CCMI/244
Pjan ta’ Azzjoni dwar iċ-ċibersigurtà tal-isptarijiet
OPINJONI
Kummissjoni Konsultattiva dwar il-Bidliet Industrijali
Komunikazzjoni tal-Kummissjoni lill-Parlament Ewropew, lill-Kunsill Ewropew, lill-Kunsill, lill-Kumitat Ekonomiku u Soċjali Ewropew u lill-Kumitat tar-Reġjuni – Pjan ta’ Azzjoni Ewropew dwar iċ-ċibersigurtà tal-isptarijiet u tal-fornituri tal-kura tas-saħħa
(COM(2025) 10 final)
Relatur: Alain COHEUR
Korelatur: Hervé JEANNIN
|
Konsulenti
|
LORIDAN Joyce (konsulenta għar-relatur, Grupp III)
|
|
|
CHEAH Hun Xhing Madeline (konsulenta għall-korelatur, Kategorija 2)
|
|
Konsultazzjoni
|
Kummissjoni Ewropea, 5/3/2025
|
|
Bażi legali
|
Artikolu 304 tat-Trattat dwar il-Funzjonament tal-Unjoni Ewropea
|
|
Sezzjoni kompetenti
|
Kummissjoni Konsultattiva dwar il-Bidliet Industrijali
|
|
Adozzjoni fis-sezzjoni
|
4/6/2025
|
|
Riżultat tal-votazzjoni
(favur/kontra/astensjonijiet)
|
25/0/0
|
|
Adozzjoni fis-sessjoni plenarja
|
D/M/2025
|
|
Sessjoni plenarja Nru
|
…
|
|
Riżultat tal-votazzjoni
(favur/kontra/astensjonijiet)
|
…/…/…
|
1.Konklużjonijiet u rakkomandazzjonijiet
1.1Il-KESE jilqa’ l-livell ta’ ambizzjoni tal-Pjan ta’ Azzjoni Ewropew dwar iċ-ċibersigurtà tal-isptarijiet u tal-fornituri tal-kura tas-saħħa u l-attenzjoni li qed tingħata lil dan is-suġġett. Is-settur kien mira kritika għall-atturi tat-theddid. Is-saħħa hija personali u hija organizzata lokalment fl-Istati Membri u r-reġjuni tagħhom. Madankollu, iċ-ċibersigurtà hija prijorità għall-Kummissjoni Ewropea, biex tipproteġi s-saħħa taċ-ċittadini tagħha, l-Ispazju Ewropew tad-Data dwar is-Saħħa, u s-settur vast tal-kura tas-saħħa fl-Istati Membri li jinkludi diversi entitajiet tas-saħħa bħal sptarijiet, servizzi ta’ emerġenza u s-settur farmaċewtiku u tal-bijoteknoloġija, li huma dejjem aktar konnessi mad-dinja ta’ barra permezz tat-telemediċina, il-portali tal-pazjenti, il-pjattaformi u l-apparati li jintlibsu. It-titjib taċ-ċibersigurtà fis-settur tas-saħħa jtejjeb is-sigurtà u r-reżiljenza b’mod ġenerali u jikkontribwixxi għall-unjoni tal-preparatezza.
1.2Sabiex jittejbu l-miżuri ta’ sigurtà f’dan il-qasam, il-Kumitat qed iressaq sett ta’ proposti li jaqgħu f’kategoriji differenti:
1.2.1Miżuri finanzjarji
1.2.1.1Il-KESE jiddispjaċih li għadha ma ġietx indirizzata l-kwistjoni tal-appoġġ finanzjarju biex jiġi implimentat il-Pjan ta’ Azzjoni. Dan jista’ jwassal għal inugwaljanza fil-livell ta’ protezzjoni li jirċievu l-pazjenti, skont ir-riżorsi disponibbli għall-istituzzjonijiet tal-kura tas-saħħa. Il-KESE jħeġġeġ lill-Kummissjoni tiżgura konċentrazzjoni tematika għall-appoġġ finanzjarju permezz tal-fondi ta’ koeżjoni.
1.2.1.2Il-KESE jenfasizza d-disparitajiet fl-investiment fiċ-ċibersigurtà madwar l-UE, u jinnota li Franza waħedha beħsiebha tinvesti aktar minn EUR 1 biljun fis-sena; b’estrapolazzjoni madwar l-UE kollha, dan jissuġġerixxi ħtieġa minima ta’ EUR 7,5 biljun fis-sena. Biex jiġi pprevenut attakk ċibernetiku, l-isptarijiet għandhom jallokaw madwar 10 % tal-baġits tal-IT tagħhom għaċ-ċibersigurtà. Għandu jitqies il-monitoraġġ tat-territorjalità tal-investimenti.
Il-KESE jieħu nota tas-EUR 6 miljun għall-ENISA, iżda jissottolinja li dan il-finanzjament mhuwiex adegwat fid-dawl tal-importanza ta’ dak li huwa involut għas-sikurezza tal-isptarijiet, iċ-ċittadini u l-pazjenti li, f’każ ta’ attakk, jista’ ma jkollhomx aktar aċċess għad-dijanjożi u t-trattament. L-ENISA għandha tiġi mistiedna tikkomplementa x-xenarju tat-theddid għas-settur tas-saħħa (Threat landscape: health sector) b’immappjar finanzjarju tas-sitwazzjoni attwali tal-investiment fiċ-ċibersigurtà fl-Istati Membri.
L-appoġġ finanzjarju għall-Pjan ta’ Azzjoni Ewropew għandu jindirizza l-investimenti:
§fil-prevenzjoni: l-iżgurar ta’ apparati u infrastruttura tal-isptarijiet għall-infrastruttura li tinkludi 2,3 miljun sodda fl-isptarijiet fl-UE.
§fl-edukazzjoni: sensibilizzazzjoni u taħriġ ta’ aktar minn 10 miljun membru tal-persunal fil-qasam tas-saħħa u tax-xogħol soċjali.
§fir-rimedju u l-irkupru, li jistgħu jilħqu diversi miljuni ta’ euro għal kull inċident.
L-ENISA tista’ tirċievi self rapidu għall-għodod tal-protezzjoni u taċ-ċibersigurtà tal-IT. Dawn il-fondi għandhom ikunu ddedikati għas-settur tas-saħħa u tal-kura soċjali, taħt kundizzjonijiet speċifiċi.
1.2.1.3Il-KESE jissuġġerixxi li jiġi esplorat jekk in-nefqa fuq iċ-ċibersigurtà għas-saħħa tistax titqies għall-klawżola liberatorja ġenerali tal-Patt ta’ Stabbiltà u Tkabbir, u għandha mnejn titqies bħala nfiq fid-difiża biex tiġi protetta s-saħħa taċ-ċittadini Ewropej u l-infrastruttura tas-saħħa kritika. L-investiment meħtieġ mill-entitajiet tas-saħħa fl-iżgurar taċ-ċibersigurtà għall-forniment tal-kura tas-saħħa se jkun akbar milli f’setturi oħra minħabba r-riskju ta’ inċidenti.
1.2.1.4Minħabba l-fatt li ċ-ċifri totali dwar l-ispiża tal-attakki taċ-ċiberkriminalità fuq is-settur tal-kura tas-saħħa fl-UE huma diffiċli biex jiġu stmati (fi Franza, l-ispiża hija ta’ EUR 20 miljun għal kull attakk), il-KESE jissuġġerixxi investiment fl-ispejjeż tal-insegwiment u t-traċċar sabiex il-Kummissjoni Ewropea tkun tista’ tfassal aħjar l-investimenti, kemm jekk għall-hotspots tal-kriminalità, iż-żoni lokali li jeħtieġu aktar għajnuna jew fehim dwar liema teknoloġiji tas-sigurtà jew kampanji edukattivi huma l-aktar effettivi.
1.2.1.5Il-KESE jenfasizza r-rwol tal-awtoritajiet tal-protezzjoni għad-data fl-Istati Membri biex jiżguraw li l-isptarijiet u entitajiet oħra tal-kura tas-saħħa jieħdu miżuri ta’ sigurtà adatti. L-Istati Membri jista’ jkollhom rwol, f’każ ta’ nuqqas ta’ miżuri preventivi taċ-ċibersigurtà, billi jagħtu l-multi.
1.2.2Miżuri tekniċi
1.2.2.1Il-KESE jirrakkomanda:
-is-sensibilizzazzjoni dwar il-prattiki bażiċi tal-iġjene ċibernetika (bħal politiki tajbin ta’ kontroll tal-aċċess għas-sistema, id-diżattivazzjoni tal-portijiet tal-USB, l-użu tal-antivirus għall-punti tat-tmiem, is-separazzjoni ta’ apparati mhux siguri, il-kwarantina ta’ magni infettati);
-l-investiment f’tewmin diġitali għall-isptarijiet, għas-sistemi tal-kura tas-saħħa jew għall-apparati mediċi biex jiġu ffaċilitati l-assigurazzjoni u l-ittestjar;
-l-għoti ta’ assistenza teknika lil unitajiet mediċi żgħar (eż. permezz tal-forniment ta’ servers siguri jew servizzi ta’ sigurtà minn awtorità ċentralizzata bħall-ENISA) li, minħabba d-daqs żgħir tagħhom, ma jkunux jistgħu jinvestu biex jindirizzaw ir-riskji marbuta maċ-ċibersigurtà;
-l-investiment f’kapaċitajiet tekniċi strateġiċi (eż. is-sigurtà tat-teknoloġiji operazzjonali, ir-rabta bejn is-sikurezza u s-sigurtà, it-tħejjija forensika, l-IA, eċċ.).
1.2.3Miżuri tal-proċess
1.2.3.1Il-KESE jixtieq jiġbed l-attenzjoni għal sett ta’ miżuri ta’ prekawzjoni u prevenzjoni li għandhom itejbu l-livell ta’ protezzjoni fis-settur tal-kura tas-saħħa u jnaqqsu r-riskju ta’ attakki ċibernetiċi:
-it-twettiq ta’ testijiet xierqa (testijiet tar-reżistenza, testijiet tal-penetrazzjoni, eċċ.), mhux biss fil-livell tal-apparat u tal-fornitur, iżda wkoll fil-livell tas-sistema (meta l-apparati jiġu integrati fis-sistemi tal-kura tas-saħħa) u fil-livell operazzjonali;
-l-iżvilupp ta’ pjani għall-kontinwità tal-operat, aġġornati u rieżaminati regolarment, kemm internament kif ukoll esternament minn awdituri indipendenti. Dawn il-pjani għandhom jinkludu wkoll l-inkorporazzjoni ta’ modalità ta’ riżerva jew ta’ sikurezza għall-isptarijiet u s-sistemi tal-kura tas-saħħa sabiex ikunu jistgħu jkomplu joperaw;
-il-monitoraġġ tal-aħjar prattika fir-rigward tal-kontroll u r-rimedju, inkluż l-iżgurar li jkun hemm livelli adegwati ta’ rispons, inkluż dak deċentralizzat (f’kull sptar, fornitur jew sistema tal-kura tas-saħħa, inkluż id-dar) u ċentralizzat (eż. bl-użu ta’ timijiet nazzjonali tas-CSIRT jew tal-ISAC). Il-ksib, bħala parti mill-prattiki tal-akkwist, tad-dokumentazzjoni meħtieġa biex tiġi ċċertifikata jew ivvalidata ċ-ċibersigurtà tat-tagħmir (eż. li tikkonforma mar-regolamenti dwar iċ-ċibersigurtà stabbiliti fil-GDPR).
1.2.3.2Fil-fehma tal-KESE, il-Kummissjoni għandha tikkunsidra, bħala parti mill-Pjan ta’ Azzjoni, iċ-ċertifikazzjoni tal-fornituri taċ-ċibersigurtà sabiex tikkontribwixxi għall-ħolqien ta’ ekosistema affidabbli, filwaqt li tenfasizza l-piż finanzjarju li attwalment iridu jerfgħu l-isptarijiet u l-istituzzjonijiet tal-kura tas-saħħa u b’hekk twissi kontra aktar żidiet fl-ispejjeż.
1.2.3.3Il-KESE jirrikonoxxi li l-istandardizzazzjoni hija utli ħafna iżda jirrimarka wkoll li inevitabbilment twassal għal nuqqas ta’ reżiljenza sakemm ma jiġux stabbiliti salvagwardji u kontromiżuri speċifiċi. Il-Pjan għandu jiġi integrat ma’ inizjattivi oħra ta’ reżiljenza fiżika u ċibernetika, inkluż l-Att dwar ir-Reżiljenza Ċibernetika.
1.2.4Miżuri edukattivi
1.2.4.1Peress li l-edukazzjoni hija pilastru ċentrali tal-Pjan ta’ Azzjoni, il-KESE jirrakkomanda pjani kontinwi ta’ tagħlim u taħriġ żviluppati mal-imsieħba soċjali, u mekkaniżmi għat-trasferiment tal-għarfien bejn l-entitajiet differenti u l-partijiet ikkonċernati professjonali biex jiġu indirizzati l-isfidi fiċ-ċibersigurtà, l-etika, il-privatezza u l-IA.
1.2.4.2Meta jiġu implimentati għodod ġodda tal-IT, il-KESE jissuġġerixxi li jiġi żgurat rispons istituzzjonali koerenti għall-attakki ċibernetiċi, il-protezzjoni tal-privatezza u l-ġestjoni xierqa tad-data, kif previst fil-leġiżlazzjoni tal-Istati Membri u l-arranġamenti ta’ negozjar kollettiv mal-imsieħba soċjali għall-kuntratti kollettivi.
1.2.4.3Il-KESE jqis li biex jiġi miġġieled it-theddid għaċ-ċibersigurtà, l-edukazzjoni dwar il-kura tas-saħħa għandha tinkludi taħriġ immirat dwar iċ-ċibersigurtà. Il-mikrokredenzjali joffru mod flessibbli u kosteffettiv għat-titjib tal-ħiliet tal-professjonisti mingħajr ma jinbidlu l-kurrikuli ewlenin. Dawn isaħħu r-reżiljenza tal-kura tas-saħħa u huma enfasi ewlenija tal-inizjattiva tal-Unjoni tal-Ħiliet tal-Kummissjoni.
1.2.4.4 Fil-fehma tal-KESE, l-indirizzar tad-distakk fil-forza tax-xogħol taċ-ċibersigurtà u l-livelli baxxi ta’ sigurtà fil-kura tas-saħħa jrid ikun ċentrali għar-reviżjoni tad-Deċennju Diġitali tal-UE. L-investiment strateġiku fil-ħiliet multidixxiplinari – iċ-ċibersigurtà, l-IA, it-tħejjija forensika, u s-sigurtà tal-apparati mediċi – huwa essenzjali biex jiġi indirizzat it-theddid kumpless u tinbena reżiljenza fit-tul.
1.2.4.5Il-KESE jirrikonoxxi li d-diġitalizzazzjoni tas-saħħa u l-benesseri u t-theddid potenzjali tal-ksur taċ-ċibersigurtà jistgħu jikkawżaw tbatija psikoloġika possibbli għall-professjonisti fil-kura tas-saħħa u l-pazjenti individwali u jirrikjedu l-integrazzjoni tal-litteriżmu u l-ħiliet fundamentali fiċ-ċibersigurtà għaċ-ċittadini u l-professjonisti tal-kura tas-saħħa Ewropej.
1.2.4.6Il-KESE jirrakkomanda li l-Kummissjoni teżerċita bis-sħiħ ir-rwol ta’ appoġġ u koordinazzjoni tagħha billi tuża l-fondi tal-UE biex tippromovi kampanji ta’ sensibilizzazzjoni dwar iċ-ċibersigurtà dwar ir-riskji ta’ theddid u l-prevenzjoni fil-post tax-xogħol permezz ta’ rakkomandazzjonijiet dwar l-“iġjene ċibernetika”.
2.Kummenti ġenerali
2.1Fl-2020, l-ENISA rrappurtat żieda kombinata ta’ 47 % fl-attakki ċibernetiċi madwar l-UE meta mqabbla mas-sena ta’ qabel: fi Franza, l-għadd ta’ każijiet iddikjarati rdoppja fl-2021. L-ENISA rrikonoxxiet il-ħtiġijiet taċ-ċibersigurtà tas-settur tal-kura tas-saħħa u laqgħet il-Pjan ta’ Azzjoni tal-Kummissjoni Ewropea ta’ Jannar 2025 (li għandu l-għan li jtejjeb fuq bażi kontinwa r-reżiljenza ċibernetika mill-2025 ’il quddiem) biex l-isptarijiet, il-kliniċi u l-fornituri tas-saħħa jinġiebu f’livell għoli ta’ protezzjoni minn kwalunkwe attakk fuq is-sistemi tat-teknoloġija tal-informazzjoni jew tat-teknoloġija operazzjonali ta’ dawn l-entitajiet.
2.2Il-protezzjoni tal-individwi, tan-negozji u tal-istituzzjonijiet mir-riskji ċibernetiċi hija prijorità ewlenija fid-Dikjarazzjoni Ewropea dwar id-Drittijiet u l-Prinċipji Diġitali għad-Deċennju Diġitali
. Il-KESE jenfasizza l-ħtieġa ta’ politika komprensiva u trażversali tal-UE dwar iċ-ċibersigurtà biex jiġu ssalvagwardjati s-saħħa pubblika u d-dritt għall-kura tas-saħħa. Il-KESE jħeġġeġ lill-Kummissjoni tadotta approċċ ibbażat fuq id-drittijiet għaċ-ċibersigurtà mirfud mill-valuri (diġitali u kostituzzjonali) tal-UE u tirrikonoxxi ċ-ċibersigurtà bħala dritt bħal drittijiet fundamentali oħra bħall-privatezza u l-protezzjoni tad-data u s-sikurezza fiżika. Il-KESE jirrakkomanda li ċ-ċibersigurtà ma tiġix limitata għall-protezzjoni tal-infrastruttura, tas-sistemi u tad-data.
2.3Is-sistemi robotiċi u l-magni diġitali għandhom rwol dejjem akbar fil-kirurġija, fil-monitoraġġ tas-saħħa tal-pazjenti u fit-testijiet mediċi, u potenzjalment jikkawżaw ħsara fiżika u mentali reali jekk dawn is-sistemi diġitali ma jiġux salvagwardjati (kontra, pereżempju, il-kalibrazzjoni ħażina malizzjuża tar-robots kirurġiċi u l-inseriment ta’ backdoor triggers fis-sistemi dijanjostiċi tal-IA). Il-KESE jappella għal enfasi ħafna akbar fuq is-sistemi miruta u l-intersezzjoni bejn it-teknoloġija tal-informazzjoni u t-teknoloġija operazzjonali, minħabba li l-kumplessità tirriżulta fid-distakk fil-proċessi standard u fis-sensibilizzazzjoni. L-indirizzar tal-isfidi ta’ din l-intersezzjoni partikolari jirrikjedi approċċ multidixxiplinari (inkluża l-inġinerija tas-sikurezza), għarfien speċjalizzat u l-kapaċità li jiġi rikonoxxut u ttestjat theddid ġdid bl-użu ta’ għodod u metodoloġiji ġodda. Il-Pjan ta’ Azzjoni għandu jħares ukoll lejn is-sistemi “ċiberfiżiċi” u l-isforzi li saru biex jiġi indirizzat dan il-qasam.
2.4Il-KESE jistieden lill-Kummissjoni tiċċara l-kamp ta’ applikazzjoni tal-fornituri tal-kura tas-saħħa affettwati mill-Pjan ta’ Azzjoni. Il-Pjan ta’ Azzjoni jiddikjara li s-settur tas-saħħa jinkludi għadd kbir ta’ entitajiet u atturi, li jinkludu sptarijiet, kliniċi, djar tal-kura, ċentri ta’ riabilitazzjoni u diversi fornituri tal-kura tas-saħħa, flimkien mal-industrija farmaċewtika, medika u tal-bijoteknoloġija, il-manifatturi tal-apparati mediċi u l-istituzzjonijiet tar-riċerka dwar is-saħħa. Il-KESE jitlob lill-Kummissjoni tispeċifika jekk dan huwiex il-fehim eżawrjenti tas-settur tas-saħħa tagħha u jindika l-miri tas-saħħa identifikati mill-ENISA. Il-Kummissjoni trid tqis l-interazzjoni indiretta mal-ekosistema usa’, inkluż il-benesseri kummerċjali (eż. trackers tal-fitness, coaches għat-telf tal-piż, eċċ.).
2.5Il-Kummissjoni Ewropea tenfasizza bil-qawwa l-kooperazzjoni mad-ditti tat-teknoloġija u l-organizzazzjonijiet privati bi skop ta’ qligħ fil-forniment tas-servizzi taċ-ċibersigurtà biex tiġi żgurata l-protezzjoni tal-isptarijiet u tas-settur tal-kura tas-saħħa. Filwaqt li l-kollaborazzjoni mas-settur bi skop ta’ qligħ tista’ toffri benefiċċji siewja għat-tisħiħ taċ-ċibersigurtà, wieħed irid joqgħod attent. L-istituzzjonijiet tal-kura tas-saħħa jeħtieġ li jkunu konxji tal-kunflitti ta’ interess potenzjali li jistgħu jinqalgħu meta l-kumpaniji kummerċjali jkunu involuti fil-ġestjoni ta’ data sensittiva tal-pazjenti. Jista’ jkun hemm riskju li l-interessi kummerċjali ta’ dawn il-kumpaniji, bħall-massimizzazzjoni tal-profitt, jistgħu jieħdu preċedenza fuq il-protezzjoni tal-privatezza tal-pazjenti u l-integrità tad-data medika. Nenfasizzaw li l-kumpaniji Ewropej iridu jikkonformaw mal-leġiżlazzjoni Ewropea li tipproteġi l-privatezza tal-pazjenti u l-integrità tad-data medika (GDPR).
2.6Il-KESE jilqa’ l-inkorporazzjoni ta’ standards etiċi u klawżoli ta’ protezzjoni tal-privatezza fil-Pjan ta’ Azzjoni Ewropew.
2.7Il-KESE jħeġġeġ lill-Kummissjoni ssaħħaħ il-mandat tal-Iskwadri tar-Rispons għal Inċidenti relatati mas-Sigurtà tal-Kompjuters (CSIRTs) billi ttejjeb il-koordinazzjoni, tissemplifika l-komunikazzjoni u ssaħħaħ il-kooperazzjoni transfruntiera bejn l-isptarijiet Ewropej għal kondiviżjoni aktar effettiva tal-intelligence dwar it-theddid. It-tisħiħ tas-sigurtà tat-teknoloġija tal-informazzjoni fil-kura tas-saħħa permezz tal-akkomunament u l-professjonalizzazzjoni tal-għarfien espert dwar iċ-ċibersigurtà se jsaħħaħ ir-reżiljenza ċibernetika ġenerali tas-settur u l-preparatezza kontra t-theddida li qed tevolvi. It-tisħiħ tas-sigurtà tat-teknoloġija operazzjoni u l-infurzar tas-sistemi mediċi permezz ta’ inġinerija integrata tas-sikurezza u s-sigurtà bl-istess mod se jżidu l-livell ta’ probabbiltà li jseħħu attakki ċibernetiċi.
2.8Sett ta’ għodod taċ-ċibersigurtà jista’ jipprovdi sett komprensiv ta’ riżorsi, tal-aħjar prattiki u ta’ għodod imfassla biex jgħinu lill-organizzazzjonijiet tal-kura tas-saħħa kbar u żgħar jipproteġu lilhom infushom mit-theddid diġitali. L-implimentazzjoni ta’ simulazzjonijiet u xenarji tad-dinja reali tista’ ttejjeb l-apprendiment u tgħin lill-persunal jifhem l-implikazzjonijiet prattiċi tal-ksur taċ-ċibersigurtà.
2.9L-għadd ta’ persuni li jitħallew jaċċessaw networks esterni fuq il-web u li jdaħħlu data esterna għandu jkun limitat. Nafu li l-bnedmin jistgħu jkunu l-aktar fattur fraġli fil-protezzjoni ta’ sistema tal-kompjuter. Għalhekk, għandhom jiġu stabbiliti sistemi ċċentrati fuq il-bniedem (potenzjalment imħaddma mill-IA) biex jidentifikaw l-attakki u jipprovdu taħriġ dwar kif jista’ jiġi mmitigat it-theddid minn informazzjoni privileġġata. Idealment, l-istazzjon(ijiet) tax-xogħol għandhom jiġu skonnettjati min-network tal-isptarijiet sabiex l-attakk jaffettwa biss il-kompjuter innifsu u li kwantità minima ta’ data tiġi duplikata. Ladarba jiġi vverifikat jekk id-data għandhiex xi virus, il-kompjuter jiġi skonnettjat min-network estern u konness man-network tal-isptarijiet għat-trażmissjoni tad-data. Il-kompjuters jiġu aġġornati kull filgħodu bid-data tal-pazjent ta’ dakinhar.
2.10 Jekk l-impjegati jkollhom bżonn jaċċessaw il-web mhux sigur, dan irid isir permezz ta’ kompjuters mhux konnessi man-network tal-isptarijiet u mingħajr il-possibbiltà ta’ backup jew trasferiment tad-data.
2.11Għandha tiġi prevista miżura għal theddida interna possibbli fi sptar (għalkemm limitata għal 2 % tal-inċidenti), b’approċċ ibbażat fuq ir-riskju għal dak li għandu mnejn ikun l-aktar livell xieraq ta’ sorveljanza, kemm jekk permezz ta’ networks tal-kompjuter, sorveljanza fiżika bħal kameras, jew permezz ta’ punti ta’ kontroll tal-aċċess bħal pereżempju permezz ta’ passes tal-impjegati. Id-djalogu soċjali fl-isptarijiet u s-settur tas-saħħa għandu jevita li jevolvi mis-sorveljanza għall-intrużjoni.
2.12Għall-KESE huwa imperattiv li l-isptarijiet tal-UE jkollhom pjani għall-ġestjoni tal-inċidenti u l-kontinwità tal-operat inklużi proċeduri ta’ rispons għall-inċidenti, soluzzjonijiet ta’ komunikazzjoni ta’ riżerva u back-ups mhux konnessi biex jirrispondu malajr u b’mod effettiv f’każ ta’ attakk. Parti vitali mill-pjani għall-ġestjoni tal-inċidenti u tal-kontinwità tal-operat jikkonsistu f’testijiet tal-istress frekwenti, li jissimulaw xenarji ta’ attakki ċibernetiċi f’ambjent virtwali li jippermettu li jitkejlu l-grad u l-livell tal-impatt ta’ attakk ċibernetiku u li jiġu vverifikati l-kapaċitajiet ta’ rispons ta’ stabbiliment tal-kura tas-saħħa. L-involviment adattat tal-impjegati, u l-għoti ta’ ħiliet konkreti f’dan ir-rigward huma ta’ importanza kruċjali.
2.13Il-KESE jissuġġerixxi li jiġi żviluppat simulatur diġitali, li jinkludi xenarji ta’ attakki u rispons li huma faċli biex jitnedew u jintużaw. Dan is-simulatur jista’ jintuża bħala għodda ta’ dimostrazzjoni għal avvenimenti ta’ sensibilizzazzjoni, informazzjoni u edukazzjoni.
2.14Twettiq ta’ eżerċizzji ta’ simulazzjoni ta’ attakki fuq bażi frekwenti u verifika kif qed jiġi applikat il-pjan ta’ restawr tas-servizz u titjib tal-proċeduri għas-sena fiskali li jmiss billi jiżdied l-għadd ta’ persuni mħarrġa f’dawn il-pjani ta’ restawr jew billi pereżempju jiġu stabbiliti struzzjonijiet aktar sempliċi u aktar espliċiti.
2.15Fil-każ li attakk ma jkunx ġie identifikat u jkun ikkawża ħsara serja lis-servizzi minħabba s-sofistikazzjoni tiegħu, huwa meħtieġ li tiġi applikata modalità degradata b’ritorn temporanju għall-modalità manwali sabiex ma jiġux imblukkati l-operazzjonijiet fil-bidu ta’ attakk. In-nies iridu jiġu mħarrġa biex ikunu jafu kif jorganizzaw is-servizz b’mod manwali sakemm jiġi restawrat id-dipartiment tal-IT. Entrata manwali tal-azzjonijiet meħuda ssir a posteriori.
2.16Kwalunkwe tagħmir b’mikroproċessur (u/jew dokumentazzjoni mehmuża mat-tagħmir) installat fi sptar irid jiġi vverifikat minn qabel mis-sid intern tar-riskju għaċ-ċibersigurtà biex jiġi vverifikat li ma hemm l-ebda virus impjantat minn qabel. Naċċettaw li mhux l-isptarijiet kollha se jkollhom disponibbli dipartiment intern sħiħ għaċ-ċibersigurtà. Nissuġġerixxu li s-sid tar-riskju (b’mod simili għall-kontrollur tad-data tal-GDPR) jista’ jkun dak responsabbli għall-approvazzjoni, appoġġjat mill-bejjiegħa tat-teknoloġija, id-dipartiment tal-IT tagħhom u/jew mill-membri ta’ din l-inizjattiva.
2.17Il-KESE jitlob li tingħata attenzjoni lill-unitajiet mediċi żgħar b’dipartiment tal-IT limitat, u jitlob li r-rwol tal-ENISA f’dan l-aspett jiġi ċċarat fir-rigward tal-forniment ta’ software jew servers siguri; iħeġġeġ lill-isptarijiet pijunieri jiskambjaw u jikkontribwixxu għat-tagħlim taċ-ċibersigurtà ta’ entitajiet iżgħar.
2.18Il-Pjan ta’ Azzjoni Ewropew jista’ jinkorpora l-użu ta’ hackers etiċi u organizzazzjonijiet mingħajr skop ta’ qligħ bħala prattika standard, billi jiffaċilita kollaborazzjonijiet jew programmi formali li jippermettu lill-istituzzjonijiet tal-kura tas-saħħa jisfruttaw dan l-għarfien espert estern mingħajr ma jġarrbu piżijiet finanzjarji sinifikanti. Dan mhux biss itejjeb iċ-ċibersigurtà ġenerali iżda jikkontribwixxi wkoll għal kultura usa’ ta’ kollaborazzjoni u kondiviżjoni tal-għarfien fis-settur.
2.19Il-KESE jissuġġerixxi li, kif previst fil-leġiżlazzjoni tal-Istati Membri, jintużaw in-negozjar kollettiv u l-kuntratti kollettivi biex jiġi żgurat rispons istituzzjonali koerenti għall-attakki ċibernetiċi, il-protezzjoni tal-privatezza u ġestjoni xierqa tad-data, flimkien mal-konsolidazzjoni tad-djalogu soċjali u l-involviment tal-imsieħba soċjali fil-monitoraġġ u l-kontroll tal-proċessi rigward l-attakki ċibernetiċi u l-privatezza tad-data għall-impjegati u l-pazjenti. Nenfasizzaw il-ħtieġa li jiġi diskuss ir-riskju ta’ stress psikoloġiku kkawżat miċ-ċibersigurtà f’qafas ta’ djalogu soċjali.
2.20It-teorija ta’ “spear and shield” tfisser li l-aggressuri jimxu aktar malajr mid-difensuri u li l-innovazzjoni kriminali qed tikber b’rata mgħaġġla wkoll. Fiċ-ċentri tal-għajnuna, minbarra l-intelligence dwar it-theddid għandu jkun hemm ukoll attivitajiet ta’ skennjar orizzontali u li jibqgħu validi fil-futur. Pereżempju, l-atturi tat-theddid tar-ransomware jistgħu mhux biss ikunu qed iwettqu l-ksur normali tagħhom tad-data, iżda anke fil-każijiet fejn l-aċċess jiġi restawrat, jistgħu jkunu kkompromettew l-integrità tad-data b’mod selettiv (b’mod partikolari jekk il-mira tkun strateġika).
2.21Iċ-ċibersigurtà issa tkopri ħafna aktar oqsma minbarra s-software u l-konnettivita. Tinkludi wkoll elementi ta’ sistemi fiżiċi kif ukoll l-IA. Għandha tingħata prijorità lill-integrazzjoni tal-proċessi ta’ assigurazzjoni u r-rekwiżiti obbligatorji bħal fir-Regolament dwar l-Apparati Mediċi, jew l-Att tal-UE dwar l-IA.
2.22Nirrakkomandaw li kemm jista’ jkun id-data sensittiva tittella’ fi clouds mediċi pubbliċi sovrani Ewropej, b’verifika doppja jew tripla għall-aċċess tad-data minn persuni awtorizzati. Dan jgħin ħafna wkoll biex is-servizz jerġa’ jiġi għal li kien malajr wara intrużjoni fis-sistemi tal-kompjuter.
Brussell, il-5 ta’ Ġunju 2025.
Il-President tal-Kummissjoni Konsultattiva dwar il-Bidliet Industrijali
Pietro Francesco DE LOTTO
_____________