Ordfører : Daniela CÎMPEAN (RO/EPP), formand for regionalrådet i Sibiu

POLITISKE ANBEFALINGER

1.

Det Europæiske Regionsudvalg bemærker, at cybersikkerhedsarbejdet ikke holder trit med den igangværende digitale omstilling inden for sundhedsinstitutionerne og leveringen af sundhedsydelser, hvilket i praksis har gjort sundhedsplejen til et primært mål for ondsindede aktører;

2.

bifalder i den forbindelse offentliggørelsen af den europæiske handlingsplan for cybersikkerhed for hospitaler og sundhedstjenesteydere, som udvalget finder aktuel og vigtig i lyset af de tiltagende cyberangreb på europæiske hospitaler og sundhedstjenesteydere;

3.

advarer om, at cybersikkerhedstrusler har geopolitiske konsekvenser, og påpeger, at cybersikkerhed inden for sundhedsplejen ikke blot er et teknisk spørgsmål, men også et spørgsmål om lokal, regional, national og europæisk sikkerhed;

4.

advarer ligeledes om, at den stigning i cyberkriminalitet, der har kunnet observeres siden udbruddet af covid-19, ikke synes at aftage. Udenlandske og statsstøttede cyberangreb handler ikke blot om cyberspionage og tyveri af intellektuelle ejendomsrettigheder, men også om at destabilisere hele samfund;

5.

opfordrer til at gøre »indbygget cybersikkerhed« obligatorisk ved, at man træffer proaktive cybersikkerhedsforanstaltninger helt fra starten ved udviklingen af nye teknologier til brug i sundhedssektoren. Udvalget opfordrer i den forbindelse indtrængende til, at offentlige sundhedstjenesteydere kun køber færdigudviklede produkter, når det gælder cybersikkerhedsløsninger, herunder backup- og nødsystemer, som garanterer patientsikkerheden, selv i tilfælde af netforstyrrelser;

6.

fremhæver, at der i de tilfælde, hvor angreb ikke kan forebygges, kan stilles en særlig beredskabstjeneste til rådighed specifikt for sundhedssektoren gennem EU’s cybersikkerhedsreserve, der blev oprettet ved forordningen om cybersolidaritet. Det primære ansvar ligger imidlertid på lokalt og regionalt plan;

7.

støtter Verdenssundhedsorganisationens (WHO/Europas) arbejde med digital sundhed og giver tilsagn om at samarbejde med WHO om dette spørgsmål med henblik på at gennemføre den handlingsplan for 2025-2026, som de begge har undertegnet;

8.

glæder sig over WHO/Europas retningslinjer fra 2025 for vurdering af cybersikkerhedsrisiciene og risiciene for privatlivets fred i forbindelse med digital sundhed, som udgør en ramme for at hjælpe lande og organisationer med at udvikle risikovurderingsstrategier, der er i overensstemmelse med deres specifikke behov, mål og lovgivningsmæssige krav;

9.

gør opmærksom på den voksende betydning af kunstig intelligens (AI) både som vektor for trusler (avanceret phishing og deepfakes) og som et potentielt forsvarsinstrument (til afsløring af uregelmæssigheder og automatisk reaktion), og foreslår, at handlingsplanen kommer til at omfatte begge aspekter af AI.

De lovgivningsmæssige rammer

10.

Det Europæiske Regionsudvalg understreger, at handlingsplanen bygger på den eksisterende lovgivningsmæssige ramme på cybersikkerhedsområdet, navnlig NIS 2-direktivet, forordningen om cybersolidaritet, forordningen om cybersikkerhed, forordningen om medicinsk udstyr og forordningen om cyberrobusthed. Udvalget bemærker ligeledes forbindelsen mellem handlingsplanen og udkastet til Rådets henstilling om en EU-plan for cybersikkerhedskrisestyring;

11.

advarer om, at udviklingen på området giver anledning til kompleksitet og overlapninger mellem certificeringsmekanismer inden for rammerne af forordningen om cybersolidaritet, forordningen om medicinsk udstyr og forordningen om kunstig intelligens, hvilket kan føre til fragmentering og »regelarbitrage«, navnlig i forbindelse med ordninger for frivillig deltagelse;

12.

støtter målene for det EU-finansierede CYMEDSEC-projekt (1) om at forbedre cybersikkerheden i sundhedssystemerne gennem en omfattende evaluering af udformningen af udstyr og netværksinfrastruktur, cybersikkerhed og lovgivningsmæssige rammer;

13.

foreslår, at det undersøges, om det kan være nyttigt at sammenkæde kravene i gennemførelsesbestemmelserne for NIS 2-direktivet med kravene i forordning (EU) 2016/679 om beskyttelse af personoplysninger for at mindske administrative overlapninger i forbindelse med gennemførelsen af specifikke foranstaltninger;

14.

påpeger, at efterhånden som der indføres specifikke regler, opstår der overlappende krav, som er vanskelige at følge og reagere hensigtsmæssigt på. Man bør være opmærksom på at sammenkæde krav og undgå overlapninger helt fra begyndelsen af udarbejdelsen af ny lovgivning.

Direktivet om kritiske enheders modstandsdygtighed

15.

Det Europæiske Regionsudvalg gør opmærksom på, at direktivet om kritiske enheders modstandsdygtighed (CER-direktivet) trådte i kraft den 18. oktober 2024. I direktivet anerkendes sundhed som en vital tjeneste for samfundet og økonomien, og kritisk infrastrukturs og kritiske enheders modstandsdygtighed over for en række trusler, herunder cyberkriminalitet, styrkes;

16.

opfordrer de 24 medlemsstater, der modtog en åbningsskrivelse i slutningen af november 2024, til straks at omsætte CER-direktivet i deres nationale lovgivning;

17.

opfordrer endvidere Kommissionen til at indlede traktatbrudsprocedurer i de tilfælde, hvor der ikke er modtaget et tilfredsstillende svar inden for den fastsatte frist, og mener, at spørgsmålet har for stor betydning for sikkerheden på europæisk, nationalt, regionalt og lokalt plan til at blive taget let på;

18.

minder medlemsstaterne om, at de senest den 17. juli 2026 skal identificere deres kritiske enheder for hver sektor (herunder sundhedssektoren), der er fastsat i CER-direktivet. Udvalget opfordrer medlemsstaterne til at fremskynde udpegelsen af de kritiske sundhedsenheder og yde dem konkret støtte med henblik på at opbygge deres kapacitet;

19.

er bekymret over, at langt størstedelen af hospitalerne i EU aldrig har foretaget nogen sikkerhedsrisikovurdering, som rapporteret af Kommissionens GD Connect;

20.

er ligeledes bekymret over, at kun en fjerdedel af de organisationer, der var blevet adspurgt i forbindelse med udarbejdelsen af ENISA-rapporten fra 2023, havde et særligt firewallprogram mod ransomware;

21.

anerkender, at der i de seneste 5-6 år er blevet udstukket en ramme for cyberregulering med ajourføringen af direktivet om net- og informationssikkerhed (NIS 2), forordningen om cyberrobusthed (CRA), forordningen om digital operationel modstandsdygtighed (DORA), direktivet om kritiske enheders modstandsdygtighed og retsakten om kunstig intelligens. Udvalget glæder sig over, at Kommissionen har til hensigt at stille skarpt på hospitaler og sundhedstjenesteydere for at forbedre deres cyberrobusthed og minder om betydningen af at sikre sammenhæng og konsekvens mellem de forskellige instrumenter og samtidig mindske overlapninger;

22.

foreslår, at medlemsstaterne indfører regelmæssige, statsligt koordinerede cyberhændelsesøvelser, der involverer både nationale og regionale aktører i sundhedsvæsenet.

NIS 2-direktivet

23.

Det Europæiske Regionsudvalg påpeger, at NIS 2-direktivet fra oktober 2024 officielt er trådt i kraft. Ifølge direktivet skal hospitaler, sundhedstjenesteydere, producenter af medicinsk udstyr og medicinalvirksomheder vedtage robuste cybersikkerhedsforanstaltninger;

24.

udtrykker bekymring over, at kun seks medlemsstater helt eller delvist har omsat direktivet i national lovgivning inden for fristen;

25.

anerkender, at omsættelsen af direktivet skaber betydelige udfordringer, navnlig for sundhedssektoren, som følge af overlapninger med eksisterende forordninger som f.eks. forordningen om medicinsk udstyr, det europæiske sundhedsdataområde og forordningen om cyberrobusthed.

De lokale og regionale myndigheders rolle

26.

Det Europæiske Regionsudvalg opfordrer Kommissionen til at være opmærksom på, at forvaltningen af sundhedssystemerne — og navnlig hospitalerne — i større eller mindre grad er decentraliseret i 19 ud af de 27 medlemsstater. Udvalget beklager, at det regionale — og lokale — niveau ikke er medtaget i meddelelsen, hvilket det finder foruroligende, da virkeligheden med hensyn til ejerskab og forvaltning af sundhedstjenesteydere i to tredjedele af EU’s medlemsstater dermed ignoreres;

27.

opfordrer medlemsstaterne til fuldt ud at inddrage deres regioner i udformningen og gennemførelsen af alle cybersikkerhedsstrategier og gør opmærksom på, at de regionale myndigheder ofte fører an i digitale sundhedsinitiativer, og at deres ekspertise inden for udrulning af e-sundhedsløsninger kan blive afgørende for en vellykket indførelse af nye cybersikkerhedsprotokoller og -foranstaltninger;

28.

understreger, at ud over spørgsmålet om decentraliseret forvaltning er sundhedssystemerne i Europa meget forskellige og omfatter forskellige organisationer lige fra fuldt ud offentlige til rent private organisationer, herunder hybride offentlig-private partnerskaber. Udvalget advarer i den forbindelse om, at offentlige enheder ofte er underlagt budgetmæssige begrænsninger og lovbestemte lønlofter, hvilket gør dem mindre attraktive som arbejdsgivere for specialister inden for cybersikkerhed;

29.

opfordrer medlemsstaterne til at oprette netværk af regionale støttecentre for cybersikkerhed for hospitaler og sundhedstjenesteydere for bedre at sammenkæde de lokale, nationale og europæiske forhold med særligt fokus på finansiering og tiltrækning af de talenter, der er nødvendige for udviklingen af disse centre;

30.

anbefaler, at de regionale og lokale myndigheder inddrages i udformningen af nationale handlingsplaner med fokus på cybersikkerhed i sundhedssektoren.

Omkostninger og finansiering

31.

Det Europæiske Regionsudvalg mener, at udgifter til cybersikkerhed systematisk skal øremærkes og standardiseres som en del af budgetplanlægningen. Hospitaler og sundhedstjenesteydere har ikke brug for tilfældige særskilte foranstaltninger. I stedet skal der regelmæssigt vurderes, finansieres og indføres foranstaltninger til beskyttelse af livsvigtige operationelle teknologisystemer inden for sundhedsplejen;

32.

henleder opmærksomheden på, at det er en udfordring for mindre regioner at forvalte og finansiere informations- og sikkerhedssystemer på sundhedsområdet;

33.

er forfærdet over, at de gennemsnitlige omkostninger ved datalækager forårsaget af ransomware-angreb beløber sig til 8 mio. EUR, hvilket er næsten det dobbelte af omkostningerne i andre sektorer;

34.

efterlyser større klarhed omkring finansieringen af de ambitiøse mål, der er fastsat i handlingsplanen, og især detaljerede oplysninger om, hvordan de lokale og regionale myndigheder kan finansiere den relevante digitale omstilling af sundhedsplejen;

35.

forventer, at Kommissionen præciserer, hvilke foranstaltninger der skal finansieres af medlemsstaterne, og hvilke foranstaltninger der skal finansieres af EU. Med hensyn til sidstnævnte ønsker RU at blive informeret om, hvordan EU4Health-programmet og programmet for et digitalt Europa vil interagere i praksis;

36.

advarer om, at finansiering ud over investeringer i teknologi skal anvendes til investeringer i udviklingen af en organisationskultur, der bygger på sikkerhed på alle niveauer;

37.

beklager de store nedskæringer i EU4Health-budgettet i 2024 og opfordrer medlemsstaterne til at beskytte det mod fremtidige nedskæringer. Udvalget gentager, at sundhed ikke skal betragtes som en udgift, men en investering i individuel og kollektiv trivsel og modstandsdygtighed.

Cyberrobusthed i forsyningskæderne for sundhedsplejen

38.

Det Europæiske Regionsudvalg fremhæver, at mange hospitaler og sundhedstjenesteydere er afhængige af forældet medicinsk udstyr og software, som ikke kan modstå avancerede cyberangreb. Udvalget erkender, at de eksisterende løsninger mange steder er uundværlige for sundhedsplejen, men at de risikerer at blive en betydelig akilleshæl, når de ikke længere understøttes eller opdateres;

39.

efterlyser vedvarende og målrettet finansiering, både fra nationale kilder og EU-kilder, til hospitaler med henblik på at fjerne eksisterende teknologier, der ikke understøttes, og gå over til mere sikre og skalerbare cloudbaserede løsninger;

40.

anbefaler, at udbudsprocedurerne bringes i overensstemmelse med sikkerhedsstandarderne, og opfordrer til, at der udstikkes specifikke retningslinjer for, hvordan overholdelse af benchmarks for cybersikkerhed kan gøres til en forudsætning for deltagelsen i udbud.

Arbejdsstyrken inden for cybersikkerhed

41.

Det Europæiske Regionsudvalg minder om hovedbudskaberne i sin udtalelse om manglen på sundhedspersonale og fremhæver, at sundhedssystemerne står over for en hidtil uset akut og langvarig mangel på nøglepersonale. Udvalget er bekymret over, at håndteringen af behovet for menneskelige ressourcer vil blive endnu mere kompleks med det voksende behov for at ansætte IT-specialister og cybersikkerhedseksperter ud over traditionelt sundhedspersonale;

42.

opfordrer de offentlige myndigheder, den akademiske verden, erhvervsuddannelsesinstitutioner og NGO’er til at iværksætte offentlige kampagner for at nedbryde stereotyper om karrierer inden for cybersikkerhed, tiltrække flere kvinder til erhvervet og fremhæve alsidigheden af en cybersikkerhedskarriere inden for sundhedspleje;

43.

efterlyser en EU-dækkende ramme for certificering af uddannelse, der forbedrer overførbarheden og anerkendelsen af cybersikkerhed inden for sundhedsfærdigheder;

44.

anerkender, at menneskelige fejl er en væsentlig faktor i forbindelse med brud på datasikkerheden, idet enkeltpersoner på utilsigtet vis bliver ofre for phishing, fejlkonfigurerer sikkerhedsindstillinger eller ikke overholder etablerede protokoller. Udvalget opfordrer til, at uddannelse i og bevidstgørelse om risici prioriteres i hele sundhedssektoren, og mener, at cybersikkerhed bestemt ikke kan begrænses til noget, som IT-afdelingen tager sig af, men derimod er et fælles ansvar;

45.

anbefaler, at der indføres obligatorisk uddannelse med henblik på at øge bevidstheden om cybersikkerhed, som skal ledsages af resultatorienterede incitamenter, for al personale i sundhedssektoren.

Specifikke elementer i handlingsplanen

46.

Det Europæiske Regionsudvalg glæder sig over idéen om cybersikkerhedsvouchere og opfordrer medlemsstaterne til at indføre denne foranstaltning for at yde økonomisk bistand til mikrovirksomheder og små og mellemstore hospitaler og sundhedstjenesteydere;

47.

fremhæver, at medlemsstaterne ifølge handlingsplanen skal pålægge enheder, der er omfattet af NIS 2-direktivet, herunder sundhedsorganisationer, at indberette betaling af løsepenge, når de rapporterer om væsentlige hændelser til den kompetente myndighed i henhold til NIS 2-direktivet. Udvalget er enig i, at en sådan rapportering vil forbedre dataindsamlingen og vurderingen af effektiviteten af de foranstaltninger, der træffes mod ransomware-angreb. Det efterlyser imidlertid en præcisering af, hvordan denne indberetning skal gennemføres, da den ikke er obligatorisk i henhold til NIS 2-direktivet;

48.

bemærker, at producenter af medicinsk udstyr og udstyr til in vitro-diagnostik i handlingsplanen opfordres til frivilligt at indberette aktivt udnyttede sårbarheder eller alvorlige cyberhændelser, der påvirker deres produkters sikkerhed. Udvalget fremhæver, at disse producenter falder uden for anvendelsesområdet for forordningen om cyberrobusthed, og anbefaler, at der i forbindelse med den løbende evaluering af forordningerne satses mere på at forbedre sammenhængen mellem de lovgivningsmæssige rammer;

49.

støtter idéen om at oprette et europæisk netværk af informationssikkerhedsansvarlige (CISO) på sundhedsområdet, således at eksperter kan udveksle bedste praksis, herunder strategier for fastholdelse af talenter og løsninger med henblik på at tiltrække fagfolk inden for cybersikkerhed til sundhedssektoren. Udvalget opfordrer Kommissionen og medlemsstaterne til at sikre, at eksperter, der er udpeget af de regionale myndigheder, også kan tilslutte sig netværket;

50.

glæder sig over oprettelsen af Det Europæiske Støttecenter for Cybersikkerhed for Hospitaler og Sundhedstjenesteydere inden for ENISA. Udvalget gør opmærksom på det betydelige antal opgaver, som det nye støttecenter skal udføre, og opfordrer Kommissionen til at komme med yderligere oplysninger om centrets sammensætning og finansiering;

51.

opfordrer Kommissionen til at inddrage de regionale og lokale myndigheder i udviklingen af et brugervenligt og lettilgængeligt register over alle tilgængelige beredskabs-, forebyggelses-, opdagelses- og reaktionsinstrumenter. Registeret, der oprettes af støttecentret, bør omfatte værktøjer og strategier fra alle forvaltningsniveauer.

Tillid og privatlivets fred

52.

Det Europæiske Regionsudvalg mener, at sikkerhed og privatlivets fred er indbyrdes forbundne størrelser: Sikkerhedsforanstaltninger beskytter datafortrolighed, -integritet og -tilgængelighed, som er grundlæggende for privatlivets fred. Samtidig kræver bestemmelserne om databeskyttelse ofte specifikke sikkerhedskontroller for at beskytte personoplysninger. Beskyttelse af privatlivets fred skaber patienttillid og bevidsthed om cybersikkerhed og sikrer, at følsomme sundhedsoplysninger håndteres med omhu;

53.

henviser til ENISA’s rapport fra 2024 om cybersikkerhedssituationen i EU og konklusionerne heri om, at der er plads til forbedring af sundhedssektorens cybersikkerhedsmodenhed i EU, idet der er store niveauforskelle i sundhedsenhedernes cybersikkerhedsmodenhed rundt om i Europa. Udvalget understreger, at patientoplysninger skal beskyttes for at sikre patienters fortsatte tillid til det europæiske sundhedsdataområde;

54.

mener, at gennemførelsen af det europæiske sundhedsdataområde vil kræve større fokus på sikring af national og grænseoverskridende sammenkoblingsinfrastruktur såsom nationale kontaktpunkter for e-sundhed. Denne infrastruktur er ved at blive kritisk for databeskyttelsen i stor skala, og udvalget mener, at der derfor bør træffes særlige foranstaltninger med henblik herpå.

---

(1)   Hjemmeside — Cymedsec.