BRANŻA: OCHRONA ZDROWIA · NIS-2 ART. 21

Change Healthcare 2024: 2,4 mld USD strat, apteki w USA stanęły na tygodnie.
Szpitale w Polsce to cel priorytetowy NIS-2.

Szkolenie dla placówki zdrowia, które przejdzie audyt NIS-2 - z dokumentacją procedur w pakiecie.

Grupy 5-30 osób, stacjonarnie lub online (Zoom) Dla zarządu, HR i IT Security - materiały dopasowane do roli
Zamów 30-min rozmowę Zobacz co dostajesz
Dlaczego to nie teoria

Trzy ataki, które w ostatnich latach sparaliżowały placówki medyczne

To nie są hipotetyczne scenariusze. To konkretne szpitale, konkretne odwołane zabiegi, konkretne dane pacjentów w sieci. W sektorze gdzie stawką jest zdrowie i życie, koszt ataku liczy się inaczej niż w produkcji.

1

Szpital MSWiA w Krakowie — ransomware, marzec 2025

8 marca 2025 doszło do ataku ransomware na Samodzielny Publiczny ZOZ MSWiA w Krakowie. Główny system obsługujący dokumentację medyczną przestał działać — szpital przez wiele dni pracował "analogowo", w oparciu o dokumentację papierową. Atak dotknął dane identyfikacyjne pacjentów (imię, nazwisko, PESEL, adres), historię leczenia i dane finansowe. Śledztwo zostało zawieszone w oczekiwaniu na pomoc prawną z USA i Irlandii.

Źródła: Sekurak · TVN24 · Alert Medyczny.

2

Instytut Centrum Zdrowia Matki Polki w Łodzi — LockBit 3.0, listopad 2022

W listopadzie 2022 ICZMP padł ofiarą ransomware LockBit 3.0. Zaszyfrowano pliki maszyn wirtualnych oraz dane na serwerze BACKUP. Wszystkie systemy IT zostały wyłączone. Szpital wciąż przyjmował pacjentów, ale wszystko co wcześniej robiono zdalnie, wykonywano metodami tradycyjnymi. Przywracanie systemów trwało kilka tygodni, we współpracy z Ministerstwem Zdrowia, CeZ i NASK.

Źródła: Sekurak · CyberDefence24.

3

HSE Ireland — atak Conti, maj 2021 (największy atak na służbę zdrowia w Europie)

14 maja 2021 ransomware Conti sparaliżował cały irlandzki system opieki zdrowotnej. Wektor początkowy: jeden złośliwy email otwarty przez pracownika 16 marca — atakujący byli w sieci przez 8 tygodni przed atakiem. Wszystkie systemy IT wyłączone, szpitale wróciły do papierowej dokumentacji, wstrzymano badania obrazowe (CT, rezonans), odwołano dziesiątki tysięcy zabiegów. Dane 520 pacjentów opublikowane w sieci. Atak uznany za największy na agencję państwową w historii Irlandii.

Źródła: Wikipedia - Post Incident Review · PwC Independent Review (PDF, HSE.ie) · Krebs on Security.

1 028 incydentów w polskim sektorze ochrony zdrowia w 2024. Phishing numer 1.

Według CSIRT NASK i CeZ w 2024 roku odnotowano ponad 630 ataków na instytucje medyczne, a łączna liczba incydentów w całym roku wyniosła 1 028. Najczęstsze zagrożenia: oszustwa komputerowe (311), podatności w systemach (238), złośliwe oprogramowanie (90). CERT Polska odnotował w 2024 roku ponad 40 000 przypadków phishingu i smishingu. W styczniu 2026 CSIRT Centrum e-Zdrowia ostrzegał przed nasilającą się kampanią phishingową podszywającą się pod system e-zdrowie.

Źródła: Alert Medyczny / CSIRT NASK · CyberDefence24 / MZ · CERT Polska.

68% naruszeń cyber angażuje element ludzki.

Nie chodzi o exploit zero-day ani supergeniusza z kapturem. Chodzi o kliknięcie w link, wpisanie hasła na fałszywej stronie, otwarcie załącznika, uleganie socjotechnice. W HSE Ireland to był jeden email. W szpitalu UHS (USA, 67 mln USD strat) — phishing dostarczający TrickBot. Szkolenie pracowników adresuje 2/3 realnego ryzyka.

Źródło: Verizon Data Breach Investigations Report 2024 — "the human element was a component of 68% of breaches".

Co musisz wiedzieć

NIS-2 w 4 punktach

Co musisz zrobić

Wdrożyć procedury bezpieczeństwa, regularnie szkolić zespół (kadrę zarządzającą i pracowników), prowadzić rejestr ryzyk i incydentów, wyznaczyć osobę odpowiedzialną. Termin: dyrektywa już obowiązuje, polska ustawa KSC w transpozycji.

Kogo dotyczy

Szpitale, placówki ochrony zdrowia, producentów wyrobów medycznych od progu SME (50 osób lub 10 mln EUR obrotu). Dostawców objętych firm dotyczy przez zapisy kontraktowe (zarządzanie łańcuchem dostaw - art. 21).

Co grozi za brak

Kara administracyjna do 10 mln EUR lub 2% rocznego obrotu (wybiera się kwotę wyższą). Przy podmiotach kluczowych - osobista odpowiedzialność członków zarządu (art. 20).

Co sprawdza audytor

Dokumentację procedur bezpieczeństwa, dowody przeprowadzonych szkoleń (lista obecności, program, certyfikaty), plan reagowania na incydenty, gotowość do raportowania w 24h.

Wartość

Co konkretnie dostajesz

Szkolenie dopasowane do realiów placówki medycznej — systemy HIS/EDM, RPWDL, NFZ, e-recepta, e-skierowanie, laboratoria, dokumentacja pacjentów. Konkretne przykłady ataków na sektor zdrowia, nie generyczne slajdy.

Szkolenie na żywo (3, 5 lub 8h)

Stacjonarnie u Ciebie w placówce lub online przez Zoom. 6-8 modułów zależnie od pakietu. Pracownicy dostają realne przykłady: phishing pod NFZ i e-zdrowie, BEC, ataki na systemy HIS, socjotechnika w recepcji, bezpieczeństwo danych pacjentów.

Dokumentacja audytowa

Lista obecności z podpisami, program szkolenia, test końcowy z wynikami, imienne certyfikaty. Wszystko w PDF, podpisane elektronicznie. Dokładnie to, czego audytor NFZ, CSIRT CeZ lub UODO potrzebuje do zamknięcia wymogu z art. 21 KSC/NIS-2.

Dopasowanie do branży

Realne scenariusze z ochrony zdrowia - fałszywy mail "z NFZ" z linkiem do logowania, podszywanie się pod CeZ i e-zdrowie, próba wyłudzenia dostępu do HIS, podejrzany pendrive zostawiony w rejestracji, "serwisant" aparatury diagnostycznej. Nie abstrakcja - rzeczy które już się zdarzyły w polskich szpitalach.

Test końcowy + wynik per osoba

12 pytań, wynik procentowy, zapis kto zdał. Podstawa do audytu: nie wystarczy obecność - trzeba pokazać że wiedza została sprawdzona. Wyniki w raporcie zbiorczym + imiennie. Przydatne również w rozmowach z ubezpieczycielem cyber.

W cenie, bez dopłat: certyfikat imienny PDF dla każdego uczestnika, konsultacje 1:1 (20 min przed + 20 min po szkoleniu), dojazd i nocleg w cenie (cała Polska).

Trzy pakiety - od 3 do 8 godzin, dopasowane do Was

Starter
3 godziny
4 moduły podstawowe
  • Phishing i BEC
  • Hasła i MFA
  • Bezpieczna praca z pocztą i e-zdrowiem
  • Co robić w razie incydentu

Dla: zespoły 5-15 osób (przychodnia, mała klinika), pierwsze szkolenie w placówce.

Standard
5 godzin
6 modułów + warsztat
  • Wszystko ze Startera
  • Ataki na sektor zdrowia (HIS, EDM, RPWDL, urządzenia medyczne)
  • Socjotechnika - rejestracja, sala lekarska, serwisanci
  • Warsztat: rozpoznawanie phishingu pod NFZ/CeZ

Dla: zespoły 10-30 osób (szpital powiatowy, duża przychodnia), kompleksowe pokrycie art. 21.

Pełny dzień
8 godzin
6 + 2 moduły + praktyka
  • Wszystko ze Standardu
  • Moduł dla dyrekcji (obowiązki NIS-2 art. 20)
  • RODO i dane medyczne w praktyce (art. 9 RODO)
  • Praktyka: analiza realnego phishingu "z NFZ"

Dla: zespoły 20+ osób, szpital z oddziałami i działem IT, laboratoria, firmy farmaceutyczne.

Po szkoleniu Twój zespół

Cena

Transparentna stawka za osobę

Bez pakietów ukrytych kosztów. Bez minimum zamówienia. Dojazd i nocleg w cenie - cała Polska.

Stacjonarnie u Ciebie
W sali konferencyjnej placówki, z Twoimi przykładami
800 PLN netto / os

Dojazd i nocleg w cenie · minimum 5 osób

Online
Przez Zoom
600 PLN netto / os

Nagranie dostępne przez 30 dni · minimum 5 osób

Szybki rachunek. Szpital 30 osób, pakiet Standard online: 30 × 600 PLN = 18 000 PLN netto. Kara z art. 34 NIS-2 za nieudokumentowanie szkoleń z art. 21 zaczyna się od 10 mln EUR lub 2% rocznego obrotu. Koszt jednego dnia pracy "analogowej" w szpitalu MSWiA w Krakowie po ataku w marcu 2025 — nie został publicznie oszacowany, ale szpital pracował bez głównego systemu medycznego przez wiele dni.

Finansowanie: KFS / BUR dla sektora publicznego

Obecnie szkolenia realizujemy komercyjnie (faktura VAT). Rejestracja w Bazie Usług Rozwojowych (BUR) zaplanowana na Q4 2026. Po rejestracji instytucje publiczne (urzędy, placówki ochrony zdrowia, przedsiębiorstwa wodno-kanalizacyjne) mogą otrzymać zwrot nawet 80% kosztów szkolenia z Krajowego Funduszu Szkoleniowego (KFS).

Jeśli chcą Państwo zrealizować szkolenie po rejestracji BUR - powiedzmy o tym na 30-minutowej rozmowie, zarezerwujemy termin w IV kwartale.

Najczęstsze pytania

Cztery obiekcje, z którymi spotykam się najczęściej. Jeśli masz inną - napisz na kontakt@cybertrening.com.

Mamy ISO 27001. To wystarczy pod NIS-2?

Nie. ISO 27001 to ramy zarządzania bezpieczeństwem informacji. NIS-2 nakłada konkretne obowiązki: zgłoszenie istotnego incydentu w 24h, rejestr ryzyk, szkolenia kadry zarządzającej z cyber, osobista odpowiedzialność członków zarządu. ISO jest dobrym punktem startu - ale audytor NIS-2 zapyta o inne artefakty. Na szkoleniu pokazuję mapowanie 1:1 między kontrolami ISO 27001 a wymogami art. 21 NIS-2 - po szkoleniu wiadomo, co jest już pokryte, a co trzeba dorobić.

Damy radę sami - YouTube, blogi, ChatGPT.

Ogólną wiedzę - tak. Wymogi audytowe - nie. NIS-2 to tekst dyrektywy 2022/2555 + polska ustawa KSC (transpozycja) + praktyka krajowego organu. Audyt sprawdzi: "kto prowadził szkolenie, jaki był program, jaka jest dokumentacja odbioru, kiedy ostatnie szkolenie, czy kadra zarządzająca uczestniczyła". Nagranie z YouTube ani output z ChatGPT tego nie da. Szkolenie z konkretnym trenerem, podpisana lista obecności, certyfikat imienny = artefakt audytowy.

Mamy czas - NIS-2 w Polsce jeszcze nie obowiązuje.

Dyrektywa weszła w życie 18 października 2024. W Polsce transpozycja przez ustawę KSC (projekt). Większość państw UE już ma przepisy krajowe, kary są naliczane. Nawet przed pełną transpozycją krajowi dostawcy/kontrahenci objęci NIS-2 będą pytać o zgodność - bo to element zarządzania łańcuchem dostaw z art. 21. JBS (2021), Change Healthcare (2024), Dole (2023) - każda z tych firm w dniu ataku myślała, że ma czas. Nie miała.

Czy można sfinansować szkolenie z KFS/BUR?

Obecnie szkolenia realizujemy komercyjnie (faktura VAT). Rejestracja w Bazie Usług Rozwojowych (BUR) planowana na Q4 2026 - po wpisie firmy MŚP oraz instytucje publiczne będą mogły otrzymać zwrot nawet 80% kosztów z KFS (Krajowy Fundusz Szkoleniowy) dla prywatnych i z dedykowanych mechanizmów dla publicznych. Do tego czasu dla sektora publicznego sugerujemy własne budżety szkoleniowe lub porozumienia międzyinstytucjonalne. Jeśli BUR jest kluczowy - można zaplanować szkolenie na IV kwartał.

Dlaczego mi zaufać

Adrian Maryniewski

Adrian Maryniewski

Tester oprogramowania • Trener

LinkedIn

9 lat w IT - jako tester oprogramowania widziałem z bliska, jak działają systemy firm od środka. Wiem gdzie zwykle pojawiają się luki i jak atakujący je wykorzystują. Na szkoleniu nie czytam teorii ze slajdów - pokazuję realne ataki krok po kroku, na przykładach z ochrony zdrowia.

  • Certyfikaty: ISTQB (testowanie), CompTIA Security+ (w toku).
  • Doświadczenie projektowe: Nordea Bank, DNV, Logintegra, xcactus.
  • Ukończone kursy: OTWA (Ofensywne Testowanie Web Aplikacji), Zostań Pentesterem, Cyber Awareness EY, Cyber Awareness Santander Consumer Bank.
  • Specjalizacja: Testowanie aplikacji webowych, szkolenia z cyberbezpieczeństwa dla pracowników biurowych.

Zamów 30-min rozmowę

Sprawdzimy czy NIS-2 Was dotyczy. Dobierzemy moduły pod Waszą firmę. Dostaniecie wycenę. Zero spamu, zero zobowiązań - nawet jeśli nie kupujecie.

Zgłoszenie trafi bezpośrednio do mnie - odpowiadam osobiście w ciągu 24h. Dane przetwarzane zgodnie z RODO.