CCMI/244
Akční plán pro kybernetickou bezpečnost nemocnic
STANOVISKO
Poradní komise pro průmyslové změny
Sdělení Komise Evropskému parlamentu, Radě, Evropskému hospodářskému a sociálnímu výboru a Výboru regionů Evropský akční plán pro kybernetickou bezpečnost nemocnic a poskytovatelů zdravotní péče
(COM(2025) 10 final)
Zpravodaj: Alain COHEUR
Spoluzpravodaj: Hervé JEANNIN
|
Poradkyně
|
Joyce LORIDAN (poradkyně zpravodaje, skupina III)
|
|
|
Madeline Hun Xhing CHEAH
(poradkyně spoluzpravodaje, kategorie 2)
|
|
Žádost o vypracování stanoviska
|
Evropská komise, 5/3/2024
|
|
Právní základ
|
článek 304 Smlouvy o fungování Evropské unie
|
|
Odpovědný orgán
|
Poradní komise pro průmyslové změny
|
|
Přijato v CCMI
|
4/6/2025
|
|
Výsledek hlasování
(pro/proti/zdrželi se hlasování)
|
25/0/0
|
|
Přijato na plenárním zasedání
|
D/M/2025
|
|
Plenární zasedání č.
|
…
|
|
Výsledek hlasování
(pro/proti/zdrželi se hlasování)
|
…/…/…
|
1.Závěry a doporučení
1.1EHSV vítá ambicióznost Evropského akčního plánu pro kybernetickou bezpečnost nemocnic a poskytovatelů zdravotní péče a pozornost, která je tomuto tématu věnována. Toto odvětví se stalo kritickým cílem aktérů hrozeb. Zdraví je osobní záležitostí a je organizováno na místní úrovni v členských státech a regionech. Kybernetická bezpečnost je však prioritou Evropské komise, neboť je nutné chránit zdraví evropských občanů, evropský prostor pro zdravotní údaje a rozsáhlé zdravotnické odvětví v členských státech, které zahrnuje různé zdravotnické subjekty, jako jsou nemocnice či pohotovostní služby, a farmaceutické a biotechnologické odvětví, jež jsou stále více propojeny s okolním světem prostřednictvím telemedicíny, portálů pro pacienty, platforem a nositelných zařízení. Zlepšování kybernetické bezpečnosti ve zdravotnictví zvyšuje obecnou bezpečnost a odolnost a přispívá k unii připravenosti.
1.2V zájmu zlepšení bezpečnostních opatření v této oblasti předkládá Výbor řadu návrhů, které spadají do různých kategorií:
1.2.1Finanční opatření
1.2.1.1EHSV vyjadřuje politování nad tím, že zatím nebyla vyjasněna otázka finanční podpory provádění akčního plánu. To by mohlo vést k rozdílům v úrovni ochrany pacientů v závislosti na zdrojích, které mají zdravotnická zařízení k dispozici. EHSV vybízí Komisi, aby zajistila tematické zaměření v rámci finanční podpory s využitím prostředků na soudržnost.
1.2.1.2EHSV upozorňuje na rozdíly v investicích do kybernetické bezpečnosti v rámci EU a uvádí, že jen Francie hodlá investovat více než 1 miliardu EUR ročně, což při přepočtu na celou EU znamená, že je potřeba minimálně 7,5 miliardy EUR ročně. Aby nemocnice předešly kybernetickému útoku, měly by na kybernetickou bezpečnost vyčlenit přibližně 10 % svého rozpočtu na IT. Je třeba dbát na monitorování územního rozložení investic.
EHSV bere na vědomí podporu ve výši 6 milionů EUR určenou agentuře ENISA, zdůrazňuje však, že tyto prostředky jsou nedostatečné vzhledem k významu toho, co je v sázce z hlediska bezpečnosti nemocnic, občanů a pacientů, kteří by v případě útoku již nemuseli mít přístup k diagnostice a léčbě. Agentura ENISA by měla být vyzvána, aby doplnila svou zprávu o situaci v oblasti hrozeb v odvětví zdravotnictví (Threat landscape: health sector) o finanční zmapování současného stavu investic do kybernetické bezpečnosti v členských státech.
Finanční podpora evropského akčního plánu by se měla týkat investic do:
§prevence: zabezpečení zařízení a nemocniční infrastruktury pro 2,3 milionu nemocničních lůžek v EU,
§vzdělávání: zvyšování povědomí a školení více než 10 milionů pracovníků v oblasti zdravotnictví a sociální práce,
§nápravných opatření a obnovy, které by mohly dosáhnout až několika milionů eur za incident.
Agentura ENISA by mohla získat urychlené úvěry na nástroje ochrany IT a kybernetické bezpečnosti. Tyto prostředky by měly být za určitých podmínek vyhrazeny pro odvětví zdravotnictví a sociální péče.
1.2.1.3EHSV navrhuje prozkoumat, zda by výdaje na kybernetickou bezpečnost ve zdravotnictví mohly být zohledněny v souvislosti s obecnou únikovou doložkou Paktu o stabilitě a růstu a zda by mohly být považovány za výdaje na obranu vynaložené s cílem chránit zdraví evropských občanů a kritickou zdravotnickou infrastrukturu. Investice, které budou muset zdravotnické subjekty vynaložit na zajištění kybernetické bezpečnosti při poskytování zdravotní péče, budou vzhledem k riziku incidentů vyšší než v jiných odvětvích.
1.2.1.4Vzhledem k tomu, že celkové náklady vznikající v souvislosti s útoky kybernetické kriminality na odvětví zdravotnictví v EU lze jen obtížně odhadnout (ve Francii tyto náklady činí až 20 milionů EUR v rámci jednoho útoku), EHSV navrhuje investovat do sledování a dohledávání nákladů, aby Evropská komise mohla lépe přizpůsobit investice, ať už jde o ohniska trestné činnosti, místní oblasti, které potřebují větší pomoc, nebo o pochopení, které bezpečnostní technologie či vzdělávací kampaně jsou nejúčinnější.
1.2.1.5EHSV zdůrazňuje úlohu orgánů pro ochranu údajů v členských státech při zajišťování toho, aby nemocnice a další subjekty zdravotní péče přijaly vhodná bezpečnostní opatření. Členské státy mohou v případě nepřijetí preventivních opatření v oblasti kybernetické bezpečnosti zasáhnout a uložit pokutu.
1.2.2Technická opatření
1.2.2.1EHSV doporučuje:
-zvyšovat povědomí o základních postupech kybernetické hygieny (např. správné zásady řízení přístupu k systému, zakázání portů USB, používání antivirového programu pro koncové body, oddělení nezabezpečených zařízení, umístění infikovaných zařízení do karantény),
-investovat do digitálních dvojčat pro nemocnice, systémy zdravotní péče nebo zdravotnické prostředky s cílem usnadnit zajištění a testování,
-poskytovat technickou pomoc malým zdravotnickým jednotkám (např. prostřednictvím poskytování zabezpečených serverů nebo bezpečnostních služeb ze strany centralizovaného orgánu, jako je agentura ENISA), které vzhledem ke své malé velikosti nemohou investovat do kybernetických bezpečnostních rizik,
-investovat do strategických technických schopností (např. bezpečnost provozních technologií, propojení bezpečnosti a ochrany, forenzní příprava, umělá inteligence atd.).
1.2.3Procesní opatření
1.2.3.1EHSV by rád upozornil na soubor preventivních opatření, která by měla zlepšit úroveň ochrany v odvětví zdravotní péče a snížit riziko kybernetických útoků:
-Provádění příslušných testů (testy odolnosti, penetrační testy atd.), a to nejen na úrovni zařízení a dodavatele, ale také na úrovni systému (pokud jsou zařízení integrována do zdravotnických systémů) a na provozní úrovni.
-Vypracování plánů kontinuity provozu a jejich pravidelná aktualizace a přezkum jak interně, tak externě nezávislými auditory. Tyto plány by měly zahrnovat také záložní nebo bezpečnostní režim pro nemocnice a systémy zdravotní péče, aby mohly pokračovat v provozu.
-Sledování osvědčených postupů v oblasti monitorování a nápravných opatření, včetně zajištění odpovídající úrovně reakce, včetně decentralizované (v rámci každé nemocnice, poskytovatele nebo systému zdravotní péče, včetně domova) a centralizované (např. s využitím vnitrostátních týmů CSIRT nebo středisek ISAC). Pořízení dokumentace potřebné k certifikaci nebo ověření kybernetické bezpečnosti zařízení (např. že splňuje předpisy o kybernetické bezpečnosti stanovené v obecném nařízení o ochraně osobních údajů) v rámci zadávání veřejných zakázek.
1.2.3.2Podle názoru EHSV by Komise měla v rámci akčního plánu zvážit certifikaci poskytovatelů kybernetické bezpečnosti, aby přispěla k vytvoření důvěryhodného ekosystému. Zároveň je třeba upozornit na finanční zátěž, která je v současnosti kladena na nemocnice a zdravotnická zařízení, a varovat tak před dalším zvyšováním nákladů.
1.2.3.3EHSV uznává, že normalizace je velmi užitečná, ale zároveň upozorňuje, že nevyhnutelně vede k nedostatečné odolnosti, pokud nejsou zavedena zvláštní ochranná opatření a protiopatření. Plán by měl být provázán s dalšími iniciativami v oblasti fyzické a kybernetické odolnosti, včetně aktu o kybernetické odolnosti.
1.2.4Vzdělávací opatření
1.2.4.1Vzhledem k tomu, že ústředním pilířem akčního plánu je vzdělávání, EHSV doporučuje vypracovat společně se sociálními partnery plány celoživotního učení a odborné přípravy a zavést mechanismy pro předávání znalostí mezi různými subjekty a odbornými zúčastněnými stranami s cílem řešit výzvy v oblasti kybernetické bezpečnosti, etiky, soukromí a umělé inteligence.
1.2.4.2EHSV doporučuje, aby byla při zavádění nových IT nástrojů zajištěna soudržná institucionální reakce na kybernetické útoky, ochrana soukromí a řádná správa údajů, a to v souladu s právními předpisy jednotlivých členských států a dohodami o sjednávání kolektivních smluv se sociálními partnery.
1.2.4.3EHSV odhaduje, že aby bylo možné čelit kybernetickým bezpečnostním hrozbám, mělo by vzdělávání ve zdravotnictví zahrnovat cílenou odbornou přípravu v oblasti kybernetické bezpečnosti. Flexibilní a nákladově efektivní způsob, jak prohlubovat dovednosti odborníků, aniž by bylo nutné měnit základní učební osnovy, nabízejí mikrocertifikáty. Ty zvyšují odolnost zdravotní péče a jsou klíčovým tématem iniciativy Komise unie dovedností.
1.2.4.4Podle názoru EHSV musí být řešení nedostatku pracovníků v oblasti kybernetické bezpečnosti a nízké úrovně bezpečnosti ve zdravotnictví ústředním bodem revize digitální dekády EU. Pro řešení složitých hrozeb a budování dlouhodobé odolnosti jsou nezbytné strategické investice do multidisciplinárních dovedností v oblasti kybernetické bezpečnosti, umělé inteligence, forenzní připravenosti a bezpečnosti zdravotnických prostředků.
1.2.4.5EHSV uznává, že digitalizace zdravotnictví a potenciální hrozby narušení kybernetické bezpečnosti mohou jednotlivým zdravotnickým pracovníkům a pacientům způsobit psychické potíže, a požaduje, aby evropští občané a zdravotničtí pracovníci získali základní znalosti a dovednosti v oblasti kybernetické bezpečnosti.
1.2.4.6EHSV doporučuje, aby Komise plně uplatnila svou podpůrnou a koordinační úlohu a využila finanční prostředky EU na podporu kampaní ke zvýšení informovanosti o rizicích v oblasti kybernetické bezpečnosti a jejich prevenci na pracovišti prostřednictvím doporučení týkajících se „kybernetické hygieny“.
2.Obecné připomínky
2.1V roce 2020 agentura ENISA oznámila, že v celé EU došlo v porovnání s předchozím rokem k nárůstu kybernetických útoků o 47 %: ve Francii se počet oznámených případů v roce 2021 zdvojnásobil. Agentura ENISA uznala potřeby kybernetické bezpečnosti v odvětví zdravotní péče a uvítala akční plán Evropské komise z ledna 2025 (jehož cílem je od roku 2025 neustále zvyšovat kybernetickou odolnost), který má zajistit nemocnicím, klinikám a poskytovatelům zdravotní péče vysokou úroveň ochrany proti jakémukoli útoku na systémy informačních nebo provozních technologií těchto subjektů.
2.2Ochrana osob, podniků a institucí před kybernetickými riziky je klíčovou prioritou evropského prohlášení o digitálních právech a zásadách pro digitální dekádu
. EHSV zdůrazňuje potřebu komplexní a průřezové politiky EU v oblasti kybernetické bezpečnosti, která by chránila veřejné zdraví a právo na zdravotní péči. EHSV vybízí Komisi, aby přijala přístup ke kybernetické bezpečnosti založený na právech, který by se opíral o (digitální a ústavní) hodnoty EU, a aby kybernetickou bezpečnost uznala za právo stejně jako ostatní základní práva, jako je ochrana soukromí a údajů a fyzická bezpečnost. EHSV nedoporučuje omezovat kybernetickou bezpečnost pouze na ochranu infrastruktury, systémů a údajů.
2.3Robotické systémy a digitální přístroje hrají stále větší úlohu v chirurgii, při sledování zdravotního stavu pacientů a při lékařských vyšetřeních, což může způsobit skutečnou fyzickou a psychickou újmu, pokud tyto digitální systémy nebudou zabezpečeny (například proti zlovolné chybné kalibraci chirurgických robotů a proti spuštění „zadních vrátek“ v diagnostických systémech využívajících umělou inteligenci). EHSV požaduje, aby se mnohem více pozornosti věnovalo starším systémům a průniku informačních a provozních technologií, protože v důsledku nedostatků ve standardních procesech a nedostatečné informovanosti vzniká složitost. Řešení problémů tohoto konkrétního průniku vyžaduje multidisciplinární přístup (zahrnující bezpečnostní inženýrství), odborné znalosti a schopnost rozpoznat a testovat nové hrozby pomocí nových nástrojů a metodik. Akční plán by se měl zabývat také „kyberneticko-fyzikálními“ systémy a úsilím vynakládaným na řešení této otázky.
2.4EHSV vyzývá Komisi, aby upřesnila rozsah poskytovatelů zdravotní péče, na které má akční plán dopad. V akčním plánu se uvádí, že odvětví zdravotnictví zahrnuje širokou škálu subjektů a aktérů, mezi něž patří nemocnice, kliniky, pečovatelské domy, rehabilitační centra a různí poskytovatelé zdravotní péče, dále farmaceutický, lékařský a biotechnologický průmysl, výrobci zdravotnických prostředků a zdravotnické výzkumné instituce. EHSV žádá Komisi, aby upřesnila, zda se jedná o její vyčerpávající představu o odvětví zdravotnictví, a poukazuje na cíle v oblasti zdraví, které určila agentura ENISA. Komise musí vzít v úvahu nepřímou interakci s širším ekosystémem, včetně komerční oblasti související se zdravím (např. fitness náramky, trenéři hubnutí atd.).
2.5V oblasti poskytování služeb kybernetické bezpečnosti s cílem zajistit ochranu nemocnic a odvětví zdravotnictví klade Evropská komise velký důraz na spolupráci s technologickými firmami a soukromými ziskovými organizacemi. Spolupráce se ziskovým sektorem může mít cenné přínosy pro posílení kybernetické bezpečnosti, je však třeba postupovat opatrně. Zdravotnická zařízení si musí být vědoma možných střetů zájmů, které mohou vzniknout, pokud se na správě citlivých údajů o pacientech budou podílet komerční společnosti. Existuje riziko, že obchodní zájmy těchto společností, jako je maximalizace zisku, budou mít přednost před ochranou soukromí pacientů a integritou lékařských údajů. EHSV upozorňuje, že evropské podniky se musí řídit evropskými předpisy zaručujícími ochranu soukromí pacientů a integritu lékařských údajů (tj. obecným nařízením o ochraně osobních údajů).
2.6EHSV by uvítal, kdyby byly do evropského akčního plánu začleněny etické normy a doložky o ochraně soukromí.
2.7EHSV vybízí Komisi, aby posílila mandát týmů pro reakce na počítačové bezpečnostní incidenty (CSIRT) zlepšením koordinace, zefektivněním komunikace a posílením přeshraniční spolupráce mezi evropskými nemocnicemi v zájmu účinnějšího sdílení informací o hrozbách. Posílení bezpečnosti informačních technologií ve zdravotnictví prostřednictvím sdružování a profesionalizace odborných znalostí v oblasti kybernetické bezpečnosti zvýší celkovou kybernetickou odolnost tohoto odvětví a jeho připravenost čelit vyvíjejícím se hrozbám. Posílení bezpečnosti provozních technologií a zpevnění zdravotnických systémů prostřednictvím integrovaného bezpečnostního inženýrství rovněž zvýší úroveň ochrany, kterou budou kybernetické útoky překonávat s menší pravděpodobností.
2.8Soubor nástrojů kybernetické bezpečnosti by mohl poskytnout ucelený soubor zdrojů, osvědčených postupů a nástrojů, které by pomohly velkým i malým zdravotnickým organizacím chránit se před digitálními hrozbami. Používání simulací a reálných scénářů může zlepšit získávání poznatků a pomoci zaměstnancům pochopit praktické důsledky narušení kybernetické bezpečnosti.
2.9Je třeba omezit počet osob, kterým je povolen přístup k externím sítím na webu a vkládání externích údajů. Je nám známo, že člověk může být nejkřehčím faktorem ochrany počítačového systému. Proto by měly být zavedeny systémy orientované na člověka (případně s využitím umělé inteligence), které by odhalovaly útoky a poskytovaly vzdělávání o tom, jak zmírnit vnitřní hrozby. V ideálním případě by měla být pracovní stanice odpojena od nemocniční sítě, aby útok zasáhl pouze samotný počítač a minimum duplikovaných údajů. Jakmile by byly údaje ověřeny z hlediska přítomnosti virů, počítač by se odpojil od externí sítě a připojil by se k nemocniční síti za účelem přenosu údajů. Každé ráno by se do počítačů vkládaly údaje o pacientech za daný den.
2.10Pokud by zaměstnanci potřebovali přistupovat k nezabezpečenému webu, museli by tak činit prostřednictvím počítačů nepřipojených k nemocniční síti a bez možnosti zálohování nebo přenosu údajů.
2.11V nemocnici by se mělo počítat s možným vnitřním ohrožením (i když je omezeno na 2 % incidentů), přičemž je třeba zaujmout přístup vycházející z rizika, pokud jde o to, jaká by mohla být nejvhodnější úroveň dohledu, ať už prostřednictvím počítačových sítí, fyzického dohledu, jako jsou kamery, nebo prostřednictvím míst kontroly přístupu, například prostřednictvím průkazů zaměstnanců. V rámci sociálního dialogu v nemocnicích a ve zdravotnictví se nesmí přejít od dohledu k obtěžujícím zásahům.
2.12Podle EHSV je naprosto nezbytné, aby nemocnice v EU měly plány řízení incidentů a kontinuity provozu, včetně postupů reakce na incidenty, záložních komunikačních řešení a odpojených záloh, aby mohly v případě útoku reagovat rychle a účinně. Důležitou součástí plánů řízení incidentů a kontinuity provozu jsou časté zátěžové testy simulující scénáře kybernetických útoků ve virtuálním prostředí, které by umožnily změřit míru a úroveň dopadu kybernetického útoku a ověřit schopnost zdravotnického zařízení reagovat. Zásadní význam má přizpůsobené zapojení zaměstnanců a poskytnutí jim konkrétních dovedností v tomto ohledu.
2.13EHSV navrhuje vyvinout digitální simulátor, který by obsahoval scénáře útoku a reakce, jež by se daly snadno nasadit a používat. Tento simulátor by mohl sloužit jako demonstrační nástroj pro osvětové, informační a vzdělávací akce.
2.14Je třeba často provádět simulační cvičení útoku, aby se zjistilo, jak je plán obnovení provozu uplatňován, a bylo možné zlepšit postupy pro příští fiskální rok buď zvýšením počtu osob vyškolených v těchto plánech obnovení provozu, nebo například stanovením jednodušších a jednoznačnějších pokynů.
2.15V případě, že by útok nebyl zjištěn a způsobil vzhledem ke své sofistikovanosti vážné poškození služeb, je nutné použít nouzový režim s dočasným návratem do manuálního režimu, aby nedošlo k zablokování provozu na začátku útoku. Lidé musí být vyškoleni, aby věděli, jak organizovat služby prostřednictvím papírových záznamů, dokud nebude obnovena činnost oddělení IT. Dodatečně se provede manuální zápis provedených úkonů.
2.16Každé zařízení s mikroprocesorem (nebo dokumentace připojená k zařízení) instalované v nemocnici musí být předem zkontrolováno interní osobou odpovědnou za kybernetická bezpečnostní rizika, aby se ověřilo, že v něm není předem implantován žádný virus. Jsme si vědomi toho, že ne všechny nemocnice budou schopny vytvořit celé interní oddělení pro kybernetickou bezpečnost. Navrhujeme, aby potvrzování nepřítomnosti virů měla na starosti osoba odpovědná za rizika (podobně jako správce údajů podle obecného nařízení o ochraně osobních údajů), které by poskytovali podporu dodavatelé technologií, jejich IT oddělení nebo subjekty zapojené do této iniciativy.
2.17EHSV vyzývá, aby byla věnována pozornost malým zdravotnickým jednotkám s omezeným IT oddělením, a žádá, aby byla vyjasněna úloha agentury ENISA v této oblasti, pokud jde o poskytování softwaru nebo zabezpečených serverů; vybízí průkopnické nemocnice, aby si vyměňovaly informace a přispívaly ke vzdělávání menších subjektů v oblasti kybernetické bezpečnosti.
2.18Evropský akční plán by mohl začlenit využívání etických hackerů a neziskových organizací jako standardní praxi, a to usnadněním formální spolupráce nebo programů, které by zdravotnickým zařízením umožnily využívat tyto externí odborné znalosti, aniž by to pro ně znamenalo značnou finanční zátěž. To by nejen zvýšilo celkovou kybernetickou bezpečnost, ale také přispělo k širší kultuře spolupráce a sdílení znalostí v rámci odvětví.
2.19EHSV navrhuje využít – v souladu s právními předpisy jednotlivých členských států – kolektivní vyjednávání a kolektivní smlouvy k zajištění soudržné institucionální reakce na kybernetické útoky, ochrany soukromí a řádné správy údajů a zároveň upevnit sociální dialog a zapojit sociální partnery do monitorování a kontroly procesů týkajících se kybernetických útoků a ochrany údajů zaměstnanců a pacientů. Upozorňuje, že je nutné zabývat se v rámci sociálního dialogu psychickým stresem, který mohou záležitosti týkající se kybernetické bezpečnosti vyvolat.
2.20Teorie „kopí a štítu“ ukazuje, že útočníci se pohybují rychleji než obránci a stejně tak se zrychlují i inovace v trestné činnosti. V rámci center pomoci by se kromě zpravodajství o hrozbách měly provádět také činnosti zaměřené na mapování trendů a přípravu na budoucí výzvy. Například aktéři hrozeb využívající ransomware nemusí provádět pouze běžné narušení údajů, ale i v případech, kdy je přístup obnoven, mohou selektivně narušit integritu údajů (zejména pokud je cíl strategický).
2.21Kybernetická bezpečnost dnes zahrnuje mnoho jiných oblastí než jen software a konektivitu. Zahrnuje také prvky fyzických systémů a umělou inteligenci. Prioritou by měla být integrace procesů zajišťování a stanovených požadavků, například takových, jaké obsahuje nařízení o zdravotnických prostředcích (MDR) nebo akt EU o umělé inteligenci.
2.22Doporučujeme v co největší míře umísťovat citlivé údaje nejlépe ve svrchovaných evropských veřejných zdravotnických cloudech s dvojím nebo trojím ověřením přístupu oprávněných osob k údajům. To by také výrazně pomohlo rychle obnovit provoz po průniku do počítačových systémů.
V Bruselu dne 5. června 2025.
předseda Poradní komise pro průmyslové změny
Pietro Francesco DE LOTTO
_____________
