Komisja przedstawiła plan działania UE mający na celu zwiększenie cyberbezpieczeństwa szpitali i świadczeniodawców. 

Plan działania został ogłoszony w wytycznych politycznych przewodniczącej Ursuli von der Leyenjako kluczowy priorytet w ciągu pierwszych 100 dni nowej kadencji. Inicjatywa ta jest ważnym krokiem w kierunku ochrony sektora opieki zdrowotnej przed zagrożeniami cybernetycznymi. Dzięki zwiększeniu zdolności szpitali i świadczeniodawców w zakresie wykrywania zagrożeń, gotowości i reagowania na nie stworzy bezpieczniejsze i pewniejsze środowisko dla pacjentów i pracowników służby zdrowia.

Cyfryzacja przynosi rewolucję w opiece zdrowotnej, umożliwiając lepsze usługi dla pacjentów dzięki innowacjom, takim jak elektroniczna dokumentacja medyczna, telemedycyna i diagnostyka oparta na sztucznej inteligencji. Cyberataki mogą jednak opóźnić procedury medyczne, doprowadzić do zastoju na oddziałach ratunkowych i zakłócić kluczowe usługi, co w ciężkich przypadkach może mieć bezpośredni wpływ na życie Europejczyków. W 2023 r. państwa członkowskie zgłosiły 309 poważnych cyberincydentów mających wpływ na sektor opieki zdrowotnej – więcej niż w jakimkolwiek innym sektorze krytycznym.

W planie działania proponuje się m.in., aby ENISA, unijna agencja ds. cyberbezpieczeństwa, utworzyła ogólnoeuropejskie centrum wsparcia cyberbezpieczeństwa dla szpitali i świadczeniodawców, zapewniając im dostosowane do potrzeb wytyczne, narzędzia, usługi i szkolenia. Inicjatywa opiera się na szerszych ramach UE służących wzmocnieniu cyberbezpieczeństwa w całej infrastrukturze krytycznej i stanowi pierwszą inicjatywę sektorową mającą na celu wdrożenie pełnego zakresu unijnych środków w zakresie cyberbezpieczeństwa.

Krótko mówiąc, plan działania koncentruje się na czterech priorytetach:

• Wzmocniona profilaktyka. Plan pomaga budować zdolności sektora opieki zdrowotnej w zakresie zapobiegania cyberincydentom dzięki wzmocnionym środkom gotowości, takim jak wytyczne dotyczące wdrażania krytycznych praktyk w zakresie cyberbezpieczeństwa. Po drugie, państwa członkowskie mogą również wprowadzić bony cyberbezpieczeństwa, aby zapewnić pomoc finansową mikro-, małym i średnim szpitalom oraz świadczeniodawcom. Ponadto UE opracuje również zasoby edukacyjne w zakresie cyberbezpieczeństwa dla pracowników służby zdrowia.
• Lepsze wykrywanie i identyfikacja zagrożeń. Centrum wsparcia cyberbezpieczeństwa dla szpitali i świadczeniodawców opracuje do 2026 r. ogólnounijną usługę wczesnego ostrzegania, zapewniającą ostrzeżenia w czasie zbliżonym do rzeczywistego dotyczące potencjalnych cyberzagrożeń.
• Reagowanie na cyberataki w celu zminimalizowania ich skutków. W planie zaproponowano usługę szybkiego reagowania dla sektora zdrowia w ramach unijnej rezerwy cyberbezpieczeństwa. Ustanowiona w akcie o cybersolidarności rezerwa zapewnia usługi reagowania na incydenty świadczone przez zaufanych prywatnych dostawców usług. W ramach planu mogą odbywać się krajowe ćwiczenia w zakresie cyberbezpieczeństwa wraz z opracowaniem podręczników, które pomogą organizacjom opieki zdrowotnej reagować na konkretne zagrożenia dla cyberbezpieczeństwa, w tym oprogramowanie szantażujące. Zachęca się państwa członkowskie do zwracania się do podmiotów o zgłaszanie płatności okupu, aby mogły zapewnić im potrzebne wsparcie i umożliwić organom ścigania podejmowanie działań następczych.
• Odstraszanie: Ochrona europejskich systemów opieki zdrowotnej poprzez odstraszanie podmiotów dopuszczających się cyberzagrożeń od ich atakowania. Obejmuje to wykorzystanie zestawu narzędzi dla dyplomacji cyfrowej – wspólnej unijnej reakcji dyplomatycznej na szkodliwe działania w cyberprzestrzeni.

Plan działania będzie wdrażany wraz ze świadczeniodawcami, państwami członkowskimi i społecznością zajmującą się cyberbezpieczeństwem. Aby jeszcze bardziej udoskonalić najbardziej skuteczne działania, tak aby pacjenci i świadczeniodawcy mogli z nich korzystać, Komisja wkrótce rozpocznie konsultacje publiczne na temat tego planu, otwarte dla wszystkich obywateli i zainteresowanych stron.

Kolejne kroki

Plan działania jest początkiem procesu poprawy cyberbezpieczeństwa w sektorze opieki zdrowotnej. Konkretne działania będą wdrażane stopniowo w 2025 i 2026 r. Wyniki konsultacji zostaną uwzględnione w dalszych zaleceniach do końca roku.