CCMI/244
Handlingsplan for cybersikkerhed for hospitaler
UDTALELSE
Den Rådgivende Kommission for Industrielle Ændringer
Meddelelse fra Kommissionen til Europa-Parlamentet, Rådet, Det Europæiske Økonomiske og Sociale Udvalg og Regionsudvalget – Europæisk handlingsplan for cybersikkerhed for hospitaler og sundhedstjenesteydere
(COM(2025) 10 final)
Ordfører: Alain Coheur
Medordfører: Hervé Jeannin
|
Rådgiver
|
Joyce Loridan (for ordføreren, Gruppe III)
|
|
|
Hun Xhing Madeline Cheah (for medordføreren, Kat. 2)
|
|
Anmodning om udtalelse
|
Kommissionen, 5/3/2025
|
|
Retsgrundlag
|
Artikel 304 i traktaten om Den Europæiske Unions funktionsmåde.
|
|
Kompetence
|
Den Rådgivende Kommission for Industrielle Ændringer
|
|
Vedtaget i sektionen
|
4/6/2025
|
|
Resultat af afstemningen
(for/imod/hverken for eller imod)
|
25/0/0
|
|
Vedtaget på plenarforsamlingen
|
D/M/2025
|
|
Plenarforsamling nr.
|
…
|
|
Resultat af afstemningen
(for/imod/hverken for eller imod)
|
…/…/…
|
1.Konklusioner og anbefalinger
1.1EØSU bifalder ambitionsniveauet i den europæiske handlingsplan for hospitalers og sundhedstjenesteyderes cybersikkerhed og den opmærksomhed, der tildeles dette emne. Sektoren har været et vigtigt mål for trusselsaktører. Sundhed er et personligt anliggende, og sundhedsvæsenet tilrettelægges lokalt i medlemsstaterne og deres regioner. Cybersikkerhed er imidlertid en prioritet for Kommissionen, som søger at beskytte borgernes sundhed, det europæiske sundhedsdataområde og den store sundhedssektor i medlemsstaterne, der omfatter forskellige sundhedsenheder såsom hospitaler, beredskabstjenester samt lægemiddel- og bioteknologisektorerne, som i stigende grad er forbundet med omverdenen gennem telemedicin, patientportaler, platforme og wearables. Forbedring af cybersikkerheden i sundhedssektoren forbedrer den generelle sikkerhed og modstandsdygtighed og bidrager til beredskabsunionen.
1.2For at forbedre sikkerhedsforanstaltningerne på dette område fremsætter udvalget en række forslag, der falder ind under forskellige kategorier:
1.2.1Finansforanstaltninger
1.2.1.1EØSU beklager, at spørgsmålet om økonomisk støtte til gennemførelsen af handlingsplanen endnu ikke er blevet taget op. Dette kan føre til ulighed i det beskyttelsesniveau, som patienterne får, og som afhænger af, hvor mange ressourcer sundhedsinstitutionerne har til rådighed. EØSU tilskynder Kommissionen til at sikre en tematisk koncentration af støtten fra samhørighedsmidlerne.
1.2.1.2Udvalget fremhæver forskellene i investeringer i cybersikkerhed i hele EU og bemærker, at Frankrig alene har til hensigt at investere over 1 mia. EUR om året. Ekstrapoleret til hele EU betyder dette et minimumsbehov på 7,5 mia. EUR om året. For at forhindre cyberangreb bør hospitalerne afsætte ca. 10 % af deres IT-budgetter til cybersikkerhed. Der bør tages hensyn til spørgsmålet om overvågning af investeringernes territoriale dimension.
EØSU noterer sig støtten på 6 mio. EUR til ENISA, men understreger, at disse midler er utilstrækkelige i betragtning af, hvor meget der står på spil for sikkerheden for hospitaler, borgere og patienter, som i tilfælde af et angreb måske ikke længere har adgang til diagnosticering og behandling. ENISA bør opfordres til at supplere rapporten Threat landscape: health sector med en finansiel kortlægning af status for investeringer i cybersikkerhed i medlemsstaterne.
Den økonomiske støtte til den europæiske handlingsplan bør omfatte investeringer i:
§Forebyggelse: sikring af udstyr og hospitalsinfrastruktur til infrastruktur, der omfatter 2,3 mio. hospitalssenge i EU
§Uddannelse: bevidstgørelse og uddannelse af over 10 mio. medarbejdere i sundheds- og socialsektoren
§Afhjælpning og genopretning, som kan beløbe sig til flere millioner euro pr. hændelse.
ENISA kunne tildeles fast track-lån til IT-beskyttelses- og cybersikkerhedsværktøjer. Disse midler bør øremærkes til sundheds- og socialsektoren på særlige betingelser.
1.2.1.3EØSU foreslår, at det undersøges, om udgifterne til cybersikkerhed på sundhedsområdet kan komme i betragtning i forbindelse med stabilitets- og vækstpagtens generelle undtagelsesklausul og betragtes som forsvarsudgifter til beskyttelse af de europæiske borgeres sundhed og kritisk sundhedsinfrastruktur. Sundhedsenhederne vil få brug for flere investeringer til at sikre cybersikkerhed i forbindelse med sundhedsydelser end andre sektorer, eftersom de er mere udsatte for cyberangreb.
1.2.1.4Da det er vanskeligt at anslå de samlede omkostninger ved cyberangreb på sundhedssektoren i EU (op til 20 mio. EUR pr. angreb i Frankrig), foreslår EØSU, at der investeres i at spore omkostninger, så Kommissionen i højere grad kan skræddersy investeringer, hvad enten der er tale om de områder, der er hårdest ramt af kriminalitet, lokalområder med behov for mere hjælp eller indsigt i, hvilke sikkerhedsteknologier eller uddannelseskampagner der er de mest effektive.
1.2.1.5EØSU fremhæver den rolle, som databeskyttelsesmyndighederne i medlemsstaterne spiller med hensyn til at sikre, at hospitaler og andre sundhedsenheder træffer passende sikkerhedsforanstaltninger. Medlemsstaterne kan i tilfælde af manglende forebyggende cybersikkerhedsforanstaltninger spille en rolle ved at udstede bøder.
1.2.2Tekniske foranstaltninger
1.2.2.1EØSU anbefaler at:
-øge bevidstheden om grundlæggende praksis for digital hygiejne (f.eks. gode politikker for kontrol med adgangen til systemer, deaktivering af USB-porte, anvendelse af antivirus til endepunkter, afkobling af usikret udstyr, karantæne for inficerede maskiner)
-investere i digitale tvillinger til hospitaler, sundhedssystemer eller medicinsk udstyr for at lette sikring og testning
-yde teknisk bistand til små medicinske enheder (f.eks. ved at en central myndighed såsom ENISA stiller sikre servere eller sikkerhedstjenester til rådighed), som på grund af deres beskedne størrelse ikke er i stand til at investere i cybersikkerhed
-investere i strategisk teknisk kapacitet (f.eks. driftsteknologiers sikkerhed, forbindelsen mellem sikkerhed og beskyttelse, kriminaltekniske forberedelser, kunstig intelligens osv.).
1.2.3Procesforanstaltninger
1.2.3.1EØSU gør opmærksom på en række sikkerhedsrelaterede og forebyggende foranstaltninger, der kan forbedre beskyttelsesniveauet i sundhedssektoren og mindske risikoen for cyberangreb:
-gennemførelse af passende test (resistenstest, penetrationstest osv.), ikke blot på udstyrs‑ og leverandørniveau, men også på systemniveau (når udstyr integreres i sundhedssystemerne) og på operationelt plan
-udarbejdelse af planer for driftskontinuitet, der regelmæssigt ajourføres og revideres, såvel internt som eksternt af uafhængige revisorer. Disse planer bør også omfatte indførelse af backup- og sikkerhedsprocedurer for hospitaler og sundhedssystemer, så de kan fortsætte driften
-overvågning af bedste praksis for kontrol og afhjælpning, inkl. sikring af, at der findes et passende beredskab, både decentralt (for alle hospitaler, tjenesteydere og sundhedssystemer, herunder i hjemmet) og centralt (f.eks. ved hjælp af nationale CSIRT‑ eller ISAC-teams). Erhvervelse – i forbindelse med udbudsprocedurer – af den dokumentation, der er nødvendig for at certificere eller validere udstyrs cybersikkerhed (f.eks. at det pågældende udstyr er i overensstemmelse med cybersikkerhedsbestemmelserne i databeskyttelsesforordningen).
1.2.3.2EØSU mener, at Kommissionen som led i handlingsplanen bør overveje at certificere cybersikkerhedsudbydere med henblik på at skabe et pålideligt økosystem. Udvalget fremhæver samtidig den finansielle byrde, der i øjeblikket pålægges hospitaler og sundhedsinstitutioner, og advarer mod yderligere omkostningsstigninger.
1.2.3.3Udvalget anerkender, at standardisering er yderst nyttig, men påpeger også, at den uundgåeligt fører til manglende modstandsdygtighed, medmindre der indføres specifikke beskyttelsesforanstaltninger og modforanstaltninger. Planen bør integreres med andre initiativer vedrørende fysisk modstandsdygtighed og cyberrobusthed, herunder forordningen om cyberrobusthed.
1.2.4Uddannelsesforanstaltninger
1.2.4.1Eftersom uddannelse er en vigtig søjle i handlingsplanen, anbefaler EØSU, at der iværksættes løbende lærings- og uddannelsesplaner, der udarbejdes i samarbejde med arbejdsmarkedets parter, og mekanismer til videnoverførsel mellem de forskellige enheder og professionelle interessenter med henblik på at løfte udfordringerne i tilknytning til cybersikkerhed, etik, privatlivets fred og kunstig intelligens.
1.2.4.2EØSU foreslår, at der i forbindelse med indførelsen af nye IT-værktøjer sikres et sammenhængende institutionelt svar på cyberangreb, beskyttelse af privatlivets fred og korrekt forvaltning af data som fastsat i medlemsstaternes lovgivning og kollektive overenskomstforhandlinger med arbejdsmarkedets parter om kollektive kontrakter.
1.2.4.3Udvalget vurderer, at sundhedsuddannelserne bør omfatte særskilt uddannelse i cybersikkerhed for at imødegå cybersikkerhedstrusler. Mikroeksamensbeviser er en fleksibel og omkostningseffektiv måde at opkvalificere fagfolk på uden at ændre de grundlæggende læseplaner. De øger sundhedsplejens modstandsdygtighed og udgør et centralt fokusområde i Kommissionens initiativ om en færdighedsunion.
1.2.4.4EØSU mener, at håndteringen af manglen på arbejdskraft inden for cybersikkerhed og det lave sikkerhedsniveau inden for sundhedsplejen skal have særlig opmærksomhed i forbindelse med revisionen af EU's digitale årti. Strategiske investeringer i tværfaglige færdigheder – cybersikkerhed, kunstig intelligens, kriminalteknisk beredskab og sikkerhed for medicinsk udstyr – er afgørende for at imødegå komplekse trusler og opbygge langsigtet modstandsdygtighed.
1.2.4.5EØSU anerkender, at digitaliseringen af sundhed og trivsel og eventuelle trusler om brud på cybersikkerheden kan forårsage psykisk overlast for den enkelte sundhedsmedarbejder og patient, og opfordrer til, at grundlæggende cybersikkerhedskompetencer og -færdigheder udbredes blandt de europæiske borgere og sundhedspersonale.
1.2.4.6EØSU anbefaler, at Kommissionen fuldt ud udøver sin understøttende og koordinerende rolle ved at anvende EU-midler til at fremme cybersikkerhedsoplysningskampagner om trusselsrisici og forebyggelse på arbejdspladsen gennem anbefalinger vedrørende "digital hygiejne".
2.Generelle bemærkninger
2.1I 2020 rapporterede ENISA om en samlet stigning på 47 % i antallet af cyberangreb i hele EU sammenlignet med det foregående år. I Frankrig fordobledes antallet af anmeldte sager i 2021. ENISA anerkender sundhedssektorens cybersikkerhedsbehov og hilser Kommissionens handlingsplan fra januar 2025 (der har til formål løbende at forbedre cyberrobustheden fra 2025 og fremefter) velkommen. Målet er, at hospitaler, klinikker og sundhedstjenesteydere får en god beskyttelse mod alle angreb på deres IT- og OT-systemer.
2.2Beskyttelse af borgerne, virksomhederne og institutionerne mod cyberrisici er en vigtig prioritet i den europæisk erklæring om digitale rettigheder og principper for det digitale årti
. EØSU understreger, at der er behov for en omfattende og tværgående cybersikkerhedspolitik på EU-niveau, der kan beskytte folkesundheden og værne om retten til sundhedspleje. EØSU opfordrer Kommissionen til at anlægge en rettighedsbaseret tilgang til cybersikkerhed, der understøttes af EU's (digitale og forfatningsmæssige) værdier, og til at anerkende cybersikkerhed som en rettighed på lige fod med andre grundlæggende rettigheder såsom privatlivets fred, databeskyttelse og fysisk sikkerhed. EØSU fraråder at begrænse cybersikkerhed til et spørgsmål om beskyttelse af infrastruktur, systemer og data.
2.3Robotter og digitale maskiner spiller en stadig større rolle inden for kirurgi, overvågning af patienters sundhed og medicinske prøver, hvilket risikerer at forårsage reelle fysiske og mentale skader, hvis disse digitale systemer ikke beskyttes (f.eks. mod ondsindet fejlkalibrering af kirurgiske robotter og skjulte udløsende faktorer, der anvendes i diagnosesystemer baseret på kunstig intelligens). EØSU opfordrer til, at der i langt højere grad fokuseres på nedarvede systemer og skæringspunktet mellem IT/OT, da der kan opstå komplekse situationer som følge af huller i standardprocesser og manglende bevidsthed. Håndteringen af udfordringerne i tilknytning til dette særlige skæringspunkt kræver en tværfaglig tilgang (herunder sikkerhedsteknik), specialviden og en evne til at afdække og teste nye trusler ved hjælp af nye værktøjer og metoder. Handlingsplanen bør også se på "cyberfysiske" systemer og de bestræbelser, der er gjort på dette område.
2.4EØSU opfordrer Kommissionen til at præcisere omfanget af sundhedstjenesteydere, der påvirkes af handlingsplanen. I handlingsplanen slås det fast, at sundhedssektoren består af en lang række enheder og aktører, herunder hospitaler, klinikker, plejehjem, rehabiliteringscentre og forskellige sundhedstjenesteydere foruden lægemiddel-, medicinal- og bioteknologiindustrien, producenter af medicinsk udstyr og sundhedsforskningsinstitutioner. EØSU anmoder Kommissionen om at præcisere, om dette skal opfattes som en udtømmende beskrivelse af sundhedssektoren, og gør opmærksom på de sundhedsmål, som ENISA har opstillet. Kommissionen skal tage hensyn til det indirekte samspil med det bredere økosystem, herunder markedet for velvære (f.eks. fitnesstrackere, personlige trænere osv.).
2.5Kommissionen lægger stor vægt på samarbejdet med teknologivirksomheder og private profitorienterede organisationer om levering af cybersikkerhedstjenester til beskyttelse af hospitaler og sundhedssektoren. Selv om samarbejde med den profitorienterede sektor kan give værdifulde fordele med hensyn til at styrke cybersikkerheden, skal der udvises forsigtighed. Sundhedsinstitutionerne skal være opmærksomme på de eventuelle interessekonflikter, der kan opstå, når kommercielle virksomheder er involveret i forvaltningen af følsomme patientoplysninger. Der kan være en risiko for, at disse virksomheders kommercielle interesser, såsom profitmaksimering, prioriteres frem for beskyttelsen af patienternes privatliv og integriteten af medicinske data. Udvalget understreger, at de europæiske virksomheder skal overholde EU-lovgivningen om beskyttelse af patienters privatliv og integriteten af medicinske data (databeskyttelsesforordningen).
2.6EØSU ser gerne, at etiske standarder og bestemmelser om beskyttelse af privatlivets fred indarbejdes i den europæiske handlingsplan.
2.7Udvalget opfordrer Kommissionen til at styrke mandatet for enheder, der håndterer IT‑sikkerhedshændelser (CSIRT'er), ved at forbedre koordineringen, strømline kommunikationen og styrke det grænseoverskridende samarbejde mellem de europæiske hospitaler med henblik på en mere effektiv udveksling af efterretninger om trusler. Styrkelse af IT-sikkerheden i sundhedssektoren gennem sammenlægning og professionalisering af cybersikkerhedsekspertise vil forbedre sektorens overordnede cyberrobusthed og beredskab over for nye trusler. Styrkelse af OT-sikkerheden og større modstandsdygtighed i de medicinske systemer gennem integreret sikkerhedsteknik vil ligeledes bidrage til at gøre visse cyberangreb mere usandsynlige.
2.8En cybersikkerhedsværktøjskasse bør indeholde et omfattende sæt ressourcer, bedste praksis og værktøjer, der er udformet til at hjælpe store og små sundhedsorganisationer med at beskytte sig selv mod digitale trusler. Gennemførelse af simuleringer og scenarier under faktiske forhold kan forbedre læringen og hjælpe personalet med at forstå de praktiske konsekvenser af brud på cybersikkerheden.
2.9Antallet af personer, der har adgang til eksterne netværk på internettet og kan importere eksterne data, bør begrænses. Det er et faktum, at mennesker kan være det svageste led i beskyttelsen af et computersystem. Der bør derfor indføres menneskecentrerede systemer (eventuelt drevet af kunstig intelligens) for at kunne opdage angreb og tilbyde undervisning i, hvordan insiderangreb afbødes. Ideelt set bør arbejdsstation(erne) afkobles fra hospitalsnetværket, således at et angreb kun påvirker selve PC'en og det minimum af data, der er duplikeret. Når dataene er blevet testet for virus, afkobles computeren fra det eksterne netværk og forbindes til hospitalsnetværket med henblik på dataoverførsel. PC'erne opdateres hver morgen med dagens patientoplysninger.
2.10Hvis medarbejderne har brug for at komme på det usikre internet, skal dette ske via PC'er, der ikke er tilsluttet hospitalsnetværket, og uden mulighed for backup eller dataoverførsel.
2.11Der bør fastsættes procedurer for eventuelle interne angreb på hospitalerne (selv om de kun tegner sig for 2 % af hændelserne) med en risikobaseret tilgang til, hvad der vil være det mest hensigtsmæssige overvågningsniveau, uanset om de sker gennem computernetværk, fysisk overvågning såsom kameraer eller via adgangskontrolpunkter, f.eks. medarbejderbadges. Den sociale dialog på hospitaler og i sundhedssektoren må ikke udvikle sig til en indgribende overvågning.
2.12EØSU finder det bydende nødvendigt, at hospitalerne i EU har planer for håndtering af hændelser og driftskontinuitet, herunder procedurer for håndtering af hændelser, backupløsninger for kommunikation og et afkoblet backupsystem, så de kan reagere hurtigt og effektivt i tilfælde af angreb. En vigtig del af planerne for håndtering af hændelser og driftskontinuitet er hyppige stresstest, hvor man simulerer scenarier for cyberangreb i et virtuelt miljø, som gør det muligt at måle et cyberangrebs omfang og styrke og kontrollere en sundhedsinstitutions beredskabskapacitet. Det er afgørende, at medarbejderne inddrages på passende vis, og at de erhverver konkrete færdigheder i den henseende.
2.13EØSU foreslår, at der udvikles en digital simulator med angrebs- og beredskabsscenarier, der er nemme at udrulle og anvende. Denne simulator kan anvendes som et demonstrationsredskab ved bevidstgørelses-, oplysnings- og uddannelsesarrangementer.
2.14Der bør gennemføres hyppige angrebssimuleringsøvelser for at se, hvordan planen for genoprettelse af tjenesten anvendes, og procedurerne for det næste regnskabsår bør forbedres ved enten at øge antallet af personer, der er uddannet i disse genopretningsplaner, eller ved f.eks. at udarbejde forenklede og klarere vejledninger.
2.15Hvis et angreb ikke er blevet opdaget og har forårsaget alvorlig skade på tjenesterne som følge af dets avancerede karakter, er det nødvendigt at begrænse driften og midlertidigt anvende manuelle procedurer for ikke at stoppe driften ved begyndelsen af et angreb. Medarbejderne skal vide, hvordan de organiserer tjenesten på papir, indtil IT-afdelingens funktioner er genoprettet. Der vil efterfølgende blive foretaget en manuel indlæsning af de gennemførte foranstaltninger.
2.16Alt udstyr med en mikroprocessor (og/eller eventuel dokumentation i tilknytning til udstyret), der installeres på et hospital, skal på forhånd kontrolleres af den internt ansvarlige for cybersikkerhedsrisici for at sikre, at det ikke allerede indeholder virus. Udvalget er klar over, at ikke alle hospitaler har ressourcer til at oprette en særskilt intern afdeling for cybersikkerhed. Udvalget foreslår, at risikoejeren (i lighed med den dataansvarlige i henhold til GDPR) er den, som har ansvaret for godkendelser, med støtte fra teknologileverandører, deres IT-afdeling og/eller deltagere i dette initiativ.
2.17EØSU opfordrer til, at der fokuseres på små medicinske enheder med en begrænset IT‑afdeling, og anmoder om, at ENISA's rolle præciseres, hvad angår levering af software og sikre servere. Udvalget tilskynder til, at innovative hospitaler udveksler erfaringer med mindre enheder og bidrager til at uddanne dem i cybersikkerhed.
2.18Man kunne inden for rammerne af den europæiske handlingsplan gøre brug af etiske hackere og nonprofitorganisationer til standardpraksis ved at fremme formelt samarbejde eller programmer, der gør det muligt for sundhedsinstitutioner at udnytte denne eksterne ekspertise uden at pådrage sig betydelige finansielle byrder. Dette vil ikke blot forbedre den overordnede cybersikkerhed, men også bidrage til en bredere samarbejdskultur og videndeling inden for sektoren.
2.19EØSU foreslår – i tråd med medlemsstaternes lovgivning – at man anvender kollektive overenskomstforhandlinger og kollektive overenskomster til at sikre et sammenhængende institutionelt svar på cyberangreb, beskyttelse af privatlivets fred og korrekt dataforvaltning, samtidig med at den sociale dialog styrkes, og arbejdsmarkedets parter inddrages i overvågningen af og kontrollen med processerne vedrørende cyberangreb og databeskyttelse for medarbejdere og patienter. Udvalget fremhæver behovet for at tage fat på risikoen for psykologisk stress som følge af cybersikkerhedsrelaterede spørgsmål inden for rammerne af den sociale dialog.
2.20Ifølge "spear and shield"-teorien er angriberne hurtigere end forsvarerne, hvorved også den kriminelle innovation tager fart. Støttecentrene bør ud over trusselsefterretninger også tilbyde horisontafsøgning og fremtidssikring. F.eks. kan trusselsaktører, som benytter sig af ransomware, ud over deres "sædvanlige" aktiviteter med at bryde datasikkerheden – i de tilfælde, hvor adgangen genoprettes – også have kompromitteret dataintegriteten på en selektiv måde (navnlig hvis der er tale om et strategisk mål).
2.21Cybersikkerhed handler i dag ikke længere blot om software og konnektivitet. Den omfatter også fysiske systemer samt kunstig intelligens. Der skal gives prioritet til integration af sikkerhedsprocesser og obligatoriske krav ligesom dem, man f.eks. finder i forordningen om medicinsk udstyr eller EU-forordningen om kunstig intelligens.
2.22Udvalget anbefaler, at så mange følsomme data som muligt placeres i helst offentlige medicinske clouds i EU med dobbelt eller tredobbelt verifikation af autoriserede personers dataadgang. Dette bidrager også i høj grad til hurtigt at genoprette tjenesten efter indtrængen i computersystemerne.
Bruxelles, den 5. juni 2025.
Pietro Francesco De Lotto
Formand for Den Rådgivende Kommission for Industrielle Ændringer
_____________
