„A Bizottság a mai napon uniós cselekvési tervet terjesztett elő, amelynek célja a kórházak és az egészségügyi szolgáltatók kiberbiztonságának megerősítése. Ezt a cselekvési tervet Ursula von der Leyenelnök politikai iránymutatásaiban kulcsfontosságú prioritásként jelentették be az új mandátumidőszak első 100 napjában. A kezdeményezés fontos lépés az egészségügyi ágazat kiberfenyegetésekkel szembeni védelme terén. A kórházak és egészségügyi szolgáltatók fenyegetésészlelési, felkészültségi és reagálási képességeinek javításával biztonságosabb környezetet teremt a betegek és az egészségügyi szakemberek számára.
A digitalizáció forradalmasítja az egészségügyet, és jobb szolgáltatásokat tesz lehetővé a betegek számára olyan innovációk révén, mint az elektronikus egészségügyi nyilvántartások, a távorvoslás és a mesterséges intelligencián alapuló diagnosztika. A kibertámadások azonban késleltethetik az orvosi eljárásokat, fennakadásokat okozhatnak a sürgősségi osztályokon, és megzavarhatják a létfontosságú szolgáltatásokat, amelyek súlyos esetekben közvetlen hatást gyakorolhatnak az európaiak életére. A tagállamok 2023-ban 309, az egészségügyi ágazatot érintő jelentős kiberbiztonsági eseményről számoltak be – többről, mint bármely más kritikus ágazatban.
A cselekvési terv többek között azt javasolja az ENISA-nak, az Európai Uniós Kiberbiztonsági Ügynökségnek, hogy hozzon létre egy páneurópai Kiberbiztonsági Támogatási Központot a kórházak és az egészségügyi szolgáltatók számára, testre szabott iránymutatást, eszközöket, szolgáltatásokat és képzést biztosítva számukra. A kezdeményezés a kritikus infrastruktúrák kiberbiztonságának megerősítésére irányuló tágabb uniós keretre épül, és az első olyan ágazatspecifikus kezdeményezés, amely az uniós kiberbiztonsági intézkedések teljes körét alkalmazza.
Röviden összefoglalva, a cselekvési terv négy prioritásra összpontosít:
- Megerősített megelőzés. A terv hozzájárul az egészségügyi ágazat kiberbiztonsági események megelőzésére irányuló kapacitásainak kiépítéséhez olyan megerősített felkészültségi intézkedések révén, mint például a kritikus kiberbiztonsági gyakorlatok végrehajtására vonatkozó iránymutatás. Másodszor, a tagállamok kiberbiztonsági utalványokat is bevezethetnek, amelyek pénzügyi támogatást nyújtanak a mikro-, kis- és közepes méretű kórházaknak és egészségügyi szolgáltatóknak. Végezetül az EU kiberbiztonsági tanulási forrásokat is ki fog dolgozni az egészségügyi szakemberek számára.
- A fenyegetések jobb felderítése és azonosítása. A kórházakat és egészségügyi szolgáltatókat támogató kiberbiztonsági központ 2026-ig uniós szintű korai előrejelző szolgáltatást fog kifejleszteni, amely közel valós idejű riasztásokat ad ki a lehetséges kiberfenyegetésekről.
- A kibertámadásokra való reagálás a hatás minimalizálása érdekében. A terv gyorsreagálási szolgáltatást javasol az egészségügyi ágazat számára az uniós kiberbiztonsági tartalék keretében. A kiberbiztonsági szolidaritásról szóló jogszabály által létrehozott tartalék megbízható magánszolgáltatók biztonsági eseményekre való reagálási szolgáltatásait nyújtja. A terv részeként nemzeti kiberbiztonsági gyakorlatokra kerülhet sor olyan forgatókönyvek kidolgozásával együtt, amelyek útmutatást nyújtanak az egészségügyi szervezeteknek a konkrét kiberbiztonsági fenyegetésekre, többek között a zsarolóvírusokra való reagáláshoz. A Bizottság arra ösztönzi a tagállamokat, hogy kérjék a szervezetektől a váltságdíjfizetések bejelentését annak érdekében, hogy biztosítani tudják számukra a szükséges támogatást, és lehetővé tegyék a bűnüldöző hatóságok általi nyomon követést.
- Elrettentés: Az európai egészségügyi rendszerek védelme azáltal, hogy elrettentik a kiberfenyegetések szereplőit attól, hogy megtámadják őket. Ez magában foglalja a kiberdiplomáciai eszköztár használatát, amely a rossz szándékú kibertevékenységekre adott közös uniós diplomáciai válasz.
A cselekvési terv végrehajtására az egészségügyi szolgáltatókkal, a tagállamokkal és a kiberbiztonsági közösséggel karöltve kerül sor. Annak érdekében, hogy tovább finomítsa a leghatásosabb intézkedéseket annak érdekében, hogy a betegek és az egészségügyi szolgáltatók élvezhessék azok előnyeit, a Bizottság hamarosan nyilvános konzultációt indít erről a tervről, amely minden polgár és érdekelt fél előtt nyitva áll.
Következő lépések
A cselekvési terv az egészségügyi ágazat kiberbiztonságának javítására irányuló folyamat kezdete. Az egyedi intézkedéseket 2025-ben és 2026-ban fokozatosan vezetik be. A konzultáció eredményei az év végéig beépülnek a további ajánlásokba.
Háttér
Az EU számos területen dolgozik a kiberreziliencia előmozdításán, valamint polgárainak és vállalkozásainak a kiberfenyegetésekkel szembeni védelmén az egyre inkább digitálissá váló és összekapcsolt Európában. Ez a cselekvési terv a helyzet sürgősségére és az ágazatot fenyegető egyedi veszélyekre reagál. A javaslat a kiberbiztonság területén meglévő jogszabályi keretre épül. A kórházak és más egészségügyi szolgáltatók a NIS 2 irányelv értelmében kiemelten kritikus ágazatnak minősülnek. A NIS 2 kiberbiztonsági keret szorosan kapcsolódik a kiberrezilienciáról szóló jogszabályhoz, amely az első olyan uniós jogszabály, amely kötelező kiberbiztonsági követelményeket ír elő a digitális elemeket tartalmazó termékekre vonatkozóan, és amely 2024. december 10-én lépett hatályba. A Bizottság a kiberbiztonsági szolidaritásról szóló jogszabály keretében kiberbiztonsági vészhelyzeti mechanizmust is létrehozott, amely megerősíti az EU szolidaritását és összehangolt fellépéseit a növekvő kiberbiztonsági fenyegetések és események észlelése, előkészítése és az azokra való hatékony reagálás érdekében.
A reziliens és biztonságos digitális infrastruktúra biztosítása elengedhetetlen az európai egészségügyi adattér teljes körű kiépítéséhez, amely a polgárokat helyezi egészségügyi ellátásuk középpontjába, teljes körű ellenőrzést biztosítva számukra adataik felett.
További információ
Cselekvési terv a kórházak és az egészségügyi szolgáltatók kiberbiztonságáról
Idézet(ek)
„A modern egészségügyi ellátás hihetetlen előrelépést tett a digitális átalakulás révén, ami azt jelentette, hogy a polgárok jobb egészségügyi ellátásban részesültek. Sajnálatos módon az egészségügyi rendszerek is ki vannak téve kiberbiztonsági eseményeknek és fenyegetéseknek. Ezért indítunk cselekvési tervet annak biztosítása érdekében, hogy az egészségügyi rendszerek, intézmények és az összekapcsolt orvostechnikai eszközök reziliensek legyenek. A megelőzés jobb, mint a gyógyítás, ezért meg kell akadályoznunk a kibertámadásokat. De ha bekövetkeznek, mindent meg kell tennünk, hogy észleljük őket, és gyorsan reagáljunk és helyreálljunk.” – Henna Virkkunen, a technológiai szuverenitásért, a biztonságért és a demokráciáért felelős ügyvezető alelnök
„A digitális technológiák és az egészségügyi adatokon alapuló megoldások páratlan lehetőségeket nyitottak meg az egészségügyben. Lehetővé teszik a precíziós orvoslást, a betegek valós idejű nyomon követését és az egészségügyi szolgáltatók közötti zökkenőmentes, határokon átnyúló kommunikációt. A digitalizáció azonban csak annyira erős, mint az általa inspirált és a kibertámadásokkal szemben reziliens bizalom. A betegeknek biztosnak kell lenniük abban, hogy a legérzékenyebb információik biztonságban vannak. Az egészségügyi szakembereknek bízniuk kell azokban a rendszerekben, amelyeket naponta használnak életek megmentésére. A mai cselekvési terv fontos lépés e bizalom biztosítása és a jövő reziliensebb egészségügyi ökoszisztémájának megőrzése felé.” – Várhelyi Olivér, az egészségügyért és az állatjólétért felelős biztos”
Forrás:
A Bizottság cselekvési tervet terjeszt elő az egészségügyi ágazat kibertámadásokkal szembeni védelmére; Európai Bizottság; 2025. január 15.
Fontos tudnivalók a gépi fordításról]
