Rapporteure : Daniela CÎMPEAN (PPE/RO), présidente du conseil du judet de Sibiu

RECOMMANDATIONS POLITIQUES

LE COMITÉ EUROPÉEN DES RÉGIONS (CdR)

1.

relève que les mesures de cybersécurité n’ont pas suivi le rythme de la transformation numérique en cours dans les institutions et les prestations de soins de santé, de sorte que ce secteur des soins est devenu une cible privilégiée pour des acteurs malveillants;

2.

se félicite, dans ce contexte, de la publication du plan d’action, dont il reconnaît qu’il intervient en temps opportun et revêt une haute importance, étant donné que les cyberattaques contre les hôpitaux et les prestataires de soins de santé européens se font de plus en plus fréquentes;

3.

tient à signaler que les menaces touchant à la cybersécurité présentent des ramifications géopolitiques, et est fermement convaincu que dans le domaine des soins de santé, cette même cybersécurité ne se réduit pas à une question technique mais constitue également un enjeu de sécurité locale, régionale, nationale et européenne;

4.

avertit que l’essor de la cybercriminalité que l’on observe depuis le déclenchement de la pandémie de COVID-19 ne montre pas de signes de ralentissement; en plus de s’attacher à effectuer du cyberespionnage et à commettre des vols de propriété intellectuelle, les cyberattaques menées depuis l’étranger et soutenues par des États ont aussi pour objectif de déstabiliser des sociétés entières;

5.

préconise de rendre obligatoire le recours à l’approche de «cybersécurité dès la conception», en mettant en œuvre des mesures volontaristes de cybersécurité au stade premier du développement des nouvelles technologies destinées à être utilisées dans le domaine de la santé; à cet égard, demande instamment que les prestataires de soins de santé publics n’achètent que des produits arrivés à maturité en ce qui concerne les solutions de cybersécurité, dont des systèmes de secours et d’urgence qui garantissent la sécurité des patients même en cas de perturbations du réseau;

6.

fait observer que dans les cas où il n’est pas possible de prévenir des attaques, le secteur de la santé peut bénéficier d’un service spécifique d’intervention rapide grâce à la réserve de cybersécurité instituée par le règlement sur la cybersolidarité; précise toutefois que c’est à l’échelon local et régional qu’incombe la responsabilité première en la matière;

7.

soutient le travail que l’Organisation mondiale de la santé (OMS/Europe) effectue sur la santé numérique et s’engage à œuvrer avec elle sur cette question, en concrétisant le plan d’action 2025-2026 qu’ils ont souscrit conjointement;

8.

salue le guide que l’OMS Europe a publié en 2025 sur l’évaluation des risques relatifs à la cybersécurité et à la protection de la vie privée dans le domaine de la santé numérique, lequel fournit aux États et aux organisations un cadre les aidant à développer, pour évaluer ces dangers, des stratégies qui s’accordent avec leurs propres besoins, objectifs et impératifs réglementaires;

9.

met en évidence la montée en puissance des impacts de l’intelligence artificielle (IA), en ce qu’elle joue un rôle tant de facteur de menaces, par hameçonnages sophistiqués ou hypertrucages, que d’arme potentielle de défense, susceptible de détecter des anomalies ou de déclencher une réaction automatisée, et propose que le plan d’action aborde l’une et l’autre des deux faces qu’elle présente;

Concernant le cadre réglementaire

10.

fait observer que le plan d’action s’appuie sur le cadre législatif existant dans le domaine de la cybersécurité, en particulier la directive SRI 2 et les règlements sur la cybersolidarité, sur la cybersécurité, sur les dispositifs médicaux et sur la cyberrésilience; prend également acte du lien qui existe entre le plan susdit et le projet de recommandation du Conseil relative au schéma directeur de l’UE sur la gestion des crises de cybersécurité;

11.

tient à signaler que la situation actuelle, en évolution constante, a pour effet que les mécanismes de certification au titre des règlements sur la cybersolidarité, sur les dispositifs médicaux et sur l’intelligence artificielle créent des complications et des doublons, qui peuvent aboutir à des phénomènes de morcellement et de «picorage réglementaire», en particulier dans les cas des systèmes où la participation est facultative;

12.

soutient les objectifs du projet Cymedsec (1), financé par l’Union européenne, qui vise à améliorer la cybersécurité dans les systèmes de soins de santé en soumettant à une évaluation complète la conception des équipements et infrastructures de réseau, la cybersécurité et les cadres réglementaires;

13.

propose d’examiner si une harmonisation entre les exigences prévues par la législation visant spécifiquement à mettre en œuvre la directive SRI 2 et celles concernant l’application du règlement (UE) 2016/679 sur la protection des données à caractère personnel pourrait contribuer à réduire les redondances dans l’exécution administrative de mesures spécifiques;

14.

souligne qu’une instauration de réglementations particulières qui est étalée au fil du temps débouche sur des empilements de dispositions dont le suivi et la mise en œuvre s’avèrent ardus, de sorte qu’il s’impose, dès le moment où l’on entreprend d’élaborer un nouveau texte réglementaire, de le relier à ceux qui le précèdent et de faire la chasse aux doublons;

Concernant la directive sur la résilience des entités critiques

15.

relève qu’à la date du 18 octobre 2024 est entrée en vigueur la directive sur la résilience des entités critiques, qui reconnaît que la santé constitue un service vital pour la société et l’économie et qui entend renforcer la résilience des infrastructures et entités critiques face à une série de menaces, dont la cybercriminalité;

16.

exhorte les 24 États membres ayant reçu, fin novembre 2024, une mise en demeure officielle en ce sens, à transposer immédiatement dans leur droit national ladite directive sur la résilience des entités critiques;

17.

appelle la Commission européenne à engager, en l’absence de réponse satisfaisante dans le délai imparti, des procédures d’infraction; considère qu’au vu de son importance pour la sécurité européenne, nationale, régionale et locale, ce sujet ne peut être pris à la légère;

18.

rappelle aux États membres qu’ils sont tenus, pour le 17 juillet 2026 au plus tard, d’effectuer le recensement de leurs entités critiques dans chacun des secteurs, santé comprise, qui sont mentionnés dans la directive sur la résilience de ces entités, et les invite à accélérer cette désignation des entités de soins de santé critiques et à leur apporter un soutien concret pour qu’elles renforcent leurs capacités;

19.

constate avec inquiétude que comme l’a signalé la direction générale des réseaux de communication, du contenu et des technologies (DG CONNECT) de la Commission européenne, les hôpitaux de l’Union européenne n’ont jamais, dans leur très grande majorité, procédé à une évaluation de leurs risques de sécurité;

20.

exprime également sa préoccupation de relever qu’un quart seulement des organisations interrogées lors de l’élaboration du rapport 2023 de l’Agence de l’Union européenne pour la cybersécurité (ENISA) disposaient d’un programme spécifique de défense contre les rançongiciels;

21.

reconnaît que sur l’espace des cinq ou six dernières années, des normes de cyberrégulation ont été fixées, grâce à la version mise à jour de la directive sur la sécurité des réseaux et des systèmes d’information (SRI 2), au règlement sur la cyberrésilience (CRA), au règlement sur la résilience opérationnelle numérique du secteur financier (DORA), à la directive sur la résilience des entités critiques (directive CER) et au règlement sur l’intelligence artificielle; se félicite de l’intention de la Commission de concentrer l’attention sur les hôpitaux et les prestataires de soins de santé afin d’améliorer leur cyberrésilience, et rappelle qu’il importe de s’assurer que les différents instruments législatifs soient compatibles et cohérents, et de réduire les chevauchements entre leurs dispositions;

22.

suggère que les États membres mettent en place des exercices réguliers de réaction aux cyberincidents, qui soient coordonnés au niveau gouvernemental et auxquels participent les acteurs des soins de santé de l’échelon tant national que régional;

Concernant la directive sur la sécurité des réseaux et des systèmes d’information (SRI 2)

23.

relève que la directive SRI 2, qui a officiellement pris cours en octobre 2024, exige que les hôpitaux, les prestataires de soins de santé, les fabricants de dispositifs médicaux et les entreprises pharmaceutiques adoptent des mesures de cybersécurité vigoureuses;

24.

s’inquiète de constater que seuls six États membres ont, dans le délai fixé, procédé à la transposition, complète ou partielle, de ladite directive dans leur droit national;

25.

reconnaît que pour le secteur des soins de santé en particulier, la mise en œuvre du texte pose d’importantes difficultés, du fait des recoupements qu’il présente avec des réglementations existantes, comme le règlement relatif aux dispositifs médicaux, l’espace européen des données de santé (EHDS) ou le règlement sur la cyberrésilience;

Concernant le rôle des collectivités locales et régionales

26.

appelle la Commission à prendre en considération que dans dix-neuf des 27 États membres, la gestion des systèmes de santé, et en particulier celle des hôpitaux, est décentralisée dans une plus ou moins large mesure; déplore que le niveau régional, ainsi que local, soit absent de la communication; juge que cette omission ne laisse pas de surprendre, en ce qu’elle fait l’impasse sur les conditions qui prévalent concrètement dans deux tiers desdits États membres pour ce qui est de la propriété des structures sanitaires et de leur administration;

27.

invite les États membres à associer pleinement leurs régions à la conception et à la mise en œuvre de toute stratégie de cybersécurité; relève que les pouvoirs régionaux sont souvent plus avancés en matière d’initiatives de santé numérique, et que l’expertise dont ils disposent dans le déploiement de mécanismes de santé en ligne peut s’avérer capitale pour parvenir à définir des mesures et protocoles nouveaux dans ce même domaine de la cybersécurité;

28.

souligne qu’au-delà de la problématique de leur gestion décentralisée, les système de soins de santé qui existent sur l’ensemble du territoire européen sont très différents et font intervenir toute une série d’organismes, allant d’acteurs totalement publics à d’autres ressortissant intégralement au secteur privé, en passant par des partenariats hybrides public-privé; à cet égard, tient à signaler que les structures relevant du public sont souvent soumises à des restrictions budgétaires et à des plafonnements légaux des rémunérations, qui en font des employeurs moins attrayants aux yeux des spécialistes du cyberespace;

29.

presse les États membres de créer, à l’intention des hôpitaux et prestataires de soins, des réseaux de centres régionaux de soutien à la cybersécurité, afin d’assurer de meilleures connexions entre les réalités locales, nationales et européennes, en accordant une attention particulière à la question du financement et à l’enjeu d’attirer les talents nécessaires au développement de ces centres;

30.

recommande d’associer les collectivités régionales et locales à l’élaboration des plans d’action nationaux axés sur la cybersécurité dans le secteur de la santé;

Concernant les coûts et le financement

31.

fait valoir que les dépenses en matière de cybersécurité devront faire l’objet d’une allocation spécifique et constituer un volet ordinaire de la planification budgétaire. On ne peut admettre que les hôpitaux et les prestataires de soins de santé acquièrent de manière décousue des dispositifs de protection qui font figure de «gadgets» et ne sont pas connectés les uns avec les autres. Il convient au contraire que la protection des systèmes technologiques opérationnels qui revêtent une importance critique bénéficie d’un suivi régulier, sur le plan de l’évaluation, du financement et de la mise en œuvre;

32.

attire l’attention sur le défi que représentent, pour les régions de petite taille, la gestion et le financement des systèmes d’information et de sécurité sanitaires;

33.

s’alarme de constater que dans le secteur de la santé, le coût moyen des fuites de données dues à des attaques par rançongiciel atteint 8 millions d’EUR, soit près du double de celui relevé dans d’autres domaines;

34.

réclame davantage de clarté sur le financement qui doit appuyer les objectifs ambitieux que définit le plan d’action; demande en particulier des informations détaillées sur la manière dont les pouvoirs locaux et régionaux sont susceptibles de financer la transformation numérique requise à ce propos dans le domaine des soins de santé;

35.

attend de la Commission qu’elle apporte des clarifications s’agissant de déterminer les actions qui doivent être financées respectivement par les États membres et par l’Union européenne; en ce qui concerne la seconde, souhaite obtenir des informations quant à la manière dont les programmes «L’UE pour la santé» et «Europe numérique» s’articuleront concrètement;

36.

tient à préciser que le financement octroyé doit viser à investir non seulement dans la technologie mais également dans la formation à une culture organisationnelle qui soit axée sur la sécurité, à tous les niveaux;

37.

déplore les fortes coupes qui ont été opérées en 2024 dans le budget du programme «L’UE pour la santé» et presse les États membres de lui éviter toute baisse ultérieure de ses ressources; réitère qu’il considère que la santé ne constitue pas une dépense mais un investissement dans le bien-être et la résilience de chaque personne comme de la collectivité dans son ensemble;

Concernant la cyberrésilience dans les chaînes d’approvisionnement en soins de santé

38.

souligne que bon nombre d’hôpitaux et prestataires de soins de santé utilisent des équipements médicaux et logiciels dépassés, qui ne sont pas capables de résister aux cyberattaques modernes; reconnaît que s’ils sont indispensables pour assurer le fonctionnement des soins de santé dans de nombreux endroits, les dispositifs hérités d’autrefois risquent de devenir un lourd facteur de vulnérabilité dès lors qu’ils ne sont plus suivis ou entretenus;

39.

appelle à dispenser aux hôpitaux un financement soutenu et spécifique, émanant des États membres comme de l’Union, afin qu’ils puissent se défaire des technologies léguées par le passé qui ne bénéficient plus d’un soutien et qu’ils puissent passer à des solutions plus sûres et évolutives, fondées sur l’informatique en nuage;

40.

préconise que les procédures de passation de marchés soient alignées sur les normes de sécurité et réclame l’établissement de lignes directrices spécifiques qui explicitent la manière dont il est possible de faire que le respect des critères de cybersécurité devienne une condition préalable à toute participation aux appels d’offres;

Concernant la main-d’œuvre dans le domaine de la cybersécurité

41.

réitère les messages clés qu’il a formulés dans son avis sur les pénuries de personnel de santé et souligne que les systèmes de soins sont confrontés à des manques d’effectifs sans précédent, aigus et de long terme dans des métiers essentiels; constate avec inquiétude qu’il deviendra encore plus ardu d’arbitrer de manière équilibrée les besoins en ressources humaines à mesure que s’accentuera la nécessité de recruter, aux côtés du personnel médical de base, des spécialistes des technologies de l’information et des experts en cybersécurité;

42.

appelle les pouvoirs publics, les universités, les institutions d’enseignement et de formation professionnels et les organisations non gouvernementales à lancer en direction du grand public des campagnes démontant les stéréotypes dont souffrent les carrières du secteur de la cybersécurité, à attirer davantage de femmes vers ces professions et à mettre en évidence la richesse des potentialités qu’offrent les parcours relevant de cette même cybersécurité dans le domaine des soins de santé;

43.

réclame l’établissement d’un cadre de certification des formations qui, valable à l’échelle de l’Union, favorise la portabilité et la reconnaissance des compétences en matière de cybersécurité appliquée au domaine de la santé;

44.

reconnaît que les erreurs d’origine humaine représentent une cause significative des violations de données, lorsque par inadvertance, d’aucuns tombent dans les pièges d’escroquerie par hameçonnage, configurent mal leurs réglages de sécurité ou négligent de respecter les protocoles qui ont été établis; demande que dans tous le secteur de la santé, la priorité soit donnée à la formation et à la sensibilisation aux risques; a la conviction que, loin d’être confinée au seul champ d’action du service informatique, la cybersécurité doit constituer une responsabilité partagée;

45.

recommande de prévoir, à l’intention de l’ensemble des personnels œuvrant dans le système de santé, une formation à caractère obligatoire qui visera à les sensibiliser aux enjeux de la cybersécurité et se doublera, en fonction des résultats obtenus, de mesures incitatives dans le domaine professionnel;

Concernant des éléments spécifiques du plan d’action

46.

accueille favorablement l’idée de créer des chèques-cybersécurité et incite les États membres à instaurer pareille mesure, afin de fournir une assistance financière aux hôpitaux et structures prestataires de soins de santé de très petite taille, de petite taille et de taille moyenne;

47.

souligne qu’il est prévu dans le plan que les États membres exigent que les entités soumises à la directive SRI 2, y compris les organismes de santé, soient tenues, lorsqu’elles signalent des incidents importants à l’autorité compétente en vertu de ladite directive, de déclarer les paiements de rançon qu’elles ont effectués; convient qu’une telle déclaration serait de nature à améliorer la collecte de données et l’évaluation de l’efficacité des mesures prises contre les attaques par rançongiciel; demande toutefois de plus amples détails quant à la manière dont ladite déclaration sera mise en œuvre, étant donné qu’elle ne revêt pas un caractère obligatoire aux termes de la directive susmentionnée;

48.

relève que le plan d’action invite les fabricants de dispositifs médicaux et dispositifs de diagnostic in vitro à signaler volontairement les vulnérabilités activement exploitées de leurs produits ou les cyberincidents graves ayant une incidence quant à leur sécurité; signale que ces intervenants ne sont pas repris dans le champ d’application du règlement sur la cyberrésilience, et recommande que l’évaluation en cours des règlements aborde la question d’un renforcement de la cohérence entre les cadres réglementaires;

49.

soutient l’idée de créer un réseau européen des directeurs de la sécurité de l’information dans le domaine de la santé, afin que les experts puissent partager leurs bonnes pratiques, y compris pour ce qui est des stratégies destinées à retenir les talents dans leurs services et des démarches visant à y attirer des spécialistes de la cybersécurité; invite la Commission et les États membres à veiller à ce que ledit réseau soit favorablement disposé à accueillir également dans ses rangs des experts désignés par les gouvernements régionaux;

50.

se félicite de la création, au sein de l’ENISA, d’un Centre européen d’appui en matière de cybersécurité pour les hôpitaux et les prestataires de soins de santé; constate que les missions que ce nouveau centre de soutien est censé assumer sont en nombre élevé, et appelle la Commission à fournir de plus amples informations sur la manière dont il sera constitué et financé;

51.

presse la Commission d’associer les pouvoirs régionaux et locaux à l’élaboration d’un répertoire, convivial et d’un accès aisé, qui, recensant tous les instruments disponibles en matière de préparation, de prévention, de détection et de réaction, devrait être constitué par le centre de soutien et reprendre les outils et politiques de l’ensemble des paliers de gouvernance;

Concernant la confiance et la vie privée

52.

fait valoir que sécurité et respect de la vie privée sont imbriqués, dès lors que les mesures d’ordre sécuritaire protègent la confidentialité, l’intégrité et la disponibilité des données, qui constituent des facteurs essentiels pour assurer que ladite vie privée soit dûment respectée. Par ailleurs, la réglementation qui la concerne prescrit souvent des contrôles de sécurité aux fins de protéger les données personnelles. La protection de la vie privée a pour effet de renforcer la confiance du patient et de mieux sensibiliser à l’enjeu de la cybersécurité, contribuant ainsi à garantir que les informations sensibles en rapport avec la santé soient gérées avec précaution;

53.

attire l’attention sur le rapport 2024 de l’ENISA relatif à l’état de la cybersécurité dans l’Union et ses conclusions, affirmant que le niveau de cybersécurité atteint par le secteur de la santé dans l’UE est «moyen» et qu’il présente sur tout son territoire de fortes disparités d’une structure de soins à l’autre; souligne qu’il est nécessaire de protéger les données des patients, afin de garantir la persistance de la confiance qu’ils montrent à l’égard de l’espace européen des données de santé;

54.

estime que dans la mise en œuvre de l’espace européen des données de santé, il est nécessaire de prêter une attention accrue à la sécurisation des infrastructures nationales et transfrontières d’interconnexion, qui, à l’exemple des points de contact nationaux pour la santé en ligne, deviennent des éléments critiques en ce qui concerne la protection des données à grande échelle; considère qu’il y a lieu d’élaborer des mesures spécifiques concernant ces mêmes infrastructures.

---

(1)   Page d’accueil — Cymedsec.