Comisia Europeană a prezentat un plan de acțiune pentru consolidarea securității cibernetice a spitalelor și a furnizorilor de servicii medicale.
Digitalizarea va revoluționa asistența medicală prin inovații (dosarul electronic de sănătate, telemedicină și diagnosticarea bazată pe IA), iar atacurile cibernetice pot întârzia procedurile medicale, pot crea blocaje în camerele de urgență și pot perturba serviciile vitale care, în cazuri grave, ar putea avea un impact direct asupra vieții europenilor. În 2023, statele membre au raportat 309 incidente semnificative de securitate cibernetică care au afectat sectorul asistenței medicale, mai mult decât în orice alt sector critic.
Planul CE, prima inițiativă sectorială de implementare a întregii game de măsuri ale UE în materie de securitate cibernetică, propune, printre altele, ca ENISA, Agenția UE pentru Securitate Cibernetică, să înființeze un Centru paneuropean de sprijin în materie de securitate cibernetică pentru spitale și furnizorii de servicii medicale, oferindu-le orientări, instrumente, servicii și formare adaptate.
Pe scurt, planul de acțiune se axează pe patru priorități:
Prevenire – Planul contribuie la consolidarea capacităților sectorului sănătății de a preveni incidentele de securitate cibernetică prin măsuri de pregătire consolidate, cum ar fi orientări privind punerea în aplicare a practicilor critice în materie de securitate cibernetică. În al doilea rând, statele membre pot introduce, de asemenea, vouchere de securitate cibernetică pentru a oferi asistență financiară microîntreprinderilor, spitalelor mici și mijlocii și furnizorilor de servicii medicale. În cele din urmă, UE va dezvolta, de asemenea, resurse de învățare în materie de securitate cibernetică pentru profesioniștii din domeniul sănătății.
Detectarea și identificarea amenințărilor – Dezvoltarea unui serviciu de alertă timpurie la nivelul UE, care va furniza alerte în timp aproape real cu privire la potențialele amenințări cibernetice, până în 2026.
Răspuns la atacurile cibernetice – un serviciu de răspuns rapid pentru sectorul sănătății în cadrul rezervei UE pentru securitate cibernetică. Pot avea loc exerciții naționale de securitate cibernetică, împreună cu elaborarea unor manuale pentru a ghida organizațiile din domeniul sănătății să răspundă amenințărilor specifice la adresa securității cibernetice, inclusiv a ransomware-ului. Statele membre sunt încurajate să solicite raportarea plăților de răscumpărare de la entități, pentru a le putea oferi sprijinul de care au nevoie și pentru a permite autorităților de aplicare a legii să ia măsuri subsecvente.
Descurajare: Protejarea sistemelor europene de sănătate prin descurajarea atacatorilor care reprezintă amenințări cibernetice. Aceasta include utilizarea setului de instrumente pentru diplomația cibernetică, un răspuns diplomatic comun al UE la activitățile cibernetice răuvoitoare.
Planul de acțiune va fi pus în aplicare împreună cu furnizorii de servicii medicale, cu statele membre și cu comunitatea de securitate cibernetică. Comisia va lansa o consultare publică cu privire la acest plan, deschisă tuturor cetățenilor și părților interesate.
Acțiunile specifice vor fi puse în aplicare progresiv în 2025 și 2026. Rezultatele consultării vor fi incluse în alte recomandări până la sfârșitul anului.
Planul de acțiune răspunde urgenței situației și amenințărilor unice cu care se confruntă sectorul. Acesta se bazează pe cadrul legislativ existent în domeniul securității cibernetice. În temeiul Directivei NIS2, spitalele și alți furnizori de servicii medicale sunt stabiliți ca un sector de mare importanță. Cadrul de securitate cibernetică NIS2 funcționează în paralel cu Actul privind reziliența cibernetică, prima legislație a UE care introduce cerințe obligatorii în materie de securitate cibernetică pentru produsele care includ elemente digitale, intrat în vigoare la 10 decembrie 2024. Comisia a instituit, de asemenea, un mecanism pentru situații de urgență cibernetică în temeiul Regulamentului privind solidaritatea cibernetică, care consolidează solidaritatea UE și acțiunile coordonate pentru a detecta, a pregăti și a răspunde în mod eficace la amenințările și incidentele tot mai mari de securitate cibernetică.