Pe 15 ianuarie 2025, Comisia Europeană a prezentat un Plan de acțiune pentru consolidarea securității cibernetice a spitalelor și a furnizorilor de servicii de sănătate. Acest plan de acțiune a fost anunțat ca o prioritate-cheie în cadrul orientărilor politice ale președintei Ursula von der Leyen pentru primele 100 de zile ale noului mandat. Inițiativa reprezintă un pas important în protejarea sectorului sănătății de amenințările cibernetice. Prin îmbunătățirea capacităților de detectare, pregătire și răspuns ale spitalelor și furnizorilor de servicii medicale, se dorește crearea unui mediu mai sigur pentru pacienți și profesioniștii din domeniul sănătății.

În contextul în care digitalizarea facilitează acordarea unor servicii mai bune pentru pacienți, prin inovații precum dosarele electronice de sănătate, telemedicina și diagnosticarea asistată de inteligență artificială, atacurile cibernetice pot întârzia (sau chiar bloca) aceste servicii, reprezentând un pericol pentu siguranța pacienților. În 2023, statele membre UE au raportat 309 incidente cibernetice semnificative care au afectat sectorul sănătății, acest număr fiind mai mare decât pentru orice alt sector critic.

Planul de acțiune propus la nivel european are ca scop protejarea sectorului sănătății de atacurile cibernetice, fiind structurat pe patru priorități:

1. Prevenție îmbunătățită – Planul sprijină dezvoltarea capacitaților sectorului de sănătate pentru prevenirea incidentelor de securitate cibernetică, prin măsuri precum:
   • Elaborarea unor ghiduri privind implementarea practicilor critice de securitate cibernetică.
   • Introducerea, de către statele membre, a unor „Vouchere de securitate cibernetică” pentru a oferi sprijin financiar spitalelor foarte mici, mici și medii, precum și furnizorilor de servicii medicale.
   • Dezvoltarea de resurse educaționale în domeniul securității cibernetice pentru profesioniștii din sănătate.
2. Detectare și identificare mai bună a amenințărilor – Centrul de Suport pentru Securitate Cibernetică al ENISA (European Union Agency for Network and Information Security), destinat spitalelor și furnizorilor de servicii medicale, va dezvolta până în 2026 un sistem de avertizare timpurie la nivel UE, capabil să livreze alerte aproape în timp real privind posibile amenințări cibernetice.
3. Răspuns la atacuri cibernetice pentru a minimiza impactul – Planul prevede:
   • Servicii rapide de intervenție pentru sectorul sănătății, disponibile prin Rezerva de Securitate Cibernetică a UE, înființată prin Actul de Solidaritate Cibernetică. Aceasta oferă servicii de răspuns la incidente de la furnizori privați de încredere.
   • Organizarea de exerciții naționale de securitate cibernetică și dezvoltarea unor manuale de bune practici pentru a ghida organizațiile de sănătate în răspunsul la amenințări specifice, inclusiv ransomware.
   • Încurajarea statelor membre să solicite raportarea plăților de răscumpărare efectuate de entități, pentru a le putea oferi sprijinul necesar și pentru a facilita investigațiile autorităților.
4. Descurajarea atacatorilor cibernetici – Protejarea sistemelor de sănătate europene împotriva actorilor amenințători include utilizarea instrumentului comun european de diplomație cibernetică („Cyber Diplomacy Toolbox”), care permite UE să ia măsuri diplomatice comune împotriva activităților cibernetice ostile.

Planul de Acțiune pentru securitatea cibernetică va fi implementat împreună cu furnizorii de servicii medicale, statele membre și comunitatea de securitate cibernetică. Pentru a defini mai bine acțiunile care au cel mai mare impact, Comisia Europeană va lansa în curând o consultare publică privind acest plan, deschisă tuturor cetățenilor și părților interesate.

În România, securitatea cibernetică în domeniul sănătății constituie unul dintre cele trei aspecte cheie vizate de către Strategia Națională de Digitalizare în Sănătate 2024-2030, propusă spre consultare publică în decembrie 2024. Pentru a construi sisteme naționale sigure și de încredere, Ministerul Sănătății va beneficia de sprijin în activitatea sa în domenii digitale cheie, cum ar fi securitatea cibernetică în sănătate, din partea mai multor instituții specializate, precum Autoritatea pentru Digitalizarea României (ADR), Direcția Națională de Securitate Cibernetică (DNCS), Serviciul Român de Informații (SRI) și Serviciul de Telecomunicații Speciale (STS).

Mai multe informații:

https://ec.europa.eu/commission/presscorner/detail/en/ip_25_262

https://www.ms.ro/ro/informatii-de-interes-public/noutati/consultare-publică-strategia-națională-de-digitalizare-în-sănătate-2024-2030/