# Checklist NIS2 / RODO - sieć stomatologiczna 10 foteli

> **Materiał informacyjny, nie porada prawna.** Skonsultujcie z radcą prawnym, czy waszej firmy dotyczą obowiązki NIS2.
> **Data:** 2026-05-28
> **Wydawca:** CyberCerber (cybercerber.pl)

## Kontekst zakresu

Sieć stomatologiczna **może podlegać** NIS2 jako "podmiot leczniczy" w sektorze ochrony zdrowia (załącznik I UKSC), gdy łącznie:

- jesteście podmiotem leczniczym w rozumieniu ustawy o działalności leczniczej z 2011 r., ORAZ
- spełniacie próg ≥50 pracowników LUB ≥10 mln euro obrotu.

Sieć 10 foteli z kilkudziesięcioma pracownikami często ten próg spełnia. Solo-gabinet - prawie nigdy.

Niezależnie od NIS2: dane medyczne to **szczególne kategorie** (art. 9 RODO) - art. 32 RODO dotyczy was z największą surowością. UODO interpretuje brak MFA dla dostępu do danych zdrowotnych jako poważne uchybienie.

## Dokumentacja (papier)

- [ ] Pisemna polityka bezpieczeństwa danych medycznych (osobny dokument)
- [ ] Rejestr czynności przetwarzania (art. 30 RODO) - szczegółowo dla danych zdrowotnych
- [ ] DPIA dla każdego nowego systemu (art. 35 RODO + art. 21(5) NIS2)
- [ ] Klauzule informacyjne dla pacjentów (art. 13 RODO)
- [ ] Umowy powierzenia z dostawcami: PRAKTYKAM, oprogramowanie stomatologiczne, PACS/RIS
- [ ] Wyznaczony Inspektor Ochrony Danych (art. 37 RODO - obowiązkowy dla dużej skali danych zdrowotnych)
- [ ] Procedura zgłoszenia incydentu: UODO 72h + (jeśli NIS2) CSIRT NASK 24h/72h/30 dni

## Środki techniczne (wdrożenie)

- [ ] MFA na: PRAKTYKAM, eRecepta/eSkierowanie, e-Urząd Skarbowy, ZUS PUE
- [ ] MFA na: oprogramowanie stomatologiczne (CGM Polonia, Estomed, Kamsoft)
- [ ] MFA na: backup chmurowy, panel hostingu, e-mail
- [ ] Szyfrowanie at-rest dla bazy pacjentów i zdjęć RTG/CBCT (BitLocker, szyfrowanie bazy)
- [ ] Szyfrowanie in-transit TLS 1.3 dla każdej komunikacji systemów medycznych
- [ ] Backup zdjęć diagnostycznych z RPO ≤24h, RTO ≤72h
- [ ] Backup immutable (S3 Object Lock) - ransomware celuje w PACS/RIS
- [ ] Test odzysku raz na kwartał (pełna baza pacjentów + jedno badanie obrazowe)
- [ ] Segmentacja sieci: urządzenia diagnostyczne na osobnym VLAN
- [ ] EDR na wszystkich stacjach (Microsoft Defender for Endpoint P2 minimum)

## Ludzie

- [ ] Szkolenie zarządu sieci z cyberbezpieczeństwa raz w roku
- [ ] Szkolenie zespołu medycznego raz w kwartale (phishing, RODO w gabinecie)
- [ ] Szkolenie recepcji co miesiąc (recepcja = najczęstszy wektor phishingu w branży)
- [ ] Lista obecności + materiały szkoleniowe zachowane jako dowód
- [ ] Procedura offboardingu lekarzy / asystentów - natychmiastowe odebranie dostępu

## Audyt zewnętrzny

- [ ] Roczna zewnętrzna ocena podatności (CyberAudyt lub Pentest CyberCerber)
- [ ] Raport po polsku z priorytetami CVSS
- [ ] Naprawienie ustaleń krytycznych w 7 dni
- [ ] Dla podmiotu kluczowego (jeśli zarejestrowany): pierwszy obowiązkowy audyt do 3.04.2028 r.

## Następne kroki

Jeśli powyższe lista zawiera braki: [zamów bezpłatne skanowanie wstępne](https://cybercerber.pl/prescan/) lub [zobacz cennik pełnego audytu](https://cybercerber.pl/cennik/).

---

Wersja: 1.0 · Aktualizacja: 2026-05-28 · Następna planowana: 2026-08-28