Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa

W Dzienniku Ustaw została opublikowana nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, wdrażająca m.in. dyrektywę NIS 2. Oznacza to, że przepisy te stały się obowiązującym prawem i w określonych przypadkach mogą mieć zastosowanie także do producentów wyrobów medycznych.

Celem niniejszej informacji jest zasygnalizowanie najważniejszych kwestii, na które firmy członkowskie OPPM Technomed powinny zwrócić uwagę.

Kogo może dotyczyć nowa regulacja?

Ustawa obejmuje sektor produkcji, w tym podsektor produkcji wyrobów medycznych oraz wyrobów medycznych do diagnostyki in vitro, nadzorowany przez ministra właściwego do spraw zdrowia.

Nowe obowiązki mogą dotyczyć producentów wszystkich rodzajów wyrobów medycznych (nie tylko IVD), jeżeli – w zależności od skali i charakteru działalności - zostaną oni zakwalifikowani jako tzw. podmioty kluczowe lub podmioty ważne w rozumieniu ustawy.

Decydujące znaczenie mają m.in.:

• wielkość przedsiębiorstwa,

• znaczenie systemów informacyjnych dla produkcji, jakości i bezpieczeństwa wyrobów,

• potencjalne skutki zakłócenia działania tych systemów dla zdrowia publicznego lub ciągłości dostaw.

Na co szczególnie powinny zwrócić uwagę firmy z branży wyrobów medycznych?

1. Cyberbezpieczeństwo jako element compliance

Ustawa wprowadza obowiązek wdrożenia systemu zarządzania bezpieczeństwem informacji, obejmującego m.in.:

• ocenę ryzyka cyberbezpieczeństwa,

• zabezpieczenie systemów IT wykorzystywanych w projektowaniu, wytwarzaniu i nadzorze nad wyrobami,

• procedury reagowania na incydenty,

• zapewnienie ciągłości działania.

2. Zgłaszanie incydentów cyberbezpieczeństwa

Podmioty objęte ustawą będą zobowiązane do zgłaszania poważnych incydentów cyberbezpieczeństwa do właściwego CSIRT sektorowego w określonych terminach.

3. Audyty i nadzór

Dla części firm przewidziano obowiązek przeprowadzania audytów bezpieczeństwa systemów informacyjnych oraz możliwość kontroli ze strony organów właściwych ds. cyberbezpieczeństwa.

4. Odpowiedzialność kierownictwa

Za zapewnienie zgodności z nowymi przepisami odpowiada kierownictwo podmiotu, a ustawa przewiduje możliwość stosowania środków nadzorczych i kar finansowych w przypadku niewywiązania się z obowiązków.

Dlaczego to istotne dla branży medycznej?

Nowe regulacje należy postrzegać jako horyzontalne uzupełnienie wymagań MDR i IVDR, koncentrujące się nie na samym wyrobie, lecz na bezpieczeństwie systemów informacyjnych, od których zależy:

• bezpieczeństwo pacjentów,

• integralność danych,

• ciągłość produkcji i dostaw wyrobów medycznych.

Co jest istotne?

• zapoznie się z nowymi przepisami w kontekście własnej działalności,

• wstępna ocena roli systemów IT w procesach projektowania, wytwarzania i nadzoru nad wyrobami,

• rozważenie, czy firma może podlegać kwalifikacji jako podmiot kluczowy lub ważny,

• uwzględnienie cyberbezpieczeństwa jako elementu systemu zgodności regulacyjnej.

OPPM Technomed będzie monitorować dalsze wytyczne oraz praktykę stosowania przepisów i informować członków o istotnych zmianach lub inicjatywach (np. webinariach, materiałach informacyjnych).

Dziennik Ustaw: Ustawa z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw