Meer documenten
Commissie onthult actieplan om de gezondheidssector te beschermen tegen cyberaanvallen
De Commissie heeft vandaag een EU-actieplan gepresenteerd om de cyberbeveiliging van ziekenhuizen en zorgaanbieders te versterken. Dit actieplan werd in de politieke beleidslijnen van voorzitter Von der Leyenaangekondigd als een belangrijke prioriteit binnen de eerste 100 dagen van het nieuwe mandaat. Het initiatief is een belangrijke stap om de gezondheidszorg te beschermen tegen cyberdreigingen. Door de mogelijkheden van ziekenhuizen en zorgverleners op het gebied van dreigingsdetectie, paraatheid en respons te verbeteren, wordt een veiligere en veiligere omgeving voor patiënten en gezondheidswerkers gecreëerd.
Digitalisering zorgt voor een revolutie in de gezondheidszorg en maakt betere dienstverlening aan patiënten mogelijk door middel van innovaties zoals elektronische patiëntendossiers, telegeneeskunde en AI-gestuurde diagnostiek. Cyberaanvallen kunnen echter medische procedures vertragen, patstellingen in spoedeisende hulp veroorzaken en vitale diensten verstoren, die in ernstige gevallen rechtstreekse gevolgen kunnen hebben voor het leven van de Europeanen. De lidstaten hebben in 2023 309 significante cyberbeveiligingsincidenten gemeld die gevolgen hadden voor de gezondheidszorgsector, meer dan in enige andere kritieke sector.
In het actieplan wordt onder meer voorgesteld dat Enisa, het EU-agentschap voor cyberbeveiliging, een pan-Europees ondersteuningscentrum voor cyberbeveiliging opricht voor ziekenhuizen en zorgaanbieders, dat hen begeleiding, instrumenten, diensten en opleiding op maat biedt. Het initiatief bouwt voort op het bredere EU-kader om de cyberbeveiliging in kritieke infrastructuur te versterken en markeert het eerste sectorspecifieke initiatief om het volledige scala aan EU-maatregelen op het gebied van cyberbeveiliging uit te voeren.
In een notendop richt het actieplan zich op vier prioriteiten:
- Verbeterde preventie. Het plan helpt bij het opbouwen van de capaciteit van de gezondheidszorg om cyberbeveiligingsincidenten te voorkomen door middel van verbeterde paraatheidsmaatregelen, zoals richtsnoeren voor de uitvoering van kritieke cyberbeveiligingspraktijken. Ten tweede kunnen de lidstaten ook cyberbeveiligingsvouchers invoeren om financiële bijstand te verlenen aan micro-, kleine en middelgrote ziekenhuizen en zorgaanbieders. Tot slot zal de EU ook leermiddelen voor cyberbeveiliging ontwikkelen voor gezondheidswerkers.
- Betere opsporing en identificatie van bedreigingen. Het ondersteuningscentrum voor cyberbeveiliging voor ziekenhuizen en zorgaanbieders zal tegen 2026 een EU-brede dienst voor vroegtijdige waarschuwing ontwikkelen, die bijna realtime waarschuwingen over potentiële cyberdreigingen zal verstrekken.
- Reactie op cyberaanvallen om de impact tot een minimum te beperken. In het plan wordt een snellereactiedienst voor de gezondheidssector voorgesteld in het kader van de EU-cyberbeveiligingsreserve. De reserve, die is opgericht bij de wet inzake cybersolidariteit, biedt responsdiensten voor incidenten van betrouwbare particuliere dienstverleners. Als onderdeel van het plan kunnen nationale cyberbeveiligingsoefeningen plaatsvinden, samen met de ontwikkeling van playbooks om zorgorganisaties te begeleiden bij het reageren op specifieke cyberbeveiligingsbedreigingen, waaronder ransomware. De lidstaten worden aangemoedigd om te verzoeken om rapportage van losgeldbetalingen van entiteiten, om hen de ondersteuning te kunnen bieden die zij nodig hebben en om follow-up door rechtshandhavingsinstanties mogelijk te maken.
- Afschrikking: De Europese gezondheidszorgstelsels beschermen door cyberdreigingsactoren ervan te weerhouden ze aan te vallen. Dit omvat het gebruik van de toolbox voor cyberdiplomatie, een gezamenlijke diplomatieke reactie van de EU op kwaadwillige cyberactiviteiten.
Het actieplan zal samen met zorgaanbieders, de lidstaten en de cyberbeveiligingsgemeenschap worden uitgevoerd. Om de meest impactvolle maatregelen verder te verfijnen, zodat patiënten en zorgverleners ervan kunnen profiteren, zal de Commissie binnenkort een openbare raadpleging over dit plan houden, die openstaat voor alle burgers en belanghebbenden.
Volgende stappen
Het actieplan is het begin van een proces om de cyberbeveiliging in de gezondheidszorg te verbeteren. Specifieke acties zullen geleidelijk worden uitgerold in 2025 en 2026. De resultaten van de raadpleging zullen tegen het einde van het jaar worden verwerkt in verdere aanbevelingen.
Achtergrond
De EU werkt op verschillende fronten aan het bevorderen van cyberweerbaarheid en het beschermen van haar burgers en bedrijven tegen cyberdreigingen in een steeds digitaler en verbondener Europa. Dit actieplan speelt in op de urgentie van de situatie en de unieke bedreigingen waarmee de sector wordt geconfronteerd. Het bouwt voort op het bestaande wetgevingskader op het gebied van cyberbeveiliging. Ziekenhuizen en andere zorgaanbieders zijn in het kader van de NIS2-richtlijn opgericht als een sector van hoge kriticiteit. Het NIS2-cyberbeveiligingskader werkt hand in hand met de verordening cyberweerbaarheid, de allereerste EU-wetgeving waarbij verplichte cyberbeveiligingsvereisten worden vastgesteld voor producten die digitale elementen bevatten, die op 10 december 2024 in werking is getreden. De Commissie heeft ook een cybernoodmechanisme ingesteld in het kader van de wet inzake cybersolidariteit, dat de solidariteit van de EU en gecoördineerde acties om toenemende cyberdreigingen en -incidenten op te sporen, voor te bereiden en er doeltreffend op te reageren, versterkt.
Het waarborgen van een veerkrachtige en veilige digitale infrastructuur is van essentieel belang voor de volledige uitrol van de Europese ruimte voor gezondheidsgegevens, die burgers centraal zal stellen in hun gezondheidszorg en hen volledige controle over hun gegevens zal geven.
Voor meer informatie
Actieplan voor de cyberbeveiliging van ziekenhuizen en zorgaanbieders