Europos Komisija (EK) pateikė ES veiksmų planą, kuriuo siekiama stiprinti ligoninių ir sveikatos priežiūros paslaugų teikėjų kibernetinį saugumą. Toks veiksmų planas Europos Komisijos Pirmininkės U. von der Leyen politinėse gairėse buvo įvardytas kaip vienas svarbiausių pirmųjų 100 naujos kadencijos dienų prioritetų. Ši iniciatyva – svarbus žingsnis apsaugant sveikatos priežiūros sektorių nuo kibernetinių grėsmių. Stiprinant ligoninių ir sveikatos priežiūros paslaugų teikėjų pajėgumus aptikti grėsmes, pasirengti joms ir reaguoti į jas bus sukurta saugesnė aplinka pacientams ir sveikatos priežiūros specialistams.

Skaitmenizacija kelia revoliuciją sveikatos priežiūros srityje, nes pasitelkus tokias naujoves kaip elektroniniai sveikatos įrašai, nuotolinė medicina ir dirbtiniu intelektu grindžiama diagnostika, pacientams teikiamos geresnės paslaugos. Tačiau dėl kibernetinių išpuolių gali tekti atidėti medicinines procedūras, taip pat dėl jų gali užstrigti greitosios pagalbos skyriai ir sutrikti gyvybiškai svarbių paslaugų teikimas, o rimtais atvejais jie gali turėti tiesioginės įtakos europiečių gyvybei. 2023 m. valstybės narės pranešė apie 309 reikšmingus sveikatos priežiūros sektorių paveikusius kibernetinio saugumo incidentus, t. y. daugiau nei bet kuriame kitame ypatingos svarbos sektoriuje.

Veiksmų plane siūloma, be kita ko, ES kibernetinio saugumo agentūrai ENISA įsteigti ligoninėms ir sveikatos priežiūros paslaugų teikėjams skirtą Kibernetinio saugumo pagalbos centrą, kuris teiktų jiems pritaikytas gaires, priemones, paslaugas ir mokymus. Iniciatyva grindžiama platesne ES sistema, kuria siekiama stiprinti ypatingos svarbos infrastruktūros objektų kibernetinį saugumą, ir yra pirmoji konkrečiam sektoriui skirta iniciatyva, kurioje pasitelkiamos visos ES kibernetinio saugumo priemonės. 

Veiksmų plane daugiausia dėmesio skiriama keturiems prioritetams:

• stipresnei prevencijai. Planas padeda stiprinti sveikatos priežiūros sektoriaus gebėjimus užkirsti kelią kibernetinio saugumo incidentams taikant griežtesnes pasirengimo priemones, pavyzdžiui, ypatingos svarbos kibernetinio saugumo praktikos įgyvendinimo gaires. Antra, valstybės narės taip pat gali įvesti kibernetinio saugumo kuponus, kad suteiktų finansinę paramą labai mažoms, mažosioms ir vidutinėms ligoninėms ir sveikatos priežiūros paslaugų teikėjams. Be to, ES taip pat plėtos kibernetinio saugumo mokymosi išteklius sveikatos priežiūros specialistams;
• geresniam grėsmių aptikimui ir identifikavimui. Ligoninėms ir sveikatos priežiūros paslaugų teikėjams skirtas Kibernetinio saugumo pagalbos centras iki 2026 m. sukurs ES masto ankstyvojo perspėjimo paslaugą, kuria beveik tikruoju laiku bus siunčiami perspėjimai apie galimas kibernetines grėsmes;
• reagavimui į kibernetinius išpuolius, siekiant kuo labiau sumažinti poveikį. Plane siūloma į ES kibernetinio saugumo rezervą įtraukti sveikatos sektoriui skirtą greitojo reagavimo paslaugą. Pagal Kibernetinio solidarumo aktą įsteigtas rezervas teikia patikimų privačių paslaugų teikėjų reagavimo į incidentus paslaugas. Įgyvendinant planą gali būti rengiamos nacionalinės kibernetinio saugumo pratybos, kartu rengiant vadovus, kurie padėtų sveikatos priežiūros organizacijoms reaguoti į konkrečias kibernetinio saugumo grėsmes, įskaitant išpirkos reikalaujančią programinę įrangą. Valstybės narės raginamos reikalauti, kad subjektai praneštų apie išpirkos mokėjimus, kad galėtų jiems suteikti reikiamą paramą ir sudaryti sąlygas teisėsaugos institucijoms imtis tolesnių veiksmų.
• atgrasymui – Europos sveikatos priežiūros sistemų apsaugai atgrasant kibernetines grėsmes keliančius subjektus nuo išpuolių prieš jas. Tai apima Kibernetinio saugumo diplomatijos priemonių rinkinio – bendro ES diplomatinio atsako į kibernetinę kenkimo veiklą – naudojimą.

Veiksmų planas bus įgyvendinamas kartu su sveikatos priežiūros paslaugų teikėjais, valstybėmis narėmis ir kibernetinio saugumo bendruomene. Siekdama dar patobulinti veiksmingiausius veiksmus, kad pacientai ir sveikatos priežiūros paslaugų teikėjai galėtų jais pasinaudoti, Europos Komisija netrukus pradės viešas konsultacijas dėl šio plano, kuriose galės dalyvauti visi piliečiai ir suinteresuotieji subjektai.

Veiksmų planas yra kibernetinio saugumo gerinimo sveikatos priežiūros sektoriuje proceso pradžia. Konkretūs veiksmai bus palaipsniui įgyvendinami 2025 ir 2026 m. Į konsultacijų rezultatus bus atsižvelgta rengiant tolesnes rekomendacijas iki metų pabaigos.

Pagrindiniai faktai

ES dirba įvairiose srityse, kad skatintų kibernetinį atsparumą ir apsaugotų savo piliečius bei įmones nuo kibernetinių grėsmių vis labiau skaitmeninėje ir susietoje Europoje. Šiuo veiksmų planu reaguojama į padėties skubumą ir unikalias grėsmes, su kuriomis susiduria sektorius. Planas grindžiamas galiojančia kibernetinio saugumo srities teisės aktų sistema. Pagal TIS 2 direktyvą (peržiūrėtą Tinklų ir informacinių sistemų saugumo direktyvą) ligoninės ir kiti sveikatos priežiūros paslaugų teikėjai laikomi ypatingos svarbos sektoriumi. TIS 2 kibernetinio saugumo sistema veikia kartu su Kibernetinio atsparumo aktu – pirmuoju ES teisės aktu, kuriuo nustatomi privalomi kibernetinio saugumo reikalavimai produktams, kuriuose yra skaitmeninių elementų; šis aktas įsigaliojo 2024 m. gruodžio 10 d. Europos Komisija taip pat sukūrė Reagavimo į kibernetinio saugumo krizes mechanizmą pagal Kibernetinio solidarumo aktą, kuriuo stiprinamas ES solidarumas ir koordinuojami veiksmai, kuriais siekiama aptikti didėjančias kibernetinio saugumo grėsmes ir incidentus, jiems pasirengti ir veiksmingai į juos reaguoti.

Labai svarbu užtikrinti atsparią ir saugią skaitmeninę infrastruktūrą, kad būtų visapusiškai įdiegta Europos sveikatos duomenų erdvė, kurioje daugiausia dėmesio būtų skiriama piliečiams jų sveikatos priežiūros srityje, suteikiant jiems galimybę visiškai kontroliuoti savo duomenis.

Daugiau informacijos:

Ligoninių ir sveikatos priežiūros paslaugų teikėjų kibernetinio saugumo veiksmų planas

Klausimai ir atsakymai

Informacijos suvestinė

Visas pranešimas spaudai (anglų k.)