CCMI/244
Akcijski plan za kibernetičku sigurnost bolnica
MIŠLJENJE
Savjetodavno povjerenstvo za industrijske promjene
Komunikacija Komisije Europskom parlamentu, Vijeću, Europskom gospodarskom i socijalnom odboru i Odboru regija – Europski akcijski plan za kibernetičku sigurnost bolnica i pružatelja zdravstvene zaštite
(COM(2025) 10 final)
Izvjestitelj: Alain COHEUR
Suizvjestitelj: Hervé JEANNIN
|
Savjetnici/ice:
|
LORIDAN Joyce (savjetnica izvjestitelja, Skupina III.)
|
|
|
CHEAH Hun Xhing Madeline (savjetnica suizvjestitelja, Interesna skupina 2.)
|
|
Zahtjev za savjetovanje:
|
Europska komisija, 5/3/2025
|
|
Pravna osnova:
|
članak 304. Ugovora o funkcioniranju Europske unije
|
|
Nadležna stručna skupina:
|
Savjetodavno povjerenstvo za industrijske promjene
|
|
Datum usvajanja u Stručnoj skupini:
|
4/6/2025
|
|
Rezultat glasanja (za/protiv/suzdržani):
|
25/0/0
|
|
Datum usvajanja na plenarnom zasjedanju:
|
D/M/2025
|
|
Plenarno zasjedanje br.:
|
…
|
|
Rezultat glasanja (za/protiv/suzdržani):
|
…/…/…
|
1.Zaključci i preporuke
1.1EGSO pozdravlja razinu ambicije izraženu u europskom akcijskom planu za kibernetičku sigurnost bolnica i pružatelja zdravstvene zaštite i pozornost koja se pridaje toj temi. Taj je sektor glavna meta za aktere prijetnji. Zdravlje je osobno pitanje, a zdravstvena skrb je organizirana na lokalnoj razini u državama članicama i njihovim regijama. Međutim, kibernetička sigurnost prioritet je Europske komisije da se zaštiti zdravlje građana, europski prostor za zdravstvene podatke i golemi zdravstveni sektor u državama članicama koji obuhvaća različite zdravstvene subjekte kao što su bolnice, hitne službe te farmaceutski i biotehnološki sektor, koji su s vanjskim svijetom sve više povezani putem telemedicine, portala za pacijente, platformi i nosivih uređaja. Poboljšanjem kibernetičke sigurnosti u zdravstvenom sektoru poboljšava se opća sigurnost i otpornost te doprinosi Uniji pripravnosti.
1.2Kako bi se poboljšale sigurnosne mjere u tom području, Odbor iznosi niz prijedloga koji pripadaju različitim kategorijama:
1.2.1Financijske mjere
1.2.1.1EGSO izražava žaljenje zbog toga što se pitanje financijske potpore za provedbu akcijskog plana ne rješava. To bi moglo dovesti do nejednakosti u razini zaštite koju pacijenti primaju, ovisno o resursima koji su dostupni zdravstvenim ustanovama. EGSO potiče Komisiju da osigura tematsku koncentraciju za financijsku potporu iz kohezijskih fondova.
1.2.1.2EGSO ističe razlike u ulaganjima u kibernetičku sigurnost diljem EU-a i napominje da samo Francuska namjerava uložiti više od 1 milijarde eura godišnje. Kako bi se spriječili kibernetički napadi, bolnice bi za kibernetičku sigurnost trebale izdvojiti oko 10 % svojih proračuna za informacijsku tehnologiju. Trebalo bi uzeti u obzir praćenje teritorijalne raspoređenosti ulaganja.
EGSO prima na znanje potporu ENISA-i u iznosu od 6 milijuna eura, ali naglašava da je to financiranje nedostatno s obzirom na važnost onoga što je u pitanju za sigurnost bolnica, građana i pacijenata koji u slučaju napada možda više ne bi imali pristup dijagnostici i liječenju. ENISA bi trebala biti pozvana da izvješće o prijetnjama u zdravstvenom sektoru Threat landscape: health sector dopuni financijskim pregledom trenutačnog stanja ulaganja u kibernetičku sigurnost u državama članicama.
Financijska potpora za europski akcijski plan trebala bi biti usmjerena na ulaganja u:
§prevenciju: osiguravanje uređaja i bolničke infrastrukture za 2,3 milijuna bolničkih kreveta u EU-u;
§obrazovanje: podizanje svijesti i osposobljavanje više od 10 milijuna zdravstvenih i socijalnih radnika;
§sanaciju i oporavak, koji bi mogli doseći trošak od više milijuna eura po incidentu.
ENISA-i bi se mogli odobriti zajmovi po ubrzanom postupku za informatičku zaštitu i alate za kibernetičku sigurnost. Ta bi sredstva trebala, pod posebnim uvjetima, biti namijenjena sektoru zdravstvene i socijalne skrbi.
1.2.1.3EGSO predlaže da se istraži mogu li se rashodi za kibernetičku sigurnost u zdravstvu uzeti u obzir za opću klauzulu o odstupanju iz Pakta o stabilnosti i rastu te bi li se mogli smatrati rashodima u području obrane radi zaštite zdravlja europskih građana i ključne zdravstvene infrastrukture. S obzirom na rizik od incidenata, ulaganja koja su zdravstvenim subjektima potrebna za osiguravanje kibernetičke sigurnosti u pružanju zdravstvene skrbi bit će veća nego u drugim sektorima.
1.2.1.4Budući da je teško procijeniti ukupne iznose troškova kibernetičkih napada na zdravstveni sektor u EU-u (u Francuskoj iznose do 20 milijuna eura po napadu), EGSO predlaže ulaganje u sustave praćenja i sljedivosti kako bi Europska komisija mogla bolje prilagoditi ulaganja, bez obzira na to je li riječ o žarišnim točkama kriminala, lokalnim područjima kojima je potrebna veća pomoć ili razumijevanju koje su sigurnosne tehnologije ili obrazovne kampanje najučinkovitije.
1.2.1.5EGSO ističe ulogu tijelâ za zaštitu podataka u državama članicama u osiguravanju toga da bolnice i drugi zdravstveni subjekti poduzmu odgovarajuće sigurnosne mjere. U slučaju nedostatka preventivnih kibersigurnosnih mjera države članice mogu imati ulogu izricanjem novčanih kazni.
1.2.2Tehničke mjere
1.2.2.1EGSO preporučuje sljedeće:
-podizanje svijesti o osnovnim praksama digitalne higijene (kao što su dobre politike nadzora nad pristupom sustavu, onemogućavanje USB priključaka, primjena antivirusnih programa za krajnje točke, izdvajanje nezaštićenih uređaja, stavljanje zaraženih uređaja u karantenu);
-ulaganje u digitalne blizance za bolnice, zdravstvene sustave i medicinske proizvode kako bi se olakšala zaštita i testiranje;
-pružanje tehničke pomoći malim medicinskim jedinicama (npr. osiguravanjem sigurnih poslužitelja ili sigurnosnih usluga od strane centraliziranog tijela kao što je ENISA) koje zbog svoje male veličine ne mogu ulagati u upravljanje rizicima za kibernetičku sigurnost;
-ulaganje u strateške tehničke kapacitete (npr. sigurnost operativnih tehnologija, vezu između sigurnosti i zaštite, forenzičku pripremu, umjetnu inteligenciju itd.).
1.2.3Postupak
1.2.3.1EGSO želi skrenuti pozornost na skup mjera predostrožnosti i preventivnih mjera kojima bi se trebala poboljšati razina zaštite u zdravstvenom sektoru i smanjiti rizik od kibernetičkih napada:
-provođenje odgovarajućih testova (testova otpornosti, penetracijskih testova itd.), ne samo na razini proizvoda i dobavljača, već i na razini sustava (kada su uređaji integrirani u zdravstvene sustave) i na operativnoj razini;
-izradu planova kontinuiteta poslovanja koje bi neovisni unutarnji i vanjski revizori redovito ažurirali i pregledavali. Ti bi planovi trebali uključivati i izradu sigurnosnih kopija ili sigurnosni način rada za bolnice i zdravstvene sustave kako bi mogli nastaviti s radom;
-praćenje najbolje prakse u nadzoru i sanaciji, uključujući osiguravanje odgovarajuće razine odgovora, među ostalim decentraliziranu (u svakoj bolnici, od strane pružatelja usluga ili u zdravstvenom sustavu, uključujući domove) i centraliziranu (npr. uključivanjem nacionalnih timova za odgovor na računalne sigurnosne incidente ili centara za razmjenu i analizu informacija); u okviru praksi javne nabave, nabavu dokumentacije potrebne za certificiranje ili potvrđivanje kibernetičke sigurnosti opreme (npr. da je u skladu s propisima o kibernetičkoj sigurnosti utvrđenima u Općoj uredbi o zaštiti podataka).
1.2.3.2EGSO smatra da bi Komisija u okviru akcijskog plana trebala razmotriti certifikaciju pružatelja usluga kibernetičke sigurnosti kako bi se doprinijelo stvaranju pouzdanog ekosustava, i istodobno ističe trenutačno financijsko opterećenje bolnica i zdravstvenih ustanova te upozorava na daljnje povećanje troškova.
1.2.3.3EGSO uviđa da je normizacija vrlo korisna, ali ističe i da neizbježno dovodi do nedostatka otpornosti ako se ne uvedu posebne zaštitne mjere i protumjere. Plan bi trebao biti integriran s drugim inicijativama za fizičku i kibernetičku otpornost, uključujući Akt o kibernetičkoj otpornosti.
1.2.4Obrazovne mjere
1.2.4.1Budući da je obrazovanje središnji stup akcijskog plana, EGSO preporučuje izradu planova kontinuiranog učenja i osposobljavanja u suradnji sa socijalnim partnerima i mehanizme za prijenos znanja između različitih subjekata i profesionalnih dionika kako bi se prevladali izazovi u području kibernetičke sigurnosti, etike, privatnosti i umjetne inteligencije.
1.2.4.2EGSO predlaže da se pri uvođenju novih informatičkih alata osigura dosljedan institucijski odgovor na kibernetičke napade, zaštita privatnosti i pravilno upravljanje podacima, kako je predviđeno zakonodavstvom država članica i mehanizmima kolektivnog pregovaranja sa socijalnim partnerima o kolektivnim ugovorima.
1.2.4.3EGSO procjenjuje da bi za suzbijanje prijetnji kibernetičkoj sigurnosti obrazovanje u području zdravstvene skrbi trebalo uključivati ciljano osposobljavanje u području kibernetičke sigurnosti.
Mikrokvalifikacije su fleksibilan i troškovno učinkovit način usavršavanja stručnjaka bez mijenjanja osnovnih obrazovnih programa. Njima se povećava otpornost zdravstvene skrbi i u središtu su Komisijine inicijative za uniju vještina.
1.2.4.4 EGSO smatra da rješavanje problema nedostatka radne snage u području kibernetičke sigurnosti i niske razine sigurnosti u zdravstvu mora biti ključno pitanje u reviziji plana za digitalno desetljeće EU-a. Strateška ulaganja u multidisciplinarne vještine – kibernetičku sigurnost, umjetnu inteligenciju, forenzičku spremnost i sigurnost medicinskih proizvoda – ključna su za uklanjanje složenih prijetnji i izgradnju dugoročne otpornosti.
1.2.4.5EGSO uviđa da digitalizacija zdravlja i dobrobiti te potencijalne prijetnje povredama kibernetičke sigurnosti mogu uzrokovati psihološke poteškoće za pojedine zdravstvene djelatnike i pacijente i zahtijeva uvođenje temeljne pismenosti i vještina u području kibernetičke sigurnosti za europske građane i zdravstvene djelatnike.
1.2.4.6EGSO preporučuje da Komisija u potpunosti ispuni svoju potpornu i koordinacijsku ulogu korištenjem sredstava EU-a za promicanje kampanja za podizanje razine osviještenosti o rizicima od prijetnji i sprečavanju prijetnji na radnom mjestu s pomoću preporuka o digitalnoj higijeni.
2.Opće napomene
2.1ENISA je 2020. prijavila da se broj ukupnih kibernetičkih napada u EU-u u odnosu na prethodnu godinu povećao za 47 %, a u Francuskoj se broj prijavljenih predmeta 2021. udvostručio. ENISA je prepoznala potrebe zdravstvenog sektora u pogledu kibernetičke sigurnosti i pozdravila akcijski plan Europske komisije iz siječnja 2025. (kojim se nastoji kontinuirano poboljšavati kibernetička otpornost od 2025.) kako bi se bolnice, klinike i pružatelje zdravstvenih usluga dovelo na visoku razinu zaštite od svakog napada na njihove IT ili OT sustave.
2.2Zaštita pojedinaca, poduzeća i institucija od kibernetičkih rizika ključni je prioritet Europske deklaracije o digitalnim pravima i načelima za digitalno desetljeće.
EGSO naglašava potrebu za sveobuhvatnom međusektorskom politikom EU-a u području kibernetičke sigurnosti kako bi se zaštitilo javno zdravlje i pravo na zdravstvenu skrb. EGSO potiče Komisiju da usvoji pristup kibernetičkoj sigurnosti utemeljen na pravima koji se oslanja na (digitalne i ustavne) vrijednosti EU-a i da kibernetičku sigurnost prizna kao pravo jednako drugim temeljnim pravima kao što su privatnost, zaštita podataka i fizička sigurnost. EGSO preporučuje da se kibernetička sigurnost ne ograniči na zaštitu infrastrukture, sustava i podataka.
2.3Robotski sustavi i digitalni strojevi imaju sve veću ulogu u operacijama, praćenju zdravlja pacijenata i medicinskim pretragama te bi, ako se ne zaštite, mogli uzrokovati stvarnu fizičku i psihičku štetu (na primjer, u slučaju zlonamjerne pogrešne kalibracije kirurških robota i uvođenja stražnjih vrata u dijagnostičke sustave umjetne inteligencije). EGSO poziva da se veći naglasak stavi na naslijeđene sustave i na konvergenciju IT-ja i OT-ja jer zbog nedostataka u standardnim procesima i manjka osviještenosti dolazi do složenih situacija. Za suočavanje s izazovima te konvergencije potreban je multidisciplinaran pristup (uključujući sigurnosni inženjering), stručno znanje i sposobnost prepoznavanja i testiranja novih prijetnji s pomoću novih alata i metodologija. U akcijskom planu trebalo bi razmotriti i kibernetičko-fizičke sustave i napore uložene u rješavanje tog pitanja.
2.4EGSO poziva Komisiju da definira na koje se pružatelje zdravstvene zaštite akcijski plan primjenjuje. U akcijskom planu navodi se da zdravstveni sektor uključuje velik broj subjekata i aktera, uključujući bolnice, klinike, domove za starije i nemoćne, centre za rehabilitaciju i razne pružatelje zdravstvene zaštite, zajedno s farmaceutskom, medicinskom i biotehnološkom industrijom, proizvođačima medicinskih proizvoda i zdravstvenim istraživačkim ustanovama. EGSO od Komisije traži da pojasni je li to njezino sveobuhvatno razumijevanje zdravstvenog sektora i ukazuje na zdravstvene ciljeve koje je utvrdila ENISA. Komisija mora uzeti u obzir neizravnu povezanost sa širim ekosustavom, uključujući komercijalnu dobrobit (npr. fitness trackere, fitness trenere itd.).
2.5Europska komisija snažno naglašava suradnju s tehnološkim poduzećima i privatnim profitnim organizacijama u pružanju usluga kibernetičke sigurnosti kako bi se osigurala zaštita bolnica i zdravstvenog sektora. Iako suradnja s profitnim sektorom može donijeti vrijedne koristi za jačanje kibernetičke sigurnosti, treba joj pristupati s oprezom. Zdravstvene ustanove moraju biti svjesne sukoba interesa do kojih može doći kada su komercijalna poduzeća uključena u upravljanje osjetljivim podacima o pacijentima. Mogao bi postojati rizik da bi komercijalni interesi tih poduzeća, kao što je maksimiranje dobiti, mogli imati prednost pred zaštitom privatnosti pacijenata i integriteta medicinskih podataka. Naglašavamo da europska poduzeća moraju poštovati europsko zakonodavstvo kojim se štiti privatnost pacijenata i integritet medicinskih podataka (Opća uredba o zaštiti podataka).
2.6EGSO bi pozdravio uključivanje odredbi o etičkim standardima i zaštiti privatnosti u europski akcijski plan.
2.7EGSO potiče Komisiju da mandate timova za odgovor na računalne sigurnosne incidente unaprijedi poboljšanjem koordinacije, pojednostavnjenjem komunikacije i jačanjem prekogranične suradnje među europskim bolnicama radi učinkovitije razmjene obavještajnih podataka o prijetnjama. Jačanjem sigurnosti informacijske tehnologije u zdravstvu zahvaljujući udruživanju i profesionalizaciji stručnog znanja u području kibernetičke sigurnosti poboljšat će se opća kibernetička otpornost sektora i pripravnost na rastuće prijetnje.
Isto tako, jačanjem sigurnosti operativne tehnologije i otpornosti medicinskih sustava pomoću integriranog sigurnosnog inženjeringa podići će se razina osviještenosti o tome do kakvih kibernetičkih napada može doći.
2.8Skup alata za kibernetičku sigurnost mogao bi pružiti sveobuhvatan skup resursa, najboljih praksi i alata osmišljenih kako bi se velikim i malim zdravstvenim organizacijama pomoglo da se zaštite od digitalnih prijetnji. Provedbom simulacija i stvarnih scenarija može se poboljšati učenje i pomoći osoblju da razumije praktične posljedice povreda kibernetičke sigurnosti.
2.9Trebalo bi ograničiti broj osoba kojima je dozvoljen pristup vanjskim mrežama na internetu i unošenje vanjskih podataka. Znamo da ljudi mogu biti najosjetljiviji čimbenik u zaštiti računalnog sustava. Stoga bi trebalo uspostaviti antropocentrične sustave (koje potencijalno pokreće umjetna inteligencija) kako bi se uočili napadi i osiguralo osposobljavanje o tome kako ublažiti unutarnje prijetnje. U idealnom bi slučaju radne stanice trebalo isključiti iz bolničke mreže kako bi napad utjecao samo na osobno računalo i kako bi se duplicirala minimalna količina podataka. Nakon što se utvrdi da podaci nisu zaraženi virusom računalo se isključuje iz vanjske mreže i spaja na bolničku mrežu za prijenos podataka. Osobna računala ažuriraju se svakog jutra dnevnim podacima o pacijentu.
2.10 Ako zaposlenici trebaju pristupiti nezaštićenim internetskim stranicama, to se mora učiniti putem osobnih računala koja nisu povezana s bolničkom mrežom i bez mogućnosti izrade sigurnosnih kopija ili prijenosa podataka.
2.11Trebalo bi predvidjeti moguće unutarnje prijetnje u bolnici (iako su takve prijetnje ograničene na 2 % incidenata), uz pristup koji se temelji na riziku u pogledu najprikladnije razine nadzora, bilo putem računalnih mreža, fizičkog nadzora kao što su kamere ili putem kontrolnih točaka pristupa, npr. korištenjem propusnica za zaposlenike. Zahvaljujući socijalnom dijalogu u bolnicama i zdravstvenom sektoru treba spriječiti da se nadzora prijeđe na neovlašteni upad.
2.12EGSO smatra da bolnice u EU-u moraju imati planove za upravljanje incidentima i kontinuitet poslovanja, uključujući postupke odgovora na incidente, rezervna komunikacijska rješenja i odvojene sigurnosne kopije kako bi brzo i učinkovito reagirale u slučaju napada. Ključni dio planova za upravljanje incidentima i kontinuitet poslovanja su česta testiranja otpornosti na stres kojima se simuliraju scenariji kibernetičkih napada u virtualnom okruženju, čime bi se omogućilo mjerenje stupnja i razine učinka kibernetičkog napada i provjera sposobnosti zdravstvene ustanove za odgovor. Od ključne je važnosti prilagoditi sudjelovanje zaposlenika i pružiti im konkretne vještine u tom pogledu.
2.13EGSO predlaže razvoj digitalnog simulatora sa scenarijima napada i odgovora koji su jednostavni za uvođenje i upotrebu. Taj bi se simulator mogao koristiti kao demonstracijski alat za podizanje svijesti, informiranje i obrazovanje.
2.14Trebalo bi često provoditi vježbe simulacije napada i vidjeti kako se primjenjuje plan ponovne uspostave usluga te poboljšati postupke za sljedeću fiskalnu godinu, primjerice povećanjem broja osoba osposobljenih za te planove obnove ili utvrđivanjem jednostavnijih i jasnijih uputa.
2.15U slučaju da napad nije otkriven i da je zbog svoje sofisticiranosti službama prouzročio ozbiljnu štetu, potrebno je primijeniti sigurnosni način rada s privremenim povratkom na ručni način rada kako se ne bi blokirao rad koji je bio u tijeku na početku napada. Osoblje mora biti osposobljeno da zna kako organizirati uslugu u papirnatom obliku do ponovne uspostave rada informatičkog odjela. Poduzete mjere kasnije će se unijeti ručno.
2.16Unutarnji nositelj rizika za kibernetičku sigurnost mora unaprijed provjeriti svu opremu s mikroprocesorom (i/ili dokumentaciju priloženu toj opremi) instaliranu u bolnicu kako bi provjerio da nema prethodno implantiranog virusa. Uviđamo da neće sve bolnice moći osigurati cijeli unutarnji odjel za kibernetičku sigurnost. EGSO predlaže da nositelj rizika (slično voditelju obrade podataka iz Opće uredbe o zaštiti podataka) bude odgovoran za potvrđivanje nepostojanja virusa, uz potporu dobavljača tehnologije, njihova informatičkog odjela i/ili članova te inicijative.
2.17EGSO poziva da se pozornost posveti malim medicinskim odjelima s ograničenim informatičkim odjelom i traži da se u tom pogledu pojasni uloga ENISA-e u vezi s pružanjem softvera ili sigurnih poslužitelja; potiče bolnice koje su u tom pogledu predvodnice da razmjenjuju znanje i doprinose učenju manjih subjekata o kibernetičkoj sigurnosti.
2.18Europski akcijski plan mogao bi uključivati upotrebu etičnih hakera i neprofitnih organizacija kao standardne prakse omogućavanjem službene suradnje ili programa koji zdravstvenim ustanovama omogućuju da iskoriste to vanjsko stručno znanje bez znatnog financijskog opterećenja. Time bi se poboljšala opća kibernetička sigurnost, ali i pridonijelo široj kulturi suradnje i razmjene znanja unutar tog sektora.
2.19EGSO predlaže, kao što je predviđeno zakonodavstvom država članica, upotrebu kolektivnog pregovaranja i kolektivnih ugovora kako bi se osigurao koherentan institucijski odgovor na kibernetičke napade, zaštita privatnosti i pravilno upravljanje podacima, uz jačanje socijalnog dijaloga i uključivanje socijalnih partnera u praćenje i kontrolu postupaka povezanih s kibernetičkim napadima i privatnošću podataka zaposlenika i pacijenata. Ističemo potrebu da se u okviru socijalnog dijaloga raspravlja o riziku od psihološkog stresa zbog kibernetičke sigurnosti.
2.20Teorija „koplja i štita” znači da se napadači kreću brže od obrane, a isto se tako ubrzavaju i kriminalne inovacije. U okviru centara za pomoć, osim obavještajnih podataka o prijetnjama, trebale bi se provoditi i aktivnosti ispitivanja vidokruga i otpornosti na buduće promjene. Na primjer, akteri prijetnji ucjenjivačkim programima možda neće samo obavljati svoje uobičajene povrede podataka već će čak i u slučajevima u kojima je pristup ponovno uspostavljen možda selektivno ugroziti cjelovitost podataka (naročito ako je cilj strateški).
2.21Kibernetička sigurnost sada obuhvaća i mnoge druge sfere, a ne samo softvere i povezivost. Uključuje i elemente fizičkih sustava i umjetne inteligencije. Prednost bi trebalo dati integraciji postupaka jamstva i propisanih zahtjeva kao što je to učinjeno u Uredbi o medicinskim proizvodima ili Aktu EU-a o umjetnoj inteligenciji.
2.22Preporučujemo da se osjetljivi podaci po mogućnosti stave u suverene europske javne medicinske oblake, uz dvostruku ili trostruku provjeru za pristup podacima za ovlaštene osobe. To bi također uvelike pomoglo u brzoj ponovnoj uspostavi usluge nakon prodora u računalne sustave.
Bruxelles, 5. lipnja 2025.
Predsjednik Savjetodavnog povjerenstva za industrijske promjene
Pietro Francesco De Lotto
_____________
