---
title: "Ankieta CSIRT CeZ: pierwszy test gotowości KSC w placówce
"
description: "Sprawdź, co zebrać przed ankietą CSIRT CeZ: status KSC, osobę kontaktową, systemy, dostawców i dokumenty w polskiej placówce bez chaosu.
"
image: "https://ai4med.pl/img/ankieta-csirt-ksc.jpg"
date: 2026-07-07
author: Jacek Wyderka
category: Dane i bezpieczeństwo
tags: CSIRT CeZ, KSC, cyberbezpieczeństwo, osoba kontaktowa, placówka medyczna
url: "https://ai4med.pl/dane-i-bezpieczenstwo/ankieta-csirt-ksc"
inLanguage: pl
---

# Ankieta CSIRT CeZ: pierwszy test gotowości KSC w placówce


## Czego dowiesz się z tego artykułu?

- Jak potraktować ankietę CSIRT CeZ jako pierwszy test gotowości KSC, a nie zadanie wyłącznie dla informatyka.
- Co zebrać przed formularzem: status podmiotu, osobę kontaktową, systemy, dostawców i minimalną dokumentację.
- Kiedy warto wypełnić ankietę od razu, a kiedy najpierw uporządkować odpowiedzialność w placówce.

Ankieta CSIRT CeZ nie jest kolejnym formularzem, który manager może odesłać do „kogoś od komputerów”. W polskiej przychodni dotyka ona **kwalifikacji pod KSC**, **osoby kontaktowej ds. cyberbezpieczeństwa** i tego, czy placówka ma podstawowe informacje o systemach, dostawcach oraz procedurach.

Nie traktowałbym jej jak egzaminu, tylko jak szybki przegląd gotowości. Jeśli odpowiedzi trzeba dopiero odtwarzać z maili, umów i pamięci recepcji, to problemem nie jest sama ankieta. Problemem jest **brak właściciela bezpieczeństwa** i **brak jednego miejsca z decyzjami**, zanim pojawi się incydent albo pytanie od dostawcy.

## Najważniejsze

- Ankieta samooceny pomaga sprawdzić, czy KSC może dotyczyć placówki i czy bliżej jej do podmiotu kluczowego, czy ważnego.
- Pierwszy wynik dla managera to nie „zielone światło”, tylko **lista braków do domknięcia**: kontakt, systemy, dostawcy, procedura incydentu, dokumenty.
- Osoba kontaktowa do CSIRT CeZ powinna znać organizację i umieć koordynować działania, nawet jeśli technicznie wspiera ją zewnętrzny dostawca.
- AI może pomóc uporządkować wewnętrzną listę pytań, ale **człowiek zatwierdza kwalifikację, zakres danych i kontakt z CSIRT CeZ**.

## Karta decyzji przed ankietą

To ma sens, gdy placówka ma już podstawową mapę systemów: EDM, grafik, pocztę, telefonię, stronę, formularze i dostawców utrzymania. Wtedy ankieta CSIRT CeZ pomaga **sprawdzić luki**, a nie rozpoczyna gorączkowe szukanie informacji po całej organizacji.

To nie ma sensu, gdy nikt nie wie, kto odpowiada za cyberbezpieczeństwo, kto odbiera ostrzeżenia i kto zatwierdza zgłoszenie incydentu. W takiej sytuacji ja bym najpierw wyznaczył **właściciela decyzji** i **osobę kontaktową**, a dopiero potem wypełniał formularz.

| Pytanie managera | Co ustalić przed ankietą | Kto potwierdza |
| --- | --- | --- |
| Czy KSC może nas dotyczyć? | zakres świadczeń, wielkość organizacji, rola w systemie ochrony zdrowia | właściciel lub zarząd z prawnikiem |
| Jaki mamy kontakt bezpieczeństwa? | imię, skrzynka, telefon, zastępstwo, ścieżka eskalacji | manager operacyjny |
| Jakie systemy obsługują pacjentów? | EDM, grafik, poczta, telefonia, formularze, kopie zapasowe | dostawca IT lub administrator |
| Co zrobimy przy incydencie? | procedura zgłoszenia, logi, załączniki, decyzja o ciągłości świadczeń | manager, IOD i dostawca techniczny |

## Co zebrać, zanim wejdziesz do formularza

Najbardziej praktyczny pakiet startowy mieści się w jednej tabeli roboczej. Wpisz system, dostawcę, właściciela po stronie placówki, kanał wsparcia, miejsce przechowywania logów i informację, czy system przetwarza dane pacjentów. **Nie chodzi o perfekcyjną inwentaryzację**, tylko o to, żeby ankieta nie była pierwszym momentem, w którym placówka odkrywa zależności.

Drugim pakietem są dokumenty: procedura obsługi incydentu, zasady dostępu do kont, opis kopii zapasowych, kontakt do IOD i lista osób upoważnionych do rozmowy z dostawcami. Jeżeli placówka korzysta z narzędzi AI przy mailach, formularzach albo analizie zgłoszeń, warto od razu wrócić do tematu [cyberbezpieczeństwa AI w placówce](/dane-i-bezpieczenstwo/cyberbezpieczenstwo-ai), bo **automatyzacja nie może omijać zasad danych pacjenta**.

## Mała przychodnia: przykład bez danych pacjenta

Wyobraźmy sobie prywatną przychodnię specjalistyczną w Polsce. Kierownik rejestracji wie, kto obsługuje grafik, ale nie wie, kto ma logi z poczty. Właściciel ma umowę z dostawcą EDM, ale nie ma wpisanej osoby kontaktowej do zdarzeń bezpieczeństwa. IOD zna procedurę naruszenia danych, ale nie uczestniczy w rozmowie o KSC. **To nie jest zła wola zespołu**, tylko typowy rozjazd odpowiedzialności.

W takim układzie ankieta CSIRT CeZ może być bardzo pożyteczna, jeśli poprzedzi ją krótka narada: właściciel, manager, IOD, rejestracja i dostawca IT. AI może przygotować pustą kartę pytań albo uporządkować notatki bez danych pacjentów, ale **human-in-the-loop zostaje obowiązkowy**: człowiek decyduje, co wolno wpisać, co trzeba sprawdzić prawnie i kto bierze odpowiedzialność za odpowiedź.

Jeżeli później okaże się, że placówka musi przygotować procedurę zgłoszenia zdarzenia, dobrym uzupełnieniem jest plan [zgłoszenia incydentu do CSIRT CeZ](/dane-i-bezpieczenstwo/csirt-cez-incydent). Tam pracujesz nad reakcją po zdarzeniu; tutaj nad tym, czy w ogóle masz **kontakt, dane wejściowe i minimalny porządek**, zanim zdarzenie przerwie pracę recepcji.

## Pierwszy ruch po lekturze

Pierwszy krok: sugeruję zacząć od 30 minut i jednej osoby odpowiedzialnej. Niech manager wpisze systemy, dostawców, osobę kontaktową, zastępstwo i brakujące dokumenty. Potem można wejść w ankietę CSIRT CeZ z konkretem, a nie z nadzieją, że formularz sam wyjaśni organizację placówki.

Na koniec zostaw jedną prostą metrykę: czy po spotkaniu placówka ma komplet odpowiedzi do ankiety oraz wskazany kontakt bezpieczeństwa. Jeśli nie, to jest pierwszy backlog do zamknięcia. **Nie obiecuj pełnej zgodności po jednym formularzu**. Obiecaj zespołowi coś rozsądniejszego: mniej chaosu, gdy pojawi się pytanie o KSC albo cyberincydent.

## Źródła

- [Centrum e-Zdrowia — „Nowy bastion cyberbezpieczeństwa w ochronie zdrowia. Poznaj portal CSIRT CeZ”](https://www.cez.gov.pl/pl/page/o-nas/aktualnosci/nowy-bastion-cyberbezpieczenstwa-w-ochronie-zdrowia-poznaj-portal-csirt-cez), 23.06.2026. Oficjalny komunikat CeZ; wnosi główny hook artykułu: portal CSIRT CeZ, ankietę samooceny KSC, formularz incydentu i zgłoszenie osoby kontaktowej, dostęp: 2026-07-06.
- [Centrum e-Zdrowia — „Weryfikacja zgodności z wymogami cyberbezpieczeństwa”](https://cez.gov.pl/pl/page/weryfikacja-zgodnosci-z-wymogami-cyberbezpieczenstwa). Oficjalna strona narzędzia; pokazuje proces: sprawdzenie statusu, ocena gotowości, plan działania, dokumenty pomocnicze i zastrzeżenie, że ankiety są pomocnicze, dostęp: 2026-07-06.
- [Ministerstwo Cyfryzacji — „Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC) — obowiązki podmiotów kluczowych i ważnych”](https://www.gov.pl/web/cyfryzacja/nowelizacja-ustawy-o-krajowym-systemie-cyberbezpieczenstwa-ksc---obowiazki-podmiotow-kluczowych-i-waznych), 05.06.2026. Źródło rządowe; porządkuje obowiązek wpisu do Wykazu KSC, System S46, SZBI, zgłaszanie incydentów i osoby do kontaktów z podmiotami KSC, dostęp: 2026-07-06.
- [Centrum e-Zdrowia — „Nowe przepisy KSC — sprawdź, czy dotyczą Twojego podmiotu”](https://cez.gov.pl/pl/page/o-nas/aktualnosci/nowe-przepisy-ksc-sprawdz-czy-dotycza-twojego-podmiotu), 03.04.2026. Praktyczne tło dla placówek ochrony zdrowia; wyjaśnia osobę kontaktową, SZBI, ankiety samooceny i procedurę obsługi incydentów, dostęp: 2026-07-06.
- Okładka: [Negative Space na Pexels](https://www.pexels.com/photo/computer-desk-laptop-stethoscope-48604/) — spokojny kadr laptopa i stetoskopu, bez sensacyjności i bez widocznych danych pacjenta, dostęp: 2026-07-06.
