Audyty KRI, KSC, NIS2, PKE

Apteki obowiązki ustawowe KSC audyty sankcje

Posted on 10 lutego 2026 by Audytor ISO 27001

Apteki obowiązkowo wdrażają środki organizacyjne, techniczne oraz cykliczne audyty w celu zachowania zgodności z Krajowym Systemem Cyberbezpieczeństwa.

Apteki jako podmioty kluczowe. Nowelizacja KSC – wdrażenie dyrektywy NIS2, obowiązki, audyty i sankcje.

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), rozszerza katalog podmiotów kluczowych. Dla aptek wymaga to wdrożenia środków organizacyjnych i technicznych oraz cyklicznych audytów.

To nie jest „zalecenie” ani „dobry standard” – to obowiązek ustawowy, którego niewykonanie wiąże się z odpowiedzialnością administracyjną i finansową.

Co oznacza status podmiotu kluczowego według nowelizacji KSC

Nowelizacja nie narzuca certyfikacji samych aptek ani modelu „jak w banku”. Narzuca natomiast obowiązki ustawowe, które dotyczą cyberbezpieczeństwa i ciągłości świadczenia usługi kluczowej.

  • System zarządzania cyberbezpieczeństwem oparty na analizie ryzyka i proporcjonalnych środkach.
  • Ciągłość świadczenia usługi kluczowej – zdolność utrzymania lub szybkiego przywrócenia działania po incydencie.
  • Zgłaszanie poważnych incydentów do właściwego CSIRT.
  • Obowiązkowy audyt bezpieczeństwa systemu informacyjnego:
    • pierwszy audyt – w terminie wynikającym z przepisów przejściowych,
    • kolejne audyty – co 36 miesięcy,
    • audyt zewnętrzny i niezależny (zakaz konfliktu interesów).
  • Przekazanie raportu z audytu do organu nadzorczego w terminie wskazanym ustawą.

Ustawa nie wymaga certyfikacji apteki do ISO 27001 ani ISO 22301. Wymaga natomiast wykazania, że środki bezpieczeństwa i procedury działają operacyjnie.

Jak te obowiązki wyglądają w realiach apteki

Usługą kluczową apteki jest wydawanie leków i realizacja recept. Dlatego obowiązki KSC w aptece dotyczą systemów i procesów, które bezpośrednio warunkują tę usługę.

Systemy w aptece, które wchodzą w zakres obowiązków

  • system apteczny (sprzedaż, recepty, refundacje, stany magazynowe),
  • połączenie z P1 / e-Receptą,
  • stanowiska farmaceutów (komputery używane do realizacji recept i sprzedaży),
  • łącze internetowe wykorzystywane do realizacji recept,
  • integracje z hurtowniami farmaceutycznymi (zamówienia i dostępność).

Co zwykle jest poza zakresem KSC w aptece

  • strona WWW apteki,
  • media społecznościowe,
  • komputer księgowy, jeśli nie uczestniczy w procesie sprzedaży leków,
  • systemy reklamowe i marketingowe.

Regulacja nie dotyczy „całej firmy w aptece”, tylko zdolności do realizacji usługi kluczowej w praktyce.

Co jest incydentem w aptece w rozumieniu KSC

Incydentem nie jest każdy problem IT. Incydent istotny z punktu widzenia apteki to taki, który wpływa na wydawanie leków i realizację recept, w szczególności:

  • brak dostępu do e-Recept (P1),
  • awaria systemu aptecznego blokująca sprzedaż leków,
  • atak, który uniemożliwia pracę stanowisk farmaceutów,
  • naruszenie integralności danych recept lub rozliczeń refundacyjnych,
  • długotrwała niedostępność systemu kluczowego dla obsługi pacjentów.

Spam, awaria drukarki czy problem na komputerze zaplecza nie są incydentem KSC, jeśli proces wydawania leków działa i nie ma wpływu na usługę kluczową.

Audyt w aptece – co będzie faktycznie sprawdzane

Audyt ustawowy nie polega na „zbieraniu certyfikatów”. Sprawdza się konkretne zdolności operacyjne apteki:

  • czy apteka ma i stosuje procedurę pracy awaryjnej przy braku internetu lub awarii systemu,
  • czy dane krytyczne (sprzedaż, recepty, konfiguracje) są zabezpieczone i możliwe do odtworzenia,
  • czy dostęp do systemu aptecznego jest kontrolowany (uprawnienia, konta, zasady dostępu),
  • czy personel wie, co robić w przypadku incydentu i komu zgłosić problem,
  • czy wdrożone środki techniczne minimalizują ryzyko przerwy w wydawaniu leków.

Sankcje – dlaczego właściciel apteki nie powinien tego ignorować

Nowelizacja przewiduje administracyjne kary pieniężne oraz środki nadzorcze, w szczególności za:

  • brak wdrożenia wymaganych środków cyberbezpieczeństwa,
  • brak audytu lub nierzetelny audyt,
  • brak zgłoszenia poważnego incydentu,
  • brak współpracy z organem właściwym ds. cyberbezpieczeństwa.

Odpowiedzialność ponosi podmiot prowadzący aptekę. Outsourcing IT nie przenosi odpowiedzialności ustawowej na wykonawcę.

Co właściciel apteki powinien zrobić teraz

  • zidentyfikować systemy krytyczne dla wydawania leków i realizacji e-Recept,
  • opracować i wdrożyć procedury awaryjne (system apteczny, internet, P1),
  • opracować i wdrożyć SZBI – System Zarządzania Bezpieczeństwem Informacji,
  • w terminie 6 miesięcy należy dokonać wpisu do wykazu określając m.in. osobę do kontaktu z podmiotami z krajowego systemu
    cyberbezpieczeństwa,
  • przeprowadzić pierwszy audyt audyt w terminie 24 miesięcy i przygotować dowody wdrożenia środków,
  • zaplanować audyt ustawowy w cyklu 36 miesięcy,
  • ustalić ścieżkę zgłaszania incydentów i osoby odpowiedzialne,
  • traktować wymagania KSC jako obowiązek prawny, nie „dobry standard”.

Sedno: regulacja ma jeden praktyczny cel – cyberincydent nie może odciąć pacjentów od leków. Apteka ma być gotowa na awarię w taki sposób, aby proces wydawania leków dało się utrzymać lub szybko przywrócić.

Rezerwacja terminu audytu KSC