Czego dowiesz się z tego artykułu?
- Jak potraktować ankietę CSIRT CeZ jako pierwszy test gotowości KSC, a nie zadanie wyłącznie dla informatyka.
- Co zebrać przed formularzem: status podmiotu, osobę kontaktową, systemy, dostawców i minimalną dokumentację.
- Kiedy warto wypełnić ankietę od razu, a kiedy najpierw uporządkować odpowiedzialność w placówce.
Ankieta CSIRT CeZ nie jest kolejnym formularzem, który manager może odesłać do „kogoś od komputerów”. W polskiej przychodni dotyka ona kwalifikacji pod KSC, osoby kontaktowej ds. cyberbezpieczeństwa i tego, czy placówka ma podstawowe informacje o systemach, dostawcach oraz procedurach.
Nie traktowałbym jej jak egzaminu, tylko jak szybki przegląd gotowości. Jeśli odpowiedzi trzeba dopiero odtwarzać z maili, umów i pamięci recepcji, to problemem nie jest sama ankieta. Problemem jest brak właściciela bezpieczeństwa i brak jednego miejsca z decyzjami, zanim pojawi się incydent albo pytanie od dostawcy.
Najważniejsze
- Ankieta samooceny pomaga sprawdzić, czy KSC może dotyczyć placówki i czy bliżej jej do podmiotu kluczowego, czy ważnego.
- Pierwszy wynik dla managera to nie „zielone światło”, tylko lista braków do domknięcia: kontakt, systemy, dostawcy, procedura incydentu, dokumenty.
- Osoba kontaktowa do CSIRT CeZ powinna znać organizację i umieć koordynować działania, nawet jeśli technicznie wspiera ją zewnętrzny dostawca.
- AI może pomóc uporządkować wewnętrzną listę pytań, ale człowiek zatwierdza kwalifikację, zakres danych i kontakt z CSIRT CeZ.
Karta decyzji przed ankietą
To ma sens, gdy placówka ma już podstawową mapę systemów: EDM, grafik, pocztę, telefonię, stronę, formularze i dostawców utrzymania. Wtedy ankieta CSIRT CeZ pomaga sprawdzić luki, a nie rozpoczyna gorączkowe szukanie informacji po całej organizacji.
To nie ma sensu, gdy nikt nie wie, kto odpowiada za cyberbezpieczeństwo, kto odbiera ostrzeżenia i kto zatwierdza zgłoszenie incydentu. W takiej sytuacji ja bym najpierw wyznaczył właściciela decyzji i osobę kontaktową, a dopiero potem wypełniał formularz.
| Pytanie managera | Co ustalić przed ankietą | Kto potwierdza |
|---|---|---|
| Czy KSC może nas dotyczyć? | zakres świadczeń, wielkość organizacji, rola w systemie ochrony zdrowia | właściciel lub zarząd z prawnikiem |
| Jaki mamy kontakt bezpieczeństwa? | imię, skrzynka, telefon, zastępstwo, ścieżka eskalacji | manager operacyjny |
| Jakie systemy obsługują pacjentów? | EDM, grafik, poczta, telefonia, formularze, kopie zapasowe | dostawca IT lub administrator |
| Co zrobimy przy incydencie? | procedura zgłoszenia, logi, załączniki, decyzja o ciągłości świadczeń | manager, IOD i dostawca techniczny |
Co zebrać, zanim wejdziesz do formularza
Najbardziej praktyczny pakiet startowy mieści się w jednej tabeli roboczej. Wpisz system, dostawcę, właściciela po stronie placówki, kanał wsparcia, miejsce przechowywania logów i informację, czy system przetwarza dane pacjentów. Nie chodzi o perfekcyjną inwentaryzację, tylko o to, żeby ankieta nie była pierwszym momentem, w którym placówka odkrywa zależności.
Drugim pakietem są dokumenty: procedura obsługi incydentu, zasady dostępu do kont, opis kopii zapasowych, kontakt do IOD i lista osób upoważnionych do rozmowy z dostawcami. Jeżeli placówka korzysta z narzędzi AI przy mailach, formularzach albo analizie zgłoszeń, warto od razu wrócić do tematu cyberbezpieczeństwa AI w placówce, bo automatyzacja nie może omijać zasad danych pacjenta.
Mała przychodnia: przykład bez danych pacjenta
Wyobraźmy sobie prywatną przychodnię specjalistyczną w Polsce. Kierownik rejestracji wie, kto obsługuje grafik, ale nie wie, kto ma logi z poczty. Właściciel ma umowę z dostawcą EDM, ale nie ma wpisanej osoby kontaktowej do zdarzeń bezpieczeństwa. IOD zna procedurę naruszenia danych, ale nie uczestniczy w rozmowie o KSC. To nie jest zła wola zespołu, tylko typowy rozjazd odpowiedzialności.
W takim układzie ankieta CSIRT CeZ może być bardzo pożyteczna, jeśli poprzedzi ją krótka narada: właściciel, manager, IOD, rejestracja i dostawca IT. AI może przygotować pustą kartę pytań albo uporządkować notatki bez danych pacjentów, ale human-in-the-loop zostaje obowiązkowy: człowiek decyduje, co wolno wpisać, co trzeba sprawdzić prawnie i kto bierze odpowiedzialność za odpowiedź.
Jeżeli później okaże się, że placówka musi przygotować procedurę zgłoszenia zdarzenia, dobrym uzupełnieniem jest plan zgłoszenia incydentu do CSIRT CeZ. Tam pracujesz nad reakcją po zdarzeniu; tutaj nad tym, czy w ogóle masz kontakt, dane wejściowe i minimalny porządek, zanim zdarzenie przerwie pracę recepcji.
Pierwszy ruch po lekturze
Pierwszy krok: sugeruję zacząć od 30 minut i jednej osoby odpowiedzialnej. Niech manager wpisze systemy, dostawców, osobę kontaktową, zastępstwo i brakujące dokumenty. Potem można wejść w ankietę CSIRT CeZ z konkretem, a nie z nadzieją, że formularz sam wyjaśni organizację placówki.
Na koniec zostaw jedną prostą metrykę: czy po spotkaniu placówka ma komplet odpowiedzi do ankiety oraz wskazany kontakt bezpieczeństwa. Jeśli nie, to jest pierwszy backlog do zamknięcia. Nie obiecuj pełnej zgodności po jednym formularzu. Obiecaj zespołowi coś rozsądniejszego: mniej chaosu, gdy pojawi się pytanie o KSC albo cyberincydent.
Źródła
- Centrum e-Zdrowia — „Nowy bastion cyberbezpieczeństwa w ochronie zdrowia. Poznaj portal CSIRT CeZ”, 23.06.2026. Oficjalny komunikat CeZ; wnosi główny hook artykułu: portal CSIRT CeZ, ankietę samooceny KSC, formularz incydentu i zgłoszenie osoby kontaktowej, dostęp: 2026-07-06.
- Centrum e-Zdrowia — „Weryfikacja zgodności z wymogami cyberbezpieczeństwa”. Oficjalna strona narzędzia; pokazuje proces: sprawdzenie statusu, ocena gotowości, plan działania, dokumenty pomocnicze i zastrzeżenie, że ankiety są pomocnicze, dostęp: 2026-07-06.
- Ministerstwo Cyfryzacji — „Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) — obowiązki podmiotów kluczowych i ważnych”, 05.06.2026. Źródło rządowe; porządkuje obowiązek wpisu do Wykazu KSC, System S46, SZBI, zgłaszanie incydentów i osoby do kontaktów z podmiotami KSC, dostęp: 2026-07-06.
- Centrum e-Zdrowia — „Nowe przepisy KSC — sprawdź, czy dotyczą Twojego podmiotu”, 03.04.2026. Praktyczne tło dla placówek ochrony zdrowia; wyjaśnia osobę kontaktową, SZBI, ankiety samooceny i procedurę obsługi incydentów, dostęp: 2026-07-06.
- Okładka: Negative Space na Pexels — spokojny kadr laptopa i stetoskopu, bez sensacyjności i bez widocznych danych pacjenta, dostęp: 2026-07-06.