CCMI/244
A kórházak kiberbiztonságára vonatkozó cselekvési terv
VÉLEMÉNY
Ipari Szerkezetváltás Konzultatív Bizottsága
A Bizottság közleménye az Európai Parlamentnek, az Európai Tanácsnak, a Tanácsnak, az Európai Gazdasági és Szociális Bizottságnak és a Régiók Bizottságának – A kórházak és az egészségügyi szolgáltatók kiberbiztonságára vonatkozó európai cselekvési terv
(COM(2025) 10 final)
Előadó: Alain COHEUR
Társelőadó: Hervé JEANNIN
|
Tanácsadók:
|
LORIDAN Joyce (a III. Csoporthoz tartozó előadó felkérésére)
|
|
|
CHEAH Hun Xhing Madeline (a társelőadó felkérésére, 2. kategória)
|
|
Felkérés:
|
Európai Bizottság: 2025. 03. 05.
|
|
Jogalap:
|
az Európai Unió működéséről szóló szerződés 304. cikke
|
|
Illetékes szakbizottság:
|
Ipari Szerkezetváltás Konzultatív Bizottsága
|
|
Elfogadás a szekcióülésen:
|
2025. 06. 04.
|
|
A szavazás eredménye:
(mellette/ellene/tartózkodott)
|
25/0/0
|
|
Elfogadás plenáris ülésen:
|
2025. xx. xx.
|
|
Plenáris ülésszak száma:
|
...
|
|
A szavazás eredménye:
(mellette/ellene/tartózkodott)
|
xx/xx/xx
|
1.Következtetések és ajánlások
1.1Az EGSZB üdvözli a kórházak és az egészségügyi szolgáltatók kiberbiztonságára vonatkozó európai cselekvési terv ambíciószintjét, és azt, hogy erre a témára figyelmet fordítanak. Az ágazat egy ideje kritikus célpont a fenyegető szereplők számára. Az egészség személyes, az egészségügy helyi szinten szerveződik a tagállamokban és régióikban. Az Európai Bizottság azonban prioritásként kezeli a kiberbiztonságot annak érdekében, hogy megvédje polgárai egészségét, az európai egészségügyi adatteret és a tagállamok hatalmas egészségügyi ágazatát, amely különböző egészségügyi szervezeteket, például kórházakat, sürgősségi szolgálatokat, valamint a gyógyszer- és biotechnológiai ágazatot foglalja magában, amelyek a telemedicina, a betegportálok, a platformok és a viselhető eszközök révén egyre nagyobb mértékben kapcsolódnak a külvilághoz. Az egészségügyi ágazat kiberbiztonságának javítása fokozza az általános biztonságot és rezilienciát, és hozzájárul a felkészültségi unióhoz.
1.2Az e területre vonatkozó biztonsági intézkedések javítása érdekében az EGSZB egy sor javaslatot terjeszt elő, amelyek különböző kategóriákba sorolhatók:
1.2.1Pénzügyi intézkedések
1.2.1.1Az EGSZB sajnálja, hogy a cselekvési terv végrehajtásához nyújtott pénzügyi támogatás kérdése továbbra is nyitott. Ez egyenlőtlenséghez vezethet a betegeknek nyújtott védelem szintjében, az egészségügyi intézmények rendelkezésére álló forrásoktól függően. Az EGSZB arra ösztönzi az Európai Bizottságot, hogy biztosítsa a kohéziós alapokon keresztül nyújtott pénzügyi támogatás tematikus koncentrációját.
1.2.1.2Az EGSZB felhívja a figyelmet a kiberbiztonsági beruházások terén az EU-ban tapasztalható különbségekre, megjegyezve, hogy egyedül Franciaország évente több mint 1 milliárd EUR-t kíván beruházni; uniós szintre extrapolálva évente legalább 7,5 milliárd EUR összegű igény adódik. A kibertámadások megelőzése érdekében a kórházaknak informatikai költségvetésük mintegy 10%-át a kiberbiztonságra kell fordítaniuk. Figyelembe kell venni a beruházások területi jellegének nyomon követését.
Az EGSZB nyugtázza az ENISA részére nyújtott 6 millió eurós támogatást, hangsúlyozza azonban, hogy a finanszírozás nem elegendő, tekintettel arra, hogy mi forog kockán a kórházak, a polgárok és a betegek biztonsága szempontjából, akik támadás esetén nem feltétlenül férnek hozzá a diagnózishoz és a kezeléshez. Az ENISA-t fel kell kérni arra, hogy a Fenyegetettségi helyzetjelentés: Egészségügyi ágazat című jelentését egészítse ki a kiberbiztonsági beruházások aktuális tagállami helyzetére vonatkozó pénzügyi áttekintéssel.
Az európai cselekvési terv pénzügyi támogatásának a következő beruházásokkal kell foglalkoznia:
§eszközök és kórházi infrastruktúra biztosítása az EU-ban 2,3 millió kórházi ágyat magában foglaló infrastruktúra számára.
§Oktatás: több mint 10 millió egészségügyi és szociális dolgozó tudatosságának növelése és képzése.
§Remediáció és helyreállítás, amely eseményenként elérheti a több millió eurót.
Az ENISA gyorsított hiteleket kaphatna informatikai védelmi és kiberbiztonsági eszközökre. Ezeket a forrásokat meghatározott feltételek mellett az egészségügyi és szociális ellátási ágazatra kell fordítani.
1.2.1.3Az EGSZB javasolja annak vizsgálatát, hogy az egészségügy kiberbiztonságára fordított kiadások figyelembe vehetők-e a Stabilitási és Növekedési Paktum általános mentesítési záradékában, és az európai polgárok egészségének és a kritikus egészségügyi infrastruktúráknak a védelmét szolgáló védelmi kiadásoknak tekinthetők-e. A biztonsági események kockázata miatt az egészségügyi szervezeteknek más ágazatokhoz képest nagyobb mértékű beruházásokat kell eszközölniük az egészségügyi ellátás kiberbiztonsága érdekében.
1.2.1.4Mivel az uniós egészségügyi ágazatot érő informatikai támadások teljes költsége nehezen becsülhető (Franciaországban támadásonként akár 20 millió EUR-ra is rúghatnak a költségek), az EGSZB a költségek nyomon követésébe való beruházást javasol annak érdekében, hogy az Európai Bizottság jobban az igényekhez igazíthassa a beruházásokat, legyen szó akár a bűnözési gócokról, akár a több segítségre szoruló helyi területekről, akár annak megértéséről, hogy mely biztonsági technológiák vagy oktatási kampányok a leghatékonyabbak.
1.2.1.5Az EGSZB kiemeli a tagállamok adatvédelmi hatóságainak szerepét annak biztosításában, hogy a kórházak és más egészségügyi szervezetek megfelelő biztonsági intézkedéseket hozzanak. A megelőző kiberbiztonsági intézkedések hiánya esetén a tagállamok pénzbírságok kiszabásával léphetnek fel.
1.2.2Technikai intézkedések
1.2.2.1Az EGSZB a következőket ajánlja:
-az alapvető kiberhigiéniai gyakorlatok tudatosítása (például a rendszerhozzáférés ellenőrzésére vonatkozó megfelelő politikák, USB-portok letiltása, vírusirtó szoftverek használata végpontok esetében, a nem biztonságos eszközök elkülönítése, a fertőzött gépek karanténba helyezése);
-beruházás a kórházak, egészségügyi rendszerek, orvostechnikai eszközök digitális ikermodelljeibe a bizonyosság és a tesztelés megkönnyítése érdekében;
-technikai segítségnyújtás (pl. biztonságos szerverek vagy biztonsági szolgáltatások központi hatóság, például az ENISA általi biztosítása révén) kis orvosi egységek számára, amelyeknek kis méretük miatt nincs módjuk kiberbiztonsági kockázatokkal kapcsolatos beruházásokra;
-beruházás a stratégiai technikai képességekbe (pl. az operatív technológiák biztonsága, a biztonság és a védelem közötti kapcsolat, kriminalisztikai felkészítés, mesterséges intelligencia stb.).
1.2.3Folyamati intézkedések
1.2.3.1Az EGSZB fel kívánja hívni a figyelmet egy sor óvintézkedésre és megelőző intézkedésre, amelyeknek javítaniuk kell a védelem szintjét az egészségügyi ágazatban, és csökkenteniük kell a kibertámadások kockázatát:
-Megfelelő vizsgálatok elvégzése (ellenállóképességi vizsgálatok, behatolási vizsgálatok stb.) nemcsak az eszközök és a beszállítók szintjén, hanem rendszerszinten (egészségügyi rendszerekbe integrált eszközök esetén) és operatív szinten is.
-Üzletmenet-folytonossági tervek kidolgozása, amelyeket rendszeresen aktualizálnak, valamint belső és külső felülvizsgálatnak vetnek alá. Ezeknek a terveknek magukban kell foglalniuk a kórházak és az egészségügyi rendszerek tartalék- vagy biztonsági üzemmódjának beépítését is annak érdekében, hogy azok továbbra is működhessenek.
-A nyomon követéssel és a helyreállítással kapcsolatos bevált gyakorlatok monitorozása, beleértve a megfelelő szintű reagálás biztosítását, ezen belül a decentralizált (az egyes kórházakon, szolgáltatókon vagy egészségügyi rendszereken belüli, beleértve az otthont is) és a központosított reagálást (pl. nemzeti CSIRT- vagy ISAC-csoportok igénybevételével). A közbeszerzési gyakorlatok részeként a berendezések kiberbiztonságának tanúsításához vagy validálásához szükséges dokumentáció beszerzése (pl. hogy azok megfelelnek-e az általános adatvédelmi rendeletben meghatározott kiberbiztonsági előírásoknak).
1.2.3.2Az EGSZB véleménye szerint az Európai Bizottságnak a cselekvési terv részeként fontolóra kellene vennie a kiberbiztonsági szolgáltatók tanúsítását, ami hozzájárulna egy megbízható ökoszisztéma létrehozásához; ugyanakkor felhívja a figyelmet a kórházakra és az egészségügyi intézményekre jelenleg nehezedő pénzügyi terhekre, és ennek kapcsán figyelmeztet a további költségnövekedésre.
1.2.3.3Az EGSZB elismeri, hogy a szabványosítás nagyon hasznos, de arra is rámutat, hogy az elkerülhetetlenül az ellenálló képesség hiányát eredményezi, hacsak nem vezetnek be konkrét biztosítékokat és ellenintézkedéseket. A tervet integrálni kell más fizikai és kiberrezilienciával kapcsolatos kezdeményezésekkel, többek között a kiberrezilienciáról szóló jogszabállyal.
1.2.4Oktatási intézkedések
1.2.4.1Mivel az oktatás a cselekvési terv központi pillére, az EGSZB a szociális partnerekkel közösen kidolgozott folyamatos tanulási és képzési terveket, valamint a különböző szervezetek és szakmai érdekelt felek közötti tudásátadási mechanizmusokat javasol a kiberbiztonsággal, az etikával, a magánélet védelmével és a mesterséges intelligenciával kapcsolatos kihívások kezelése érdekében.
1.2.4.2Az EGSZB azt javasolja, hogy új informatikai eszközök bevezetésekor biztosítsák a kibertámadásokra adott koherens intézményi válaszlépéseket, a magánélet védelmét és az adatok megfelelő kezelését, amint azt a tagállami jogszabályok és a kollektív szerződések kötését célzó, a szociális partnerek között folytatott tárgyalások is előírják.
1.2.4.3Az EGSZB becslése szerint a kiberbiztonsági fenyegetések elleni küzdelem érdekében az egészségügyi oktatásnak célzott kiberbiztonsági képzést kell magában foglalnia. A mikrotanúsítványok az alaptantervek módosítása nélkül kínálnak rugalmas és költséghatékony módot a szakemberek kompetenciafejlesztésére. Fokozzák az egészségügyi ellátás rezilienciáját, és az Európai Bizottság készségek uniójára vonatkozó kezdeményezésének központi elemét képezik.
1.2.4.4 Az EGSZB véleménye szerint a kiberbiztonsági munkaerőhiány és az egészségügyi ellátás alacsony biztonsági szintje kezelésének központi szerepet kell játszania az uniós digitális évtized felülvizsgálatában. A multidiszciplináris készségekbe – a kiberbiztonságba, a mesterséges intelligenciába, a kriminalisztikai felkészültségbe és az orvostechnikai eszközök biztonságába – történő stratégiai beruházás elengedhetetlen az összetett fenyegetések kezeléséhez és a hosszú távú reziliencia kiépítéséhez.
1.2.4.5Az EGSZB elismeri, hogy az egészség és a jóllét digitalizációja, valamint a kiberbiztonsági jogsértések potenciális veszélyei miatt pszichológiai stressz alakulhat ki egyes egészségügyi szakembereknél és betegeknél, ami szükségessé teszi az alapvető kiberbiztonsági ismeretek és készségek általános érvényesítését az európai polgárok és egészségügyi szakemberek számára.
1.2.4.6Az EGSZB azt ajánlja, hogy az Európai Bizottság támogató és koordináló szerepét maradéktalanul ellátva használjon fel uniós forrásokat a fenyegetettségi kockázatokkal kapcsolatos kiberbiztonsági figyelemfelkeltő kampányok, valamint a „kiberhigiéniára” vonatkozó ajánlások révén a munkahelyi megelőzés előmozdítására.
2.Általános megjegyzések
2.12020-ban az ENISA arról számolt be, hogy az előző évhez képest Unió-szerte összesen 47%-kal nőtt a kibertámadások száma; Franciaországban 2021-ben megkétszereződött a bejelentett ügyek száma. Az ENISA elismerte az egészségügyi ágazat kiberbiztonsági igényeit, és üdvözölte az Európai Bizottság 2025. januári (a kiberreziliencia 2025-től kezdődő folyamatos javítására irányuló) cselekvési tervét, amelynek célja, hogy a kórházakat, a klinikákat és az egészségügyi szolgáltatókat magas szintű védelemben részesítse az e szervezetek informatikai vagy OT-rendszerei elleni támadásokkal szemben.
2.2Az egyének, a vállalkozások és az intézmények kiberkockázatokkal szembeni védelme a digitális évtizedben érvényre juttatandó digitális jogokról és elvekről szóló európai nyilatkozat
kulcsfontosságú prioritása. Az EGSZB hangsúlyozza, hogy a közegészség és az egészségügyi ellátáshoz való jog védelme érdekében átfogó, több szakterületre kiterjedő uniós kiberbiztonsági politikára van szükség. Az EGSZB arra ösztönzi az Európai Bizottságot, hogy a kiberbiztonság tekintetében az uniós (digitális és alkotmányos) értékekre építve jogokon alapuló megközelítést alkalmazzon, és a kiberbiztonságot más alapvető jogokhoz, például a magánélethez, az adatvédelemhez és a fizikai biztonsághoz hasonló jogként ismerje el. Az EGSZB azt javasolja, hogy a kiberbiztonságot ne korlátozzák az infrastruktúra, a rendszerek és az adatok védelmére.
2.3A robotikai rendszerek és a digitális gépek egyre nagyobb szerepet játszanak a sebészeti beavatkozásokban, a betegek egészségének nyomon követésében és az orvosi vizsgálatokban, és tényleges fizikai és mentális károsodást okozhatnak, amennyiben ezeket a digitális rendszereket nem védik (például a sebészeti robotok ártó szándékú téves kalibrációjával és a hátsó ajtós támadást aktiváló mechanizmus („backdoor trigger”) mesterségesintelligencián alapuló diagnosztikai rendszerekbe való behelyezésével szemben). Az EGSZB kéri, hogy fordítsanak sokkal nagyobb figyelmet az örökölt rendszerekre és az IT/OT közötti kapcsolódási pontokra, mivel a standard folyamatok és a tudatosság terén tapasztalható hiányosságok összetettek. E konkrét kapcsolódási pont kihívásainak kezeléséhez multidiszciplináris megközelítésre (beleértve a biztonságtechnikát is), szaktudásra, valamint az új fenyegetések új eszközök és módszerek alkalmazásával történő felismerésére és tesztelésére való képességre van szükség. A cselekvési tervnek meg kell vizsgálnia a „kiberfizikai” rendszereket és az e terület kezelése érdekében tett erőfeszítéseket is.
2.4Az EGSZB arra kéri az Európai Bizottságot, hogy tisztázza a cselekvési terv által érintett egészségügyi szolgáltatók körét. A cselekvési terv szerint az egészségügyi ágazat számos szervezetet és szereplőt ölel fel, többek között kórházakat, klinikákat, gondozóotthonokat, rehabilitációs központokat és különböző egészségügyi szolgáltatókat, továbbá a gyógyszeripart, a gyógyászati és biotechnológiai ipart, az orvostechnikai eszközök gyártóit és az egészségügyi kutatóintézeteket. Az EGSZB annak pontosítására kéri az Európai Bizottságot, hogy részéről ez tekintendő-e az egészségügyi ágazat teljes körű értelmezésének, és rámutat az ENISA által meghatározott egészségügyi célkitűzésekre. Az Európai Bizottságnak figyelembe kell vennie a tágabb ökoszisztémával való közvetett kölcsönhatást, beleértve a kereskedelmi forgalomban kapható jólléti termékeket is (pl. aktivitásmérők, tömegveszteség-mérők stb.).
2.5Az Európai Bizottság határozottan hangsúlyozza a technológiai cégekkel és a profitorientált magánszervezetekkel való együttműködést a kiberbiztonsági szolgáltatások nyújtása terén a kórházak és az egészségügyi ágazat védelmének biztosítása érdekében. Bár a profitorientált ágazattal való együttműködés értékes előnyökkel járhat a kiberbiztonság megerősítése szempontjából, indokolt az óvatosság. Az egészségügyi intézményeknek tisztában kell lenniük az esetleges összeférhetetlenségekkel, amelyek akkor merülhetnek fel, ha kereskedelmi vállalatok vesznek részt a betegek érzékeny adatainak kezelésében. Fennállhat annak a kockázata, hogy e vállalatok kereskedelmi érdekei – például a profitmaximalizálás – elsőbbséget élvezhetnek a betegek magánéletének védelmével és az egészségügyi adatok sértetlenségével szemben. Hangsúlyozzuk, hogy az európai vállalatoknak be kell tartaniuk a betegek magánéletének védelmét és az egészségügyi adatok sértetlenségét védő európai jogszabályokat (GDPR).
2.6Az EGSZB üdvözölné etikai normák és a magánélet védelmére vonatkozó záradékok szerepeltetését az európai cselekvési tervben.
2.7Az EGSZB arra ösztönzi az Európai Bizottságot, hogy a számítógép-biztonsági eseményekre reagáló csoportok (CSIRT) megbízatását terjessze ki az európai kórházak közötti koordináció javítására, kommunikációjuk egyszerűsítésére és határon átnyúló együttműködésük megerősítésére a fenyegetések és a hírszerzési információk hatékonyabb megosztása érdekében. Az egészségügy informatikai biztonságának a kiberbiztonsági szakértelem összevonása és professzionalizálása révén történő megerősítése javítani fogja az ágazat általános kiberrezilienciáját és felkészültségét a változó fenyegetéssel szemben. Az OT-biztonság és az orvosi rendszerek integrált biztonsági és védelmi tervezés révén történő megerősítésével hasonlóképpen szűkül az előforduló kibertámadások köre.
2.8Egy kiberbiztonsági eszköztár átfogó erőforrásokat, bevált gyakorlatokat és eszközöket biztosíthatna, amelyek célja, hogy segítsék a nagy és kis egészségügyi szervezeteket a digitális fenyegetésekkel szembeni védekezésben. A szimulációk és a valós vezetési feltételek melletti forgatókönyvek bevezetése javíthatja a tanulást, és segítheti a személyzetet a kiberbiztonsági incidensek gyakorlati következményeinek megértésében.
2.9Korlátozni kell azon személyek számát, akik jogosultak az interneten keresztül külső hálózatokhoz hozzáférni, és külső adatokat beemelni. Ismert, hogy egy számítógépes rendszer védelmében az ember lehet a legsérülékenyebb tényező. Ezért – potenciálisan mesterséges intelligencián alapuló – emberközpontú rendszereket kell bevezetni a támadások felderítésére és a belső fenyegetések mérséklésére irányuló képzés biztosítására. Ideális esetben a munkaállomás(oka)t le kell választani a kórházi hálózatról, hogy a támadás csak magát a személyi számítógépet érintse, minimális adatduplikáció mellett. Az adatok vírusellenőrzését követően a számítógépet leválasztják a külső hálózatról, és adatátvitel céljából csatlakoztatják a kórházi hálózathoz. A személyi számítógépeket minden reggel frissítik a napi betegadatokkal.
2.10 Ha a munkavállalóknak a nem biztonságos hálózathoz kell hozzáférniük, ezt a kórházi hálózathoz nem kapcsolódó számítógépeken keresztül kell megtenniük, a biztonsági mentés vagy adattovábbítás lehetősége nélkül.
2.11Rendelkezni kell a kórházon belüli lehetséges belső veszélyről (bár ez az incidensek mindössze 2%-át érinti), kockázatalapú megközelítést alkalmazva arra vonatkozóan, hogy a legmegfelelőbb felügyeleti szint számítógépes hálózatok, fizikai megfigyelés (például kamerák), vagy belépés-ellenőrzési pontokon, például munkavállalói belépőkártyákon keresztül valósítható meg. A kórházakon és az egészségügyi ágazaton belüli társadalmi párbeszéd révén el kell kerülni, hogy a felügyeletből beavatkozás váljon.
2.12Az EGSZB számára elengedhetetlen, hogy az uniós kórházak eseménykezelési és üzletmenet-folytonossági tervekkel rendelkezzenek, beleértve a biztonsági eseményekre való reagálási eljárásokat, a tartalék kommunikációs megoldásokat és a leválasztott biztonsági mentéseket, hogy támadás esetén gyorsan és hatékonyan tudjanak reagálni. Az eseménykezelési és üzletmenet-folytonossági tervek alapvető részét képezik a gyakori stressztesztek, amelyek olyan virtuális környezetben szimulálják a kibertámadások forgatókönyveit, amelyek lehetővé tennék a kibertámadások mértékének és hatásának mérését, valamint az egészségügyi létesítmények reagálási képességeinek ellenőrzését. Döntő fontosságú a munkavállalók megfelelő bevonása és e tekintetben konkrét készségekkel való felruházása.
2.13Az EGSZB egy olyan digitális szimulátor kifejlesztését javasolja, amely könnyen alkalmazható és használható támadási és reagálási forgatókönyveket tartalmaz. Ez a szimulátor demonstrációs eszközként használható tudatosságnövelő, tájékoztató és oktatási rendezvényekhez.
2.14Gyakori támadásszimulációs gyakorlatok útján meg kell ismerni a szolgáltatás-helyreállítási terv alkalmazásának módját, és javítani az eljárásokat a következő pénzügyi évre vonatkozóan akár a helyreállítási tervekkel kapcsolatban képzett létszám növelésével, akár egyszerűbb és egyértelműbb utasítások meghatározásával.
2.15Abban az esetben, ha a támadást nem észlelték, és az a kifinomultsága miatt súlyos károkat okozott a szolgáltatásokban, korlátozott üzemmódot kell alkalmazni a kézi üzemmódhoz való ideiglenes visszatéréssel annak érdekében, hogy a támadás kezdetén ne blokkolják a műveleteket. Az embereket ki kell képezni arra, hogy az informatikai osztály helyreállításáig hogyan szervezzék meg papíralapon a szolgáltatást. A végrehajtott intézkedések manuálisan rögzítésére utólag kerül sor.
2.16A kórházban telepített, mikroprocesszorral felszerelt berendezések (és/vagy a berendezéshez csatolt dokumentáció) esetében a belső kiberbiztonsági kockázat tulajdonosának előzetes ellenőrzéssel kell meggyőződnie arról, hogy nincs-e előzetesen beültetett vírus. Elfogadjuk, hogy nem minden kórház lesz képes teljes értékű belső kiberbiztonsági osztály felszerelésére. Javasoljuk, hogy (az általános adatvédelmi rendelet adatkezelőjéhez hasonlóan) a kockázattulajdonos legyen a jóváhagyásért felelős személy, aki a technológiaszolgáltatóktól, az informatikai osztálytól és/vagy a kezdeményezés tagjaitól kap támogatást.
2.17Az EGSZB kéri, hogy szenteljenek figyelmet a korlátozott informatikai részleggel rendelkező kis orvosi egységeknek, valamint kéri az ENISA szerepének tisztázását a szoftverek vagy biztonságos szerverek biztosítása tekintetében; arra ösztönzi az élen járó kórházakat, hogy ismereteik megosztásával járuljanak hozzá a kisebb szervezetek kiberbiztonsági tanulásához.
2.18Az európai cselekvési terv bevett gyakorlatként építhetne az etikus hackerek és nonprofit szervezetek igénybevételére olyan hivatalos együttműködések vagy programok elősegítésével, amelyek lehetővé teszik az egészségügyi intézmények számára, hogy jelentős pénzügyi terhek nélkül használják ki ezt a külső szakértelmet. Ez nemcsak az általános kiberbiztonságot erősítené, hanem hozzájárulna az ágazaton belüli együttműködés és tudásmegosztás szélesebb körű kultúrájához is.
2.19Az EGSZB javasolja, hogy a tagállami jogszabályoknak megfelelően éljenek kollektív tárgyalásokkal és kössenek kollektív szerződéseket a kibertámadásokra adott koherens intézményi válasz, a magánélet védelme és a megfelelő adatkezelés biztosítása érdekében, a szociális párbeszéd megszilárdítása mellett, valamint a szociális partnerek bevonását a kibertámadásokkal kapcsolatos folyamatok nyomon követésébe és ellenőrzésébe, valamint a munkavállalók és a betegek adatvédelmébe. Hangsúlyozzuk, hogy a szociális párbeszéd keretében meg kell vitatni a kiberbiztonság által előidézett pszichológiai stressz kockázatát.
2.20A „lándzsa és pajzs” elmélet szerint a támadók gyorsabban lépnek, mint a védők, és a bűnözői innováció is gyorsul. A segítségnyújtási központokban a fenyegetettséggel kapcsolatos hírszerzésen kívül a kilátások feltérképezését és az időtállóvá tételt szolgáló tevékenységekre is szükség van. Előfordulhat például, hogy a zsarolóvírussal fenyegető szereplők nemcsak a szokásos adatvédelmi incidenseket hajtják végre, így a hozzáférés helyreállítása esetén is szelektív módon sérülhet az adatok integritása (különösen, ha a cél stratégiai jellegű).
2.21A kiberbiztonság a szoftvereken és az összeköttetéseken túl ma már számos területre kiterjed. Magában foglalja a fizikai rendszerek, valamint a mesterséges intelligencia elemeit is. Prioritásként kell kezelni a bizonyosságszerzési folyamatok és a jogszabályban – többek között az orvostechnikai eszközökről szóló rendeletben vagy a mesterséges intelligenciáról szóló uniós jogszabályban – előírt követelmények integrálását.
2.22Javasoljuk, hogy az érzékeny adatokat minél nagyobb mértékben lehetőleg szuverén európai nyilvános egészségügyi felhőkben helyezzék el, a jogosult személyek adathozzáférésének kettős vagy háromszoros ellenőrzésével. Ez nagyban hozzájárul a szolgáltatás gyors helyreállításához a számítógépes rendszerekbe való behatolást követően.
Kelt Brüsszelben, 2025. június 5-én.
az Ipari Szerkezetváltás Konzultatív Bizottsága elnöke
Pietro Francesco De Lotto
_____________