Države članice so leta 2023 poročale o 309 pomembnih incidentih kibernetske varnosti, ki so prizadeli zdravstveni sektor, kar je več kot v katerem koli drugem kritičnem sektorju. V akcijskem načrtu, ki ha je pripravila Evropska komisija je med drugim predlagano, da ENISA, agencija EU za kibernetsko varnost, ustanovi vseevropski podporni center za kibernetsko varnost za bolnišnice in izvajalce zdravstvenih storitev ter jim zagotovi prilagojene smernice, orodja, storitve in usposabljanje. Pobuda temelji na širšem okviru EU za krepitev kibernetske varnosti v kritični infrastrukturi in je prva sektorska pobuda za uvedbo vseh ukrepov EU na področju kibernetske varnosti.
Kot je izpostavil Olivér Várhelyi, evropski komisar za zdravje in dobro počutje živali je digitalizacija močna le toliko, kolikor močno je zaupanje, ki ga vzbuja, in odporna na kibernetske napade.
Olivér Várhelyi, evropski komisar za zdravje in dobro počutje živali»Pacienti morajo biti prepričani, da so njihovi najbolj občutljivi podatki varni. Zdravstveni delavci morajo zaupati v sisteme, ki jih vsakodnevno uporabljajo za reševanje življenj. Današnji akcijski načrt je pomemben korak k zagotovitvi tega zaupanja in zaščiti odpornejšega zdravstvenega ekosistema za prihodnost,« je dejal Várhelyi.
Akcijski načrt za zdravstveni sektor se osredotoča na preprečevanje ter izboljšanje odkrivanja in odzivanja na grožnje hkrati pa predvideva tudi odzivanje na kibernetske napade za zmanjšanje učinka. V načrtu je predlagana storitev hitrega odzivanja za zdravstveni sektor v okviru rezerve EU za kibernetsko varnost. Rezerva, ustanovljena z zakonom o kibernetski solidarnosti, zagotavlja storitve odzivanja na incidente s strani zaupanja vrednih zasebnih ponudnikov storitev. Poleg tega načrt izpostavlja tudi odvračanje akterjev kibernetskih groženj od napadov na zdravstvene ustanove preko kibernetske diplomacije, ki naj bi vključevala skupno diplomatsko odzivanje EU na zlonamerne kibernetske dejavnosti.
Bolnišnice in drugi izvajalci zdravstvenega varstva so v skladu z direktivo NIS2 opredeljeni kot sektor z visoko stopnjo kritičnosti. Okvir kibernetske varnosti NIS2 deluje z roko v roki z zakonom o kibernetski odpornosti, prvo zakonodajo EU, ki postavlja obvezne zahteve glede kibernetske varnosti za izdelke, ki vključujejo digitalne elemente, ki je začela veljati 10. decembra 2024.
Akcijski načrt je le začetek procesa za izboljšanje kibernetske varnosti v zdravstvenem sektorju. V letih 2025 in 2026 bodo postopoma uvedeni posebni ukrepi. Na podlagi rezultatov posvetovanja bodo do konca leta pripravljena nadaljnja priporočila.
