Komunikat prasowy
15 sty 2025 Bruksela
3 min read
Komisja przedstawia plan działania na rzecz ochrony sektora zdrowia przed cyberatakami
This is a machine translation. Please refer to the original language. The European Commission takes no responsibility for the quality and accuracy of this machine translation.
Important information about machine translation
Komisja przedstawiła dziś plan działania UE mający na celu zwiększenie cyberbezpieczeństwa szpitali i świadczeniodawców. Plan działania został ogłoszony w wytycznych politycznych przewodniczącej Ursuli von der Leyenjako kluczowy priorytet w ciągu pierwszych 100 dni nowej kadencji. Inicjatywa ta jest ważnym krokiem w kierunku ochrony sektora opieki zdrowotnej przed zagrożeniami cybernetycznymi. Dzięki zwiększeniu zdolności szpitali i świadczeniodawców w zakresie wykrywania zagrożeń, gotowości i reagowania na nie stworzy bezpieczniejsze i pewniejsze środowisko dla pacjentów i pracowników służby zdrowia.
Cyfryzacja przynosi rewolucję w opiece zdrowotnej, umożliwiając lepsze usługi dla pacjentów dzięki innowacjom, takim jak elektroniczna dokumentacja medyczna, telemedycyna i diagnostyka oparta na sztucznej inteligencji. Cyberataki mogą jednak opóźnić procedury medyczne, doprowadzić do zastoju na oddziałach ratunkowych i zakłócić kluczowe usługi, co w ciężkich przypadkach może mieć bezpośredni wpływ na życie Europejczyków. W 2023 r. państwa członkowskie zgłosiły 309 poważnych cyberincydentów mających wpływ na sektor opieki zdrowotnej – więcej niż w jakimkolwiek innym sektorze krytycznym.
W planie działania proponuje się m.in., aby ENISA, unijna agencja ds. cyberbezpieczeństwa, utworzyła ogólnoeuropejskie centrum wsparcia cyberbezpieczeństwa dla szpitali i świadczeniodawców, zapewniając im dostosowane do potrzeb wytyczne, narzędzia, usługi i szkolenia. Inicjatywa opiera się na szerszych ramach UE służących wzmocnieniu cyberbezpieczeństwa w całej infrastrukturze krytycznej i stanowi pierwszą inicjatywę sektorową mającą na celu wdrożenie pełnego zakresu unijnych środków w zakresie cyberbezpieczeństwa.
Krótko mówiąc, plan działania koncentruje się na czterech priorytetach:
- Wzmocniona profilaktyka. Plan pomaga budować zdolności sektora opieki zdrowotnej w zakresie zapobiegania cyberincydentom dzięki wzmocnionym środkom gotowości, takim jak wytyczne dotyczące wdrażania krytycznych praktyk w zakresie cyberbezpieczeństwa. Po drugie, państwa członkowskie mogą również wprowadzić bony cyberbezpieczeństwa, aby zapewnić pomoc finansową mikro-, małym i średnim szpitalom oraz świadczeniodawcom. Ponadto UE opracuje również zasoby edukacyjne w zakresie cyberbezpieczeństwa dla pracowników służby zdrowia.
- Lepsze wykrywanie i identyfikacja zagrożeń. Centrum wsparcia cyberbezpieczeństwa dla szpitali i świadczeniodawców opracuje do 2026 r. ogólnounijną usługę wczesnego ostrzegania, zapewniającą ostrzeżenia w czasie zbliżonym do rzeczywistego dotyczące potencjalnych cyberzagrożeń.
- Reagowanie na cyberataki w celu zminimalizowania ich skutków. W planie zaproponowano usługę szybkiego reagowania dla sektora zdrowia w ramach unijnej rezerwy cyberbezpieczeństwa. Ustanowiona w akcie o cybersolidarności rezerwa zapewnia usługi reagowania na incydenty świadczone przez zaufanych prywatnych dostawców usług. W ramach planu mogą odbywać się krajowe ćwiczenia w zakresie cyberbezpieczeństwa wraz z opracowaniem podręczników, które pomogą organizacjom opieki zdrowotnej reagować na konkretne zagrożenia dla cyberbezpieczeństwa, w tym oprogramowanie szantażujące. Zachęca się państwa członkowskie do zwracania się do podmiotów o zgłaszanie płatności okupu, aby mogły zapewnić im potrzebne wsparcie i umożliwić organom ścigania podejmowanie działań następczych.
- Odstraszanie: Ochrona europejskich systemów opieki zdrowotnej poprzez odstraszanie podmiotów dopuszczających się cyberzagrożeń od ich atakowania. Obejmuje to wykorzystanie zestawu narzędzi dla dyplomacji cyfrowej – wspólnej unijnej reakcji dyplomatycznej na szkodliwe działania w cyberprzestrzeni.
Plan działania będzie wdrażany wraz ze świadczeniodawcami, państwami członkowskimi i społecznością zajmującą się cyberbezpieczeństwem. Aby jeszcze bardziej udoskonalić najbardziej skuteczne działania, tak aby pacjenci i świadczeniodawcy mogli z nich korzystać, Komisja wkrótce rozpocznie konsultacje publiczne na temat tego planu, otwarte dla wszystkich obywateli i zainteresowanych stron.
Kolejne kroki
Plan działania jest początkiem procesu poprawy cyberbezpieczeństwa w sektorze opieki zdrowotnej. Konkretne działania będą wdrażane stopniowo w 2025 i 2026 r. Wyniki konsultacji zostaną uwzględnione w dalszych zaleceniach do końca roku.
Kontekst
UE działa na różnych frontach, aby promować cyberodporność i chronić swoich obywateli i przedsiębiorstwa przed zagrożeniami cybernetycznymi w coraz bardziej cyfrowej i połączonej Europie. Niniejszy plan działania jest odpowiedzią na pilny charakter sytuacji i wyjątkowe zagrożenia stojące przed tym sektorem. Opiera się on na istniejących ramach prawnych w dziedzinie cyberbezpieczeństwa. Szpitale i inni świadczeniodawcy mają siedzibę jako sektor o wysokim stopniu krytyczności na mocy dyrektywy NIS 2. Ramy cyberbezpieczeństwa NIS2 idą w parze z aktem dotyczącym cyberodporności – pierwszym w historii prawodawstwem UE wprowadzającym obowiązkowe wymogi cyberbezpieczeństwa w odniesieniu do produktów zawierających elementy cyfrowe – który wszedł w życie 10 grudnia 2024 r. Komisja wprowadziła również mechanizm cyberkryzysowy w ramach aktu o cybersolidarności, który wzmacnia solidarność UE i skoordynowane działania mające na celu wykrywanie rosnących zagrożeń cyberbezpieczeństwa i incydentów w cyberbezpieczeństwie, przygotowanie się na nie i skuteczne reagowanie na nie.
Zapewnienie odpornej i bezpiecznej infrastruktury cyfrowej ma zasadnicze znaczenie dla pełnego wdrożenia europejskiej przestrzeni danych dotyczących zdrowia, która umieści obywateli w centrum ich opieki zdrowotnej, zapewniając im pełną kontrolę nad ich danymi.
Aby uzyskać więcej informacji
Plan działania w sprawie cyberbezpieczeństwa szpitali i świadczeniodawców
