Czy moja mała firma rzeczywiście podlega NIS2?

Tylko jeśli spełnia DWA warunki łącznie: 1) działa w sektorze z załącznika I lub II UKSC (m.in. ochrona zdrowia podmiotów leczniczych powyżej progu, infrastruktura cyfrowa, niektóre usługi cyfrowe), 2) zatrudnia co najmniej 50 osób LUB ma obrót co najmniej 10 mln euro. Większość biur rachunkowych, gabinetów stomatologicznych i klinik medycyny estetycznej nie spełnia obu warunków.

Jaki jest najbliższy termin, który mnie dotyczy?

3 października 2026 r. - rejestracja w rejestrze podmiotów kluczowych i ważnych prowadzonym przez Ministerstwo Cyfryzacji. Niezgłoszenie w obowiązku grozi karą administracyjną do 10 mln euro.

Co jeśli świadczę usługi dla szpitala publicznego?

Wasz klient (szpital) jest podmiotem kluczowym i sam podlega NIS2. Wasza firma podlega NIS2 tylko jeśli niezależnie spełnia kryteria sektora i wielkości. Jednak klient może wymagać klauzul cyber w umowie (art. 21(2)(d) o łańcuchu dostaw) - to wymóg klienta, nie waszej własnej zgodności.

Czym różni się NIS2 od RODO?

RODO chroni dane osobowe (egzekwowane przez UODO). NIS2 wymaga zarządzania ryzykiem cyber dla wskazanych sektorów (egzekwowane przez Ministerstwo Cyfryzacji i sektorowe organy). Naruszenie z wyciekiem danych osobowych powoduje podwójny obowiązek: zgłoszenie UODO w 72h i CSIRT NASK w 24h/72h/30 dni.

Czy potrzebuję pełnego audytu zgodności NIS2?

Tylko podmioty kluczowe mają obowiązek formalnego audytu (pierwszy do 3 kwietnia 2028 r.). Audyt wykonuje niezależny audytor (kancelaria, firma compliance) - CyberCerber nie świadczy formalnych audytów compliance, dostarcza warstwę techniczną dowodu (ocena podatności, raport CVSS).

Ile wynoszą kary za naruszenie NIS2?

Dla podmiotów kluczowych - do 10 mln euro lub 2% rocznego obrotu globalnego (w zależności co wyższe). Dla podmiotów ważnych - do 7 mln euro lub 1,4% obrotu. Dodatkowo członkowie zarządu ponoszą odpowiedzialność osobistą za zaniedbania w zarządzaniu ryzykiem cyber.

Mam już certyfikat ISO 27001. Czy spełniam NIS2?

W 80-90% tak. ISO 27001:2022 (93 kontrole w Annex A) pokrywa większość 10 środków z art. 21 NIS2. Uzupełnić trzeba: szkolenia zarządu (art. 20), raportowanie incydentów w trójetapowej procedurze 24h/72h/30 dni (art. 23), wpis do rejestru podmiotów. Pełny mapping w klastrze tego pillaru.

Co jeśli nie podlegamy NIS2 - czy warto i tak wdrożyć środki?

Tak, bo lista 10 środków z art. 21 NIS2 to dobry wzorzec higieny cyber dla każdej firmy. Wdrożenie środków bez formalnego obowiązku NIS2 nie wymaga rejestracji, raportowania incydentów do CSIRT NASK ani audytu - ale nadal spełnia art. 32 RODO.

Jak zgłosić się do rejestru podmiotów NIS2?

Procedurę prowadzi Ministerstwo Cyfryzacji. Zgłoszenie zawiera: dane identyfikacyjne podmiotu, sektor z załącznika I lub II UKSC, wielkość firmy (pracownicy + obrót), osobę kontaktową ds. cyberbezpieczeństwa. Szczegóły procedury - w klastrze rejestru podmiotów. Termin: 3 października 2026 r.

Czy mogę odłożyć rejestrację, jeśli nie jestem pewny czy podlegam?

Nie. UKSC nakłada odpowiedzialność za samoidentyfikację na sam podmiot. Niezgłoszenie się, gdy obowiązek istniał, jest sankcjonowane. Jeśli macie wątpliwości - skonsultujcie z radcą prawnym lub firmą compliance ZANIM minie termin 3.10.2026.

Co konkretnie obejmuje 10 środków z art. 21 NIS2?

Polityki analizy ryzyka i bezpieczeństwa systemów informacyjnych, obsługa incydentów, ciągłość działania (backup i plan awaryjny), bezpieczeństwo łańcucha dostaw, bezpieczeństwo nabywania i utrzymywania systemów, polityki oceny skuteczności środków, podstawowa higiena cyber i szkolenia, kryptografia, kontrola dostępu i zarządzanie tożsamością + MFA, bezpieczne komunikacja i procedury awaryjne.

Czy DORA mnie też dotyczy?

DORA (rozporządzenie 2022/2554) jest lex specialis dla sektora finansowego - banki, ubezpieczyciele, firmy inwestycyjne i ich krytyczni dostawcy ICT. Obowiązuje od 17 stycznia 2025 r. Jeśli sprzedajecie usługi bankowi jako krytyczny dostawca ICT, podlegacie DORA niezależnie od NIS2.

NIS2 i UKSC dla małej firmy - obowiązki, terminy, jak się przygotować

Materiał informacyjny, nie porada prawna. W sprawach szczegółowych skonsultuj się z radcą prawnym lub Inspektorem Ochrony Danych. Data aktualizacji: 2026-05-28. Reviewer of record: TBD (legal reviewer to be assigned przed publikacją).

Ustawa o krajowym systemie cyberbezpieczeństwa (UKSC), wdrażająca dyrektywę NIS2, weszła w życie 3 kwietnia 2026 r. Małe i średnie firmy w sektorach wskazanych w załączniku I/II UKSC mają do 3 października 2026 r. na rejestrację, do 3 kwietnia 2027 r. na pełną zgodność z art. 21, i do 3 kwietnia 2028 r. na pierwszy obowiązkowy audyt. Biura rachunkowe, gabinety stomatologiczne i kliniki medycyny estetycznej są objęte tylko po spełnieniu kryteriów sektora i wielkości - sprawdźcie decision tree poniżej.

1. Co to jest NIS2, a co UKSC

NIS2 to dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. dotycząca środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w Unii. Zastępuje pierwszą dyrektywę NIS (2016/1148) i rozszerza zakres podmiotów objętych obowiązkami z około 1 700 w starym reżimie do około 160 000 w nowym, w skali UE.

UKSC, czyli ustawa o krajowym systemie cyberbezpieczeństwa z 5 lipca 2018 r. (Dz.U. 2018 poz. 1560), to polski akt wdrażający dyrektywę. Nowelizacja podpisana 19 lutego 2026 r. (Dz.U. 2026 poz. 314 - numer Dz.U. do potwierdzenia w oficjalnej publikacji) weszła w mocy 3 kwietnia 2026 r. i transponuje NIS2. UE wyznaczyła państwom członkowskim termin transpozycji na 17 października 2024 r. Polska wdrożyła z opóźnieniem 16 miesięcy, podobnie jak większość państw członkowskich.

Praktyczna zasada: gdy mówicie o “obowiązkach NIS2 w Polsce”, rzeczywiście stosujecie UKSC. Dyrektywa NIS2 jest źródłem zasad; UKSC mówi, jak te zasady są egzekwowane w polskim porządku prawnym. Nadzór sprawuje Ministerstwo Cyfryzacji (mc.gov.pl) wraz z sektorowymi organami nadzorczymi. CERT Polska (cert.pl, prowadzony przez NASK) jest CSIRT-em krajowym dla zgłoszeń incydentów.

2. Czy dotyczy mojej firmy

Test składa się z trzech pytań. Wynik decision tree:

<line x1="380" y1="76" x2="200" y2="110" stroke="#00C2A8" stroke-width="1.5"/>
<line x1="380" y1="76" x2="560" y2="110" stroke="#00C2A8" stroke-width="1.5"/>
<text x="280" y="100" font-size="10" fill="#00C2A8">NIE</text>
<text x="470" y="100" font-size="10" fill="#00C2A8">TAK</text>

<rect x="100" y="110" width="200" height="56" rx="8" fill="#1A2733" stroke="#4A6072"/>
<text x="200" y="134" text-anchor="middle" font-size="11" font-weight="700">Nie podlegacie NIS2</text>
<text x="200" y="152" text-anchor="middle" font-size="10" fill="#E8F8F6">Środki nadal warte wdrożenia.</text>

<rect x="460" y="110" width="200" height="56" rx="8" fill="#00C2A8" fill-opacity="0.18" stroke="#00C2A8" stroke-width="2"/>
<text x="560" y="134" text-anchor="middle" font-size="11" font-weight="700">Pytanie 2</text>
<text x="560" y="152" text-anchor="middle" font-size="10" fill="#E8F8F6">≥50 prac. LUB ≥10 mln euro obrotu?</text>

<line x1="560" y1="166" x2="400" y2="200" stroke="#00C2A8" stroke-width="1.5"/>
<line x1="560" y1="166" x2="700" y2="200" stroke="#00C2A8" stroke-width="1.5"/>
<text x="475" y="190" font-size="10" fill="#00C2A8">NIE</text>
<text x="640" y="190" font-size="10" fill="#00C2A8">TAK</text>

<rect x="300" y="200" width="200" height="56" rx="8" fill="#1A2733" stroke="#4A6072"/>
<text x="400" y="224" text-anchor="middle" font-size="11" font-weight="700">Strefa szarości</text>
<text x="400" y="242" text-anchor="middle" font-size="10" fill="#E8F8F6">Wyjątki dla DNS, TLD, dostawcy ICT</text>

<rect x="600" y="200" width="140" height="56" rx="8" fill="#00C2A8" fill-opacity="0.28" stroke="#00C2A8" stroke-width="2"/>
<text x="670" y="224" text-anchor="middle" font-size="11" font-weight="700">PODLEGACIE</text>
<text x="670" y="242" text-anchor="middle" font-size="10" fill="#E8F8F6">Rejestracja do 3.10.2026</text>

<rect x="100" y="290" width="560" height="74" rx="8" fill="#1A2733" stroke="#00C2A8" stroke-width="1"/>
<text x="380" y="310" text-anchor="middle" font-size="11" font-weight="700" fill="#00C2A8">Per branża (typowe MŚP w portfelu CyberCerber)</text>
<text x="380" y="328" text-anchor="middle" font-size="10" fill="#E8F8F6">Gabinet stomatologiczny: zwykle poza zakresem (podmiot leczniczy &lt;50 prac.)</text>
<text x="380" y="344" text-anchor="middle" font-size="10" fill="#E8F8F6">Biuro rachunkowe: zwykle poza zakresem - chyba że portfel klientów to "ważne usługi"</text>
<text x="380" y="358" text-anchor="middle" font-size="10" fill="#E8F8F6">Klinika medycyny estetycznej: prawie zawsze poza zakresem</text>

Pytanie 1: Czy jesteś w sektorze załącznika I lub II UKSC?

Załącznik I (podmioty kluczowe), 11 sektorów: energetyka, transport, bankowość, infrastruktura rynków finansowych, ochrona zdrowia (szpitale i podmioty lecznicze powyżej progu), woda pitna, ścieki, infrastruktura cyfrowa (DNS, registry, cloud, IXP, TLD), zarządzanie usługami ICT, administracja publiczna, sektor kosmiczny.

Załącznik II (podmioty ważne), 7 sektorów: usługi pocztowe i kurierskie, gospodarka odpadami, produkcja, przetwarzanie i dystrybucja chemikaliów, produkcja, przetwarzanie i dystrybucja żywności, produkcja (urządzenia medyczne, motoryzacyjna, elektronika, maszyny), dostawcy usług cyfrowych (marketplace, wyszukiwarki, social), badania naukowe.

Pełne kody sektorów po stronie UKSC odsyłają do załączników dyrektywy NIS2 - zobacz art. 3 ust. 1 dyrektywy 2022/2555 i odpowiadające przepisy ustawy.

Pytanie 2: Czy spełniacie próg wielkości?

Próg “średniej firmy” według definicji NIS2 art. 3 ust. 1 (odsyłającej do załącznika do zalecenia Komisji 2003/361/WE): co najmniej 50 pracowników LUB roczny obrót albo bilans co najmniej 10 mln euro. Wystarczy jeden warunek. Firmy nieosiągające ani jednego z dwóch progów są poza zakresem - z wyjątkami.

Pytanie 3: Czy stosuje się któryś wyjątek od progu?

NIS2 art. 2 ust. 2 wskazuje typy podmiotów, które podlegają dyrektywie niezależnie od wielkości. Najczęściej dotyczy to: dostawców usług DNS, registry domen krajowych (np. NASK dla .pl), dostawców usług zarządzanych ICT, niektórych podmiotów krytycznych dla sektora, niektórych podmiotów dla bezpieczeństwa narodowego.

Większość polskich MŚP-gabinetów, biur, klinik te wyjątki nie dotyczą.

Per branża (CyberCerber portfolio)

Gabinet stomatologiczny - zwykle poza głównym zakresem. Sektor ochrony zdrowia obejmuje “podmioty lecznicze” zatrudniające powyżej progu. Gabinet jednoosobowy / 3-osobowy jest poza zakresem. Łańcuch dostaw: jeśli gabinet jest podwykonawcą szpitala publicznego (kluczowego), szpital może wymagać klauzul cyber w umowie - to obowiązek szpitala, nie wasz własny obowiązek NIS2.
Biuro rachunkowe - strefa szarości. Sam fakt prowadzenia księgowości nie obejmuje załącznika I ani II. Ale jeśli biuro świadczy usługi dla “podmiotu kluczowego” jako jego krytyczny dostawca ICT (np. zarządza systemami księgowymi szpitala), klient może egzekwować wymagania NIS2 przez umowę. Sprawdźcie portfolio.
Klinika medycyny estetycznej - prawie zawsze poza zakresem. Procedury estetyczne nie kwalifikują się jako “świadczenia zdrowotne” w rozumieniu ustawy o działalności leczniczej z 2011 r. (zob. art. 3 ust. 2 ustawy). Klinika z certyfikowanym personelem medycznym i procedurami “z pogranicza” (laser medyczny, podologia) może wpadać do sektora ochrony zdrowia - wówczas decyduje próg wielkości.

Jeśli odpowiedzi są niejednoznaczne, skonsultujcie z radcą prawnym przed terminem 3.10.2026. Samoidentyfikacja jest waszym obowiązkiem; niezgłoszenie się, gdy obowiązek istniał, jest sankcjonowane.

Pogłębione tematy zakresu: Czy NIS2 dotyczy mojej firmy - test w trzech krokach, Sektory załącznika I NIS2, Sektory załącznika II NIS2.

3. Obowiązki, gdy jesteś w zakresie

Termin 1: 3 października 2026 r. - rejestracja

Procedurę prowadzi Ministerstwo Cyfryzacji. Zgłoszenie zawiera: dane identyfikacyjne (KRS lub REGON, NIP), sektor z załącznika I lub II UKSC (kategoria z dyrektywy), wielkość firmy (liczba pracowników + obrót), osobę kontaktową ds. cyberbezpieczeństwa. Po zgłoszeniu podmiot otrzymuje status formalny (kluczowy lub ważny) i obowiązki z rozdziału 3 UKSC.

Sankcja za niezgłoszenie: kara administracyjna do 10 mln euro (dla obowiązku, który dotyczył podmiotu kluczowego). Pełna procedura - Rejestr podmiotów kluczowych NIS2.

Termin 2: 3 kwietnia 2027 r. - pełna zgodność z art. 21

Art. 21 ust. 2 dyrektywy NIS2 (i odpowiadające przepisy rozdziału 3 UKSC) wymaga 10 środków zarządzania ryzykiem cyberbezpieczeństwa:

Polityki analizy ryzyka i bezpieczeństwa systemów informacyjnych
Obsługa incydentów (Incident Handling)
Ciągłość działania - backup, plan awaryjny, zarządzanie kryzysowe
Bezpieczeństwo łańcucha dostaw, w tym aspekty bezpieczeństwa relacji z dostawcami i usługodawcami
Bezpieczeństwo w nabyciu, rozwoju i utrzymaniu systemów sieci i informacyjnych, w tym zarządzanie i ujawnianie podatności
Polityki i procedury oceny skuteczności środków zarządzania ryzykiem cyberbezpieczeństwa
Podstawowa higiena cyberbezpieczeństwa i szkolenia z cyberbezpieczeństwa
Polityki i procedury dotyczące stosowania kryptografii i, w odpowiednich przypadkach, szyfrowania
Bezpieczeństwo zasobów ludzkich, polityka kontroli dostępu i zarządzanie aktywami
Stosowanie uwierzytelniania wieloskładnikowego (MFA) lub uwierzytelniania ciągłego, bezpieczne usługi komunikacyjne i procedury awaryjne

Operacyjne minimum dla 10-osobowej firmy w zakresie (rzadkie, ale realne): pisemna polityka analizy ryzyka, MFA na kontach krytycznych, szyfrowanie at-rest/in-transit, backup 3-2-1 z testowaniem, klauzule cyber w umowach z dostawcami ICT, polityka szkoleń pracowników + zarządu, procedura zgłaszania incydentów. Większość elementów pokrywa się z art. 32 RODO - patrz Sekcja 4 poniżej.

Pogłębione tematy: NIS2 art. 21 - 10 środków zarządzania ryzykiem, NIS2 art. 21(d) - ocena skuteczności środków, NIS2 art. 21 - bezpieczeństwo łańcucha dostaw, Szkolenia zarządu z NIS2 - obowiązek z art. 20.

Termin 3: 3 kwietnia 2028 r. - pierwszy audyt

Tylko podmioty kluczowe (załącznik I) podlegają obowiązkowi pierwszego audytu w 2028 r. Audyt wykonuje niezależny audytor (kancelaria, firma compliance specjalistyczna). CyberCerber nie świadczy formalnych audytów zgodności - dostarczamy warstwę techniczną dowodu (ocena podatności, raport CVSS, dowód testowania środków), z której audytor korzysta przy ocenie skuteczności art. 21(2)(d).

Pogłębione tematy: Audyt NIS2 / UKSC - kto wykonuje, co obejmuje, Audyt NIS2 w głębi - co audytor sprawdza technicznie.

Raportowanie incydentów (od 3.10.2026 dla zarejestrowanych)

Art. 23 dyrektywy NIS2 wprowadza trójetapową procedurę zgłaszania istotnych incydentów do CSIRT NASK:

24 godziny - wczesne ostrzeżenie (early warning) z prostym opisem incydentu
72 godziny - pełne powiadomienie z oceną dotychczasowych działań
30 dni - raport końcowy z analizą przyczyn i wnioskami

System zgłoszeń prowadzi cert.pl. Procedura wewnętrzna podmiotu musi być spisana w polityce bezpieczeństwa.

Pogłębione tematy: Zgłoszenie incydentu NIS2, Podwójne zgłoszenie - UODO i CSIRT NASK.

4. Jak RODO i NIS2 się nakładają

Najczęstsze pytanie compliance officera: “Wdrożyłem RODO. Czy spełniam NIS2?” Odpowiedź: częściowo. Środki techniczne pokrywają się w 70-80%, ale obowiązki proceduralne i raportowe są niezależne.

Wymóg	RODO art. 32	NIS2 art. 21
MFA	”Odpowiednie” - UODO interpretuje jako obowiązkowe dla danych szczególnych kategorii	Wprost wymagane (środek nr 10)
Szyfrowanie	Wymienione jako przykład (art. 32 ust. 1)	Wprost wymagane (środek nr 8)
Backup	Implicite z “zdolności do przywrócenia” (art. 32 ust. 1 lit. c)	Wprost wymagane (środek nr 3)
Łatki/patch management	Implicite z “regularnego testowania skuteczności”	Wprost wymagane (środek nr 5)
Zarządzanie ryzykiem	Implicite	Wprost (środek nr 1)
Raportowanie naruszeń	UODO w 72h (art. 33)	CSIRT NASK 24h/72h/30 dni (art. 23)
Audyt	”Regularne testowanie skuteczności”	Pierwszy obowiązkowy 3.04.2028 dla kluczowych
Szkolenia	Implicite z “świadomości pracowników”	Wprost - art. 20 (zarząd) + art. 21 (pracownicy)
Łańcuch dostaw	Art. 28 (DPA dla procesorów danych osobowych)	Art. 21(2)(d) (szerszy, dla każdego dostawcy ICT)
Próg podmiotowy	Każdy administrator	≥50 prac. / ≥10 mln euro + sektor

Jeden incydent, dwa obowiązki: ransomware z wyciekiem danych osobowych w podmiocie zarejestrowanym jako kluczowy powoduje podwójne zgłoszenie: UODO w 72h (RODO art. 33) plus CSIRT NASK 24h/72h/30 dni (NIS2 art. 23). Procedura wewnętrzna powinna być zsynchronizowana - jeden incydent, dwa różne formularze, dwa różne odbiorcy.

Praktyczny wniosek dla podmiotów w obu reżimach: jeden zbiór środków technicznych satysfakcjonuje większość obu aktów. Inwestycja w MFA, szyfrowanie, backup, audyt zewnętrzny daje dowody zgodności dla obu regulatorów.

Pogłębione tematy: NIS2 vs RODO - różnice, RODO art. 32 - środki techniczne, MFA wymóg RODO - interpretacja UODO, Mapowanie ISO 27001 ↔ NIS2 art. 21.

5. Kary

RODO

Art. 83 RODO ustala dwa pułapy: do 10 mln euro lub 2% obrotu globalnego za naruszenia mniejszej wagi (np. art. 8, 11, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39); do 20 mln euro lub 4% obrotu globalnego za naruszenia podstawowych zasad przetwarzania (art. 5, 6, 7, 9, 12-22, 44-49). UODO w 2023 r. nałożył kary łącznie 13,7 mln zł; najwyższa polska kara to 4,9 mln zł (Morele.net, decyzja DKE.561.1.2019). MŚP typowo otrzymują 5 000-50 000 zł.

NIS2

Art. 34 dyrektywy + art. 73 UKSC: podmioty kluczowe - do 10 mln euro lub 2% obrotu globalnego (w zależności co wyższe); podmioty ważne - do 7 mln euro lub 1,4% obrotu globalnego.

Odpowiedzialność osobista zarządu

Art. 20 dyrektywy NIS2 wprowadza odpowiedzialność osobistą członków organu zarządzającego podmiotem kluczowym lub ważnym za zaniedbania w zarządzaniu ryzykiem cyberbezpieczeństwa. Możliwe sankcje obejmują czasowy zakaz pełnienia funkcji kierowniczych. To największa różnica wobec NIS1 - osoba decyzyjna nie może już zasłonić się “tym zajmuje się IT.”

Pogłębione tematy: Kary NIS2 - pułapy, odpowiedzialność zarządu, Kary UODO - statystyki roczne, Kara RODO - jak uniknąć.

6. Praktyczny przewodnik minimalnej zgodności

Trzy mini-checklisty dla typowych podmiotów w portfelu CyberCerber. Każda zakłada, że firma jest w zakresie NIS2 (rzadkie przypadki). Wersje PDF do pobrania w linkach poniżej.

Biuro rachunkowe 5-osobowe (zakładając zakres NIS2)

Sektor: zwykle poza zakresem - chyba że portfel klientów obejmuje “ważnych” lub “kluczowych” jako krytyczni dostawcy ICT (rzadko dla rozmiaru 5 osób). Mini-checklist zakłada scenariusz krytycznego dostawcy ICT dla podmiotu kluczowego.

Pisemna polityka analizy ryzyka cyber (1-2 strony, raz w roku przegląd)
MFA na: e-mail, KSeF, e-Urząd Skarbowy, ZUS PUE, bankowość, oprogramowanie księgowe
Szyfrowanie dysków BitLocker/FileVault na wszystkich stacjach
Backup 3-2-1 z testem odzysku co miesiąc (NAS + chmura immutable)
Procedura weryfikacji przelewów drugim kanałem
Klauzule cyber w umowach z klientami (prawo audytu, MFA u was, zgłaszanie incydentów)
Roczny zewnętrzny audyt podatności (warstwa techniczna art. 21(2)(d))
Szkolenie zarządu z cyberbezpieczeństwa raz w roku, lista obecności udokumentowana
Procedura zgłoszenia incydentów: UODO 72h + CSIRT NASK 24h/72h/30 dni

Pobierz checklist - biuro rachunkowe 5 osób

Sieć stomatologiczna 10 foteli (zakładając zakres NIS2)

Sektor: ochrona zdrowia jako “podmiot leczniczy” w rozumieniu ustawy o działalności leczniczej, w połączeniu z progiem zatrudnienia ≥50 osób (sieć 10 foteli, kilkudziesięciu pracowników). Częstszy scenariusz w zakresie niż solo-gabinet.

Polityka bezpieczeństwa danych medycznych (osobne dane o stanie zdrowia, art. 9 RODO)
MFA na: PRAKTYKAM, eRecepta/eSkierowanie, oprogramowanie stomatologiczne (Estomed, CGM Polonia, Kamsoft), backup chmurowy
Szyfrowanie at-rest dla bazy pacjentów i zdjęć RTG/CBCT
Backup zdjęć diagnostycznych z RPO ≤24h, RTO ≤72h
Klauzule cyber w umowach z dostawcami PACS, RIS, oprogramowania
DPIA dla każdego nowego systemu (art. 35 RODO + art. 21(5) NIS2)
Inspektor Ochrony Danych (obowiązkowy - art. 37 RODO dla dużej skali danych zdrowotnych)
Szkolenie zarządu kliniki co roku + zespołu medycznego co kwartał
Procedura podwójnego zgłoszenia: UODO 72h + CSIRT NASK 24h/72h/30 dni

Pobierz checklist - sieć stomatologiczna

Klinika medycyny estetycznej z 50+ pracownikami

Sektor: medycyna estetyczna jest poza zakresem ochrony zdrowia NIS2 (procedury kosmetyczne nie kwalifikują się jako “świadczenia zdrowotne” - art. 3 ust. 2 ustawy o działalności leczniczej). Ten checklist jest dla rzadkiego scenariusza: klinika z certyfikowanym personelem medycznym i ekspozycją na sektor zdrowia (laser medyczny pod nadzorem lekarza, podologia medyczna).

Polityka ochrony zdjęć przed/po (dane biometryczne - art. 9 RODO)
MFA na: booking online (Booksy, Estetii), CRM kliniki, system zarządzania placówką
Szyfrowanie at-rest dla bazy pacjentek + galerii przed/po
Backup z immutable dla zdjęć (ransomware celuje w wizerunek)
DPIA przed wdrożeniem każdego nowego systemu z danymi biometrycznymi
Klauzule cyber w umowach z dostawcami softu medycznego i booking
Szkolenie zarządu + recepcji (recepcja jest najczęstszym wektorem phishingu)
Procedura wycieku zdjęć - decyzja o powiadomieniu pacjentek (art. 34 RODO)
Procedura zgłoszenia incydentu: UODO 72h + jeśli zakres NIS2, CSIRT NASK

Pobierz checklist - klinika medycyny estetycznej

7. Jak CyberCerber pomaga

CyberCerber dostarcza warstwę techniczną dowodu wymaganą przez art. 21(2)(d) NIS2 i art. 32 RODO: zewnętrzną ocenę podatności infrastruktury widocznej z internetu, raport po polsku z priorytetami CVSS, plan naprawczy, dowód regularnego testowania środków.

Czego CyberCerber nie świadczy: formalnych audytów zgodności NIS2/RODO, opinii prawnych, reprezentacji przed UODO ani Ministerstwem Cyfryzacji, doradztwa w sprawie zakresu obowiązków. Tę warstwę zapewniają kancelarie prawne, IOD-y wewnętrzni i firmy compliance specjalistyczne. CyberCerber jest technicznym dostawcą dowodu, nie prawnym interpretatorem.

Trzy produkty: PreScan (bezpłatny skan diagnostyczny), CyberAudyt (pełna ocena podatności) i Pentest (dla podmiotów regulowanych) - wycena w cenniku. Konsultacja przez contact lub bezpłatne skanowanie wstępne.

8. FAQ

(See faq field in frontmatter - 12 atomic Q/A pairs rendered as FAQPage JSON-LD.)

9. Powiązane przewodniki

Porównania:

RODO vs NIS2 - porównanie obowiązków dla MŚP

Sąsiednie pillary: