jest tylko kara z NIS-2, ale też ciągłość opieki nad pacjentami i zaufanie społeczne. Szkolenie adresuje największą furtkę.
Bez pakietów ukrytych kosztów. Bez minimum zamówienia. Dojazd i nocleg w cenie (do 300 km). Poza tym zasięgiem - ustalamy indywidualnie.
Dojazd i nocleg w cenie · minimum 5 osób
Nagranie dostępne przez 30 dni · minimum 5 osób
Szybki rachunek. Szpital 30 osób, pakiet Standard online: 30 × 600 PLN = 18 000 PLN netto. Kara z art. 34 NIS-2 za nieudokumentowanie szkoleń z art. 21 zaczyna się od 10 mln EUR lub 2% rocznego obrotu. Koszt jednego dnia pracy "analogowej" w szpitalu MSWiA w Krakowie po ataku w marcu 2025 — nie został publicznie oszacowany, ale szpital pracował bez głównego systemu medycznego przez wiele dni.
Porównaj skalę: JBS - 11 mln USD okupu, Change Healthcare - 2,4 mld USD strat, Dole - 10,5 mln USD. Szkolenie dla 15 osób to mniej niż 0,1% tych strat.
Obecnie szkolenia realizujemy komercyjnie (faktura VAT). Rejestracja w Bazie Usług Rozwojowych (BUR) zaplanowana na Q4 2026. Po rejestracji instytucje publiczne (urzędy, placówki ochrony zdrowia, przedsiębiorstwa wodno-kanalizacyjne) mogą otrzymać zwrot nawet 80% kosztów szkolenia z Krajowego Funduszu Szkoleniowego (KFS).
Jeśli chcą Państwo zrealizować szkolenie po rejestracji BUR - powiedzmy o tym na 30-minutowej rozmowie, zarezerwujemy termin w IV kwartale.
Sześć obiekcji, z którymi spotykam się najczęściej. Jeśli masz inną - napisz na kontakt@cybertrening.com.
Nie. ISO 27001 to ramy zarządzania bezpieczeństwem informacji. NIS-2 nakłada konkretne obowiązki: zgłoszenie istotnego incydentu w 24h, rejestr ryzyk, szkolenia kadry zarządzającej z cyber, osobista odpowiedzialność członków zarządu. ISO jest dobrym punktem startu - ale audytor NIS-2 zapyta o inne artefakty. Na szkoleniu pokazuję mapowanie 1:1 między kontrolami ISO 27001 a wymogami art. 21 NIS-2 - po szkoleniu wiadomo, co jest już pokryte, a co trzeba dorobić.
Ogólną wiedzę - tak. Wymogi audytowe - nie. NIS-2 to tekst dyrektywy 2022/2555 + polska ustawa KSC (transpozycja) + praktyka krajowego organu. Audyt sprawdzi: "kto prowadził szkolenie, jaki był program, jaka jest dokumentacja odbioru, kiedy ostatnie szkolenie, czy kadra zarządzająca uczestniczyła". Nagranie z YouTube ani output z ChatGPT tego nie da. Szkolenie z konkretnym trenerem, podpisana lista obecności, certyfikat imienny = artefakt audytowy.
Bez znajomości oferty konkurencji trudno odpowiedzieć. Najczęściej różnica jest w: zakresie materiału (ile artykułów NIS-2 omówionych praktycznie), doświadczeniu prowadzącego (pentester korporacyjny vs trener bez projektów), dokumentacji audytowej (zwykłe slajdy vs dedykowana pod NIS-2), dostępie po szkoleniu (brak kontaktu vs AI-asystent + konsultacje 1:1), gwarancji (brak vs 25% miejsc powtórki). 30-minutowa rozmowa rozwiewa wątpliwości w kilku pytaniach - bez zobowiązań.
Dyrektywa weszła w życie 18 października 2024. W Polsce transpozycja przez ustawę KSC (projekt). Większość państw UE już ma przepisy krajowe, kary są naliczane. Nawet przed pełną transpozycją krajowi dostawcy/kontrahenci objęci NIS-2 będą pytać o zgodność - bo to element zarządzania łańcuchem dostaw z art. 21. JBS (2021), Change Healthcare (2024), Dole (2023) - każda z tych firm w dniu ataku myślała, że ma czas. Nie miała.
NIS-2 dotyczy "essential entities" (Załącznik I) oraz "important entities" (Załącznik II) od progu SME - 50 pracowników lub 10 mln EUR obrotu. W praktyce: jeśli firma działa w jednym z 18 wymienionych sektorów i przekracza próg - NIS-2 was dotyczy. Jeśli firma jest poniżej progu, ale jest dostawcą dla podmiotu NIS-2 - dostaje wymogi przez zapisy kontraktowe. Atakujący też nie rozróżnia rozmiaru firmy, tylko skuteczność zabezpieczeń.
Obecnie szkolenia realizujemy komercyjnie (faktura VAT). Rejestracja w Bazie Usług Rozwojowych (BUR) planowana na Q4 2026 - po wpisie firmy MŚP oraz instytucje publiczne będą mogły otrzymać zwrot nawet 80% kosztów z KFS (Krajowy Fundusz Szkoleniowy) dla prywatnych i z dedykowanych mechanizmów dla publicznych. Do tego czasu dla sektora publicznego sugerujemy własne budżety szkoleniowe lub porozumienia międzyinstytucjonalne. Jeśli BUR jest kluczowy - można zaplanować szkolenie na IV kwartał.
9 lat w IT: testowanie oprogramowania, automatyzacja, konsulting dla firm sektora finansowego i przemysłowego. Nie jestem pentesterem - jestem inżynierem, który przez dekadę widział z bliska jak pękają procesy i systemy w organizacjach.
Szkolenia z Cyber Awareness prowadziłem m.in. dla: EY (2019), Santander Consumer Bank (2021), Nordea Bank (2018), DNV. Klienci - korporacje, które nie mogą sobie pozwolić na błąd w security.
Certyfikaty: ISTQB (testowanie), OTWA (Offensive Tooling & Web Application), CompTIA Security+ (w toku). Podejście: pokazuję zespołom jak nie dać się okraść - bo przez 9 lat widziałem z bliska jak tego nie robić.
30 minut rozmowy. Ty opowiadasz o placówce - ilu pracowników, jakie stanowiska (lekarze, pielęgniarki, rejestracja, IT), co już macie z cyber (albo że nic). Ja mówię, jaki pakiet pasuje, kiedy możemy to zrobić i jak wygląda dokumentacja. Jeśli Ci to pasuje - ustalamy termin. Jeśli nie - dostajesz bezpłatnie checklistę "co musi być w dokumentacji audytowej NIS-2 art. 21 dla placówki medycznej".
Zero spamu, zero zobowiązań, zero "niezobowiązujących ofert handlowych".