Komisia predstavila akčný plán ochrany zdravotníctva pred kybernetickými útokmi

Komisia dnes predložila akčný plán EÚ, ktorého cieľom je posilniť kybernetickú bezpečnosť nemocníc a poskytovateľov zdravotnej starostlivosti. Predsedníčka von der Leyenová tento akčný plán oznámila vo svojich politických usmerneniach ako kľúčovú prioritu na prvých 100 dní nového funkčného obdobia. Táto iniciatíva je dôležitým krokom k ochrane odvetvia zdravotnej starostlivosti pred kybernetickými hrozbami. Vďaka zlepšeniu schopností nemocníc a poskytovateľov zdravotnej starostlivosti odhaľovať hrozby, pripraviť sa a reagovať na ne sa vytvorí bezpečnejšie a lepšie chránené prostredie pre pacientov a zdravotníckych pracovníkov.

Digitalizácia prináša do zdravotnej starostlivosti revolúciu a umožňuje poskytovať lepšie služby pacientom vďaka inováciám, ako sú elektronické zdravotné záznamy, telemedicína a diagnostika s podporou umelej inteligencie. Kybernetické útoky však môžu spomaliť lekárske postupy, zablokovať centrálne príjmy a narušiť životne dôležité služby. V závažných prípadoch by to mohlo mať priamy vplyv na životy Európanov. V roku 2023 nahlásili členské štáty 309 významných kybernetických incidentov v odvetví zdravotnej starostlivosti, čo je viac než v ktoromkoľvek inom kritickom odvetví.

V akčnom pláne sa okrem iného navrhuje, aby agentúra EÚ pre kybernetickú bezpečnosť ENISA zriadila celoeurópske centrum na podporu kybernetickej bezpečnosti pre nemocnice a poskytovateľov zdravotnej starostlivosti. Jeho úlohou bude poskytovať im špecializované usmernenia, nástroje, služby a školenia. Iniciatíva sa opiera o širší rámec EÚ na posilnenie kybernetickej bezpečnosti v celej kritickej infraštruktúre a predstavuje prvú odvetvovo zameranú iniciatívu na zavedenie celej škály opatrení EÚ v oblasti kybernetickej bezpečnosti.

Akčný plán sa v zásade zameriava na štyri priority:

• Posilnenie prevencie. Plán jednak pomôže vybudovať kapacity odvetvia zdravotnej starostlivosti určené na zabraňovanie kybernetickým incidentom vďaka opatreniam posilnenej pripravenosti, ako sú usmernenia k vykonávaniu kritických postupov v oblasti kybernetickej bezpečnosti. Ďalej môžu členské štáty zaviesť aj kyberneticko-bezpečnostné poukazy a poskytovať tak finančnú pomoc mikronemocniciam, malým a stredným nemocniciam a poskytovateľom zdravotnej starostlivosti. EÚ napokon vytvorí aj vzdelávacie zdroje v oblasti kybernetickej bezpečnosti pre zdravotníckych pracovníkov.
• Lepšie odhaľovanie a identifikácia hrozieb. Centrum na podporu kybernetickej bezpečnosti pre nemocnice a poskytovateľov zdravotnej starostlivosti do roku 2026 vybuduje celoeurópsku službu včasného varovania, ktorá bude vydávať varovania o potenciálnych kybernetických hrozbách v takmer reálnom čase.
• Reakcia na kybernetické útoky v snahe minimalizovať vplyv. V pláne sa navrhuje služba rýchlej reakcie v zdravotníctve v rámci rezervy EÚ na účely kybernetickej bezpečnosti. Rezerva sa zriadila aktom o kybernetickej solidarite a slúži dôveryhodným súkromným poskytovateľom služieb na zabezpečovanie reakcií na incidenty. Ako súčasť plánu sa môžu uskutočňovať vnútroštátne kyberneticko-bezpečnostné cvičenia a možno vypracovať príručky pre organizácie v oblasti zdravotnej starostlivosti, ako reagovať na konkrétne kyberneticko-bezpečnostné hrozby vrátane ransomvéru. Od členských štátov sa očakáva, že budú žiadať od subjektov oznamovanie platieb výkupného, aby im mohli poskytnúť potrebnú podporu a umožniť následné opatrenia zo strany orgánov presadzovania práva.
• Kybernetické odstrašovanie: ochrana európskych systémov zdravotnej starostlivosti odrádzaním aktérov kybernetických hrozieb od toho, aby ich napadli. Zahŕňa využívanie súboru nástrojov kybernetickej diplomacie, spoločnej diplomatickej reakcie EÚ na škodlivé kybernetické činnosti.

Akčný plán sa bude vykonávať spoločne s poskytovateľmi zdravotnej starostlivosti, členskými štátmi a komunitou kybernetickej bezpečnosti. Komisia sa usiluje ďalej zlepšiť najúčinnejších opatrenia tak, aby pôsobili v prospech pacientov a poskytovateľov zdravotnej starostlivosti. Súčasťou tejto snahy bude čoskoro aj verejná konzultácia o tomto pláne, ktorá bude otvorená pre všetkých občanov a zainteresované strany.

Ďalšie kroky

Akčný plán je začiatkom procesu zlepšenia kybernetickej bezpečnosti v zdravotnej starostlivosti. V rokoch 2025 a 2026 sa budú postupne zavádzať osobitné opatrenia. Výsledky konzultácie budú podkladom pre ďalšie odporúčania do konca roka.

Kontext

EÚ pracuje na rôznych frontoch v snahe podporovať kybernetickú odolnosť a chrániť svojich občanov a podniky pred kybernetickými hrozbami v čoraz digitálnejšej a prepojenej Európe. Tento akčný plán je reakciou na naliehavosť situácie a jedinečné hrozby, ktorým toto odvetvie čelí. Vychádza z existujúceho legislatívneho rámca v oblasti kybernetickej bezpečnosti. V smernici NIS 2 sa nemocnice a iní poskytovatelia zdravotnej starostlivosti označujú ako odvetvie s vysokou úrovňou kritickosti. Rámec kybernetickej bezpečnosti NIS2 funguje v súčinnosti s aktom o kybernetickej odolnosti. Nadobudol účinnosť 10. decembra 2024 a je vôbec prvým právnym predpisom EÚ, ktorým sa zavádzajú povinné požiadavky kybernetickej bezpečnosti na produkty obsahujúce digitálne prvky. Komisia takisto zaviedla mechanizmus na riešenie kybernetických núdzových situácií v rámci aktu o kybernetickej solidarite, ktorý posilňuje solidaritu a koordinované opatrenia EÚ na odhaľovanie rastúcich kybernetických hrozieb a incidentov, prípravu a účinnú reakciu na ne.

Zaistenie odolnej a bezpečnej digitálnej infraštruktúry má zásadný význam pre úplné zavedenie európskeho priestoru pre údaje týkajúce sa zdravia, ktorý postaví občanov do centra ich zdravotnej starostlivosti a poskytne im plnú kontrolu nad ich údajmi.