CCMI/244
Plano de ação para a cibersegurança dos hospitais
PARECER
Comissão Consultiva das Mutações Industriais
Comunicação da Comissão ao Parlamento Europeu, ao Conselho, ao Comité Económico e Social Europeu e ao Comité das Regiões – Plano de Ação Europeu para a Cibersegurança dos Hospitais e dos Prestadores de Cuidados de Saúde
[COM(2025) 10 final]
Relator: Alain Coheur
Correlator: Hervé Jeannin
|
Conselheiras
|
Joyce Loridan (do relator, Grupo III)
|
|
|
Hun Xhing Madeline Cheah (do correlator, Cat. 2)
|
|
Consulta
|
Comissão Europeia, 5/3/2025
|
|
Base jurídica
|
Artigo 304.º do Tratado sobre o Funcionamento da União Europeia
|
|
Competência
|
Comissão Consultiva das Mutações Industriais
|
|
Adoção em secção
|
4/6/2025
|
|
Resultado da votação
(votos a favor/votos contra/abstenções)
|
25/0/0
|
|
Adoção em plenária
|
D/M/2025
|
|
Reunião plenária n.º
|
…
|
|
Resultado da votação
(votos a favor/votos contra/abstenções)
|
…/…/…
|
1.Conclusões e recomendações
1.1O Comité Económico e Social Europeu (CESE) congratula-se com o nível de ambição do Plano de Ação Europeu para a Cibersegurança dos Hospitais e dos Prestadores de Cuidados de Saúde e com a atenção dedicada a este assunto. O setor tem sido um alvo crítico para os perpetradores. A saúde é pessoal e está organizada localmente nos Estados-Membros e nas suas regiões. Não obstante, a cibersegurança constitui uma prioridade para a Comissão Europeia, a fim de proteger a saúde dos seus cidadãos, o Espaço Europeu de Dados de Saúde e o vasto setor dos cuidados de saúde nos Estados-Membros, que abrange diversas entidades de saúde, tais como os hospitais, os serviços de emergência e os setores farmacêutico e biotecnológico, que estão cada vez mais ligados ao mundo exterior através da telemedicina, portais de utentes, plataformas e usáveis. A melhoria da cibersegurança no setor da saúde reforça a segurança e a resiliência em geral e contribui para a União da Preparação.
1.2Para melhorar as medidas de segurança neste domínio, o Comité apresenta um conjunto de propostas que se inscrevem em diferentes categorias:
1.2.1Medidas financeiras
1.2.1.1O CESE lamenta que a questão do apoio financeiro à execução do plano de ação continue por resolver. Tal poderá conduzir a desigualdades no grau de proteção que os doentes recebem, dependendo dos recursos de que dispõem as instituições de saúde. O CESE incentiva a Comissão a assegurar uma concentração temática para apoio financeiro através dos fundos no âmbito da política de coesão.
1.2.1.2O CESE salienta as disparidades no investimento em cibersegurança na UE, assinalando que França, por si só, tenciona investir mais de mil milhões de euros por ano, o que extrapolado para o conjunto da União, indica necessidades de investimento de, no mínimo, 7,5 mil milhões de euros por ano. Para prevenir um ciberataque, os hospitais devem afetar cerca de 10% do seu orçamento para as tecnologias de informação à cibersegurança. Será importante monitorizar a territorialidade dos investimentos.
O CESE assinala o apoio de 6 milhões de euros concedido à Agência da União Europeia para a Cibersegurança (ENISA), mas sublinha que é insuficiente tendo em conta a importância do que está em causa para a segurança dos hospitais, dos cidadãos e dos doentes que, em caso de ataque, podem deixar de ter acesso a diagnóstico e tratamento. A ENISA deve ser convidada a complementar a sua análise Threat landscape: health sector com um levantamento financeiro do ponto de situação do investimento em cibersegurança nos Estados-Membros.
O apoio financeiro ao plano de ação europeu deve contemplar investimentos nas seguintes áreas:
§Prevenção: garantir a segurança de dispositivos e infraestruturas hospitalares abrangendo 2,3 milhões de camas hospitalares na UE.
§Educação: sensibilização e formação de mais de dez milhões de profissionais dos setores da saúde e da assistência social.
§Reparação e recuperação, que poderão atingir vários milhões de euros por incidente.
A ENISA poderá receber empréstimos através de procedimentos acelerados para a proteção informática e ferramentas de cibersegurança. Estes fundos devem ser afetados ao setor da saúde e da assistência social, sob condições específicas.
1.2.1.3O CESE propõe que se estude a possibilidade de as despesas com a cibersegurança no domínio da saúde poderem ser abrangidas pela cláusula de derrogação de âmbito geral do Pacto de Estabilidade e Crescimento e poderem ser consideradas despesas com a defesa para proteger a saúde dos cidadãos europeus e as infraestruturas de saúde críticas. O investimento necessário para as entidades de saúde garantirem a cibersegurança na prestação de cuidados de saúde será mais elevado do que noutros setores atendendo ao risco de incidentes.
1.2.1.4Dado que os valores totais do custo dos ataques de cibercriminalidade no setor dos cuidados de saúde na UE são difíceis de estimar (podendo ascender a 20 milhões de euros por ataque em França), o CESE propõe que se invista na localização e no rastreio, para que a Comissão Europeia possa canalizar mais eficazmente os recursos, seja para centros de criminalidade ou para áreas locais que necessitem de mais apoio ou para compreender quais as tecnologias de segurança ou as campanhas de educação mais eficazes.
1.2.1.5O CESE destaca o papel das autoridades de proteção de dados nos Estados-Membros na garantia de que os hospitais e outras entidades prestadoras de cuidados de saúde tomem medidas de segurança adequadas. No caso de faltarem medidas preventivas de cibersegurança, os Estados-Membros podem desempenhar um papel através da aplicação de coimas.
1.2.2Medidas técnicas
1.2.2.1O CESE recomenda:
-a sensibilização para as práticas básicas de ciber-higiene (tais como políticas de controlo do acesso ao sistema adequadas, desativação das portas USB, utilização de antivírus em pontos terminais, separação de dispositivos não seguros, colocação em quarentena de máquinas infetadas);
-o investimento em gémeos digitais para hospitais, sistemas de saúde ou dispositivos médicos, a fim de promover a fiabilidade e facilitar a realização de testes;
-a prestação de assistência técnica a pequenas unidades médicas (por exemplo, através da disponibilização de servidores seguros ou de serviços de segurança por uma autoridade centralizada, como a ENISA) que, pela sua reduzida dimensão, não têm capacidade para investir na prevenção de riscos de cibersegurança;
-o investimento em capacidades técnicas estratégicas (por exemplo, segurança das tecnologias operacionais, ligação entre segurança e proteção, preparação forense, IA, etc.).
1.2.3Medidas processuais
1.2.3.1O CESE chama a atenção para um conjunto de medidas de precaução e prevenção que deverão melhorar o nível de proteção no setor dos cuidados de saúde e reduzir o risco de ciberataques:
-A realização de ensaios adequados (testes de resistência, testes de penetração, etc.), não só a nível do dispositivo e do fornecedor, mas também a nível do sistema (quando os dispositivos estão integrados nos sistemas de saúde) e a nível operacional.
-A elaboração de planos de continuidade das atividades, atualizados e revistos regularmente, tanto a nível interno como externo, por auditores independentes. Estes planos devem contemplar a incorporação de um modo de salvaguarda ou de segurança para os hospitais e os sistemas de saúde, para que possam continuar a funcionar.
-O acompanhamento da aplicação de boas práticas em matéria de controlo e correção, nomeadamente assegurando a existência de níveis de resposta adequados, tanto descentralizados (em cada hospital, prestador ou sistema de cuidados de saúde, incluindo no domicílio) como centralizados [por exemplo, utilizando equipas de resposta a incidentes de segurança informática (CSIRT) nacionais ou equipas de centros de partilha e análise de informações]. A aquisição, no âmbito de práticas de contratação pública, da documentação necessária para certificar ou validar a cibersegurança dos equipamentos [por exemplo, que estes cumprem as normas em matéria de cibersegurança estabelecidas no Regulamento Geral sobre a Proteção de Dados (RGPD)].
1.2.3.2Na opinião do CESE, a Comissão deve ponderar, no âmbito do plano de ação, a certificação dos prestadores de serviços de cibersegurança, a fim de contribuir para a criação de um ecossistema de confiança, chamando simultaneamente a atenção para os encargos financeiros que recaem atualmente sobre os hospitais e as instituições de saúde e advertindo contra novos aumentos dos custos.
1.2.3.3O CESE reconhece que a normalização é muito útil, mas salienta que conduz inevitavelmente à falta de resiliência se não forem aplicadas salvaguardas e contramedidas específicas. O plano deve ser integrado com outras iniciativas em matéria de resiliência física e cibernética, nomeadamente o Regulamento de Ciber-Resiliência.
1.2.4Medidas educativas
1.2.4.1Uma vez que a educação é um pilar central do plano de ação, o CESE recomenda que sejam elaborados planos de aprendizagem e de formação contínuas com os parceiros sociais, bem como mecanismos para a transferência de conhecimentos entre as diversas entidades e partes interessadas profissionais, a fim de fazer face aos desafios em matéria de cibersegurança, ética, privacidade e inteligência artificial (IA).
1.2.4.2Aquando da aplicação de novas ferramentas informáticas, o CESE propõe que se assegure uma resposta institucional coerente aos ciberataques, a proteção da privacidade e uma gestão adequada dos dados, nos termos da legislação dos Estados-Membros e dos acordos de negociação coletiva celebrados com os parceiros sociais no âmbito de contratos coletivos.
1.2.4.3O CESE considera que, para combater as ciberameaças, a educação no domínio dos cuidados de saúde deve incluir formação específica sobre cibersegurança. As microcredenciais proporcionam uma forma flexível e eficaz em termos de custos de melhorar as competências dos profissionais sem alterar os programas de ensino. Reforçam a resiliência dos cuidados de saúde e são uma prioridade fundamental da iniciativa União das Competências promovida pela Comissão.
1.2.4.4 O CESE defende que a resolução do problema do défice de profissionais da cibersegurança e dos baixos níveis de segurança nos cuidados de saúde deve constituir uma preocupação central da revisão do programa Década Digital da UE. O investimento estratégico em competências multidisciplinares – cibersegurança, IA, preparação forense e segurança dos dispositivos médicos – é essencial para fazer face a ameaças complexas e reforçar a resiliência a longo prazo.
1.2.4.5O CESE reconhece que a digitalização da saúde e do bem-estar e as potenciais ameaças de violações da cibersegurança podem causar sofrimento psicológico aos profissionais de saúde e aos doentes individuais e solicita a integração da literacia e de competências fundamentais em matéria de cibersegurança para os cidadãos e os profissionais de saúde europeus.
1.2.4.6O CESE recomenda que a Comissão exerça plenamente o seu papel de apoio e coordenação, utilizando os fundos da UE para promover campanhas de sensibilização em matéria de cibersegurança sobre os riscos de ameaças e a prevenção no local de trabalho através de recomendações de ciber-higiene.
2.Observações gerais
2.1Em 2020, a ENISA comunicou um aumento combinado de 47% nos ciberataques em toda a UE em comparação com o ano anterior. Em França, o número de casos declarados duplicou em 2021. A ENISA reconheceu as necessidades de cibersegurança do setor dos cuidados de saúde e congratulou-se com o plano de ação da Comissão Europeia de janeiro de 2025 (que visa melhorar continuamente a ciber-resiliência a partir de 2025), a fim de proporcionar aos hospitais, clínicas e prestadores de cuidados de saúde um elevado nível de proteção contra qualquer ataque aos sistemas de tecnologias de informação (TI) ou de tecnologias operacionais (TO) destas entidades.
2.2A proteção das pessoas, das empresas e das instituições contra os riscos cibernéticos é uma prioridade fundamental da Declaração Europeia sobre os Direitos e Princípios Digitais para a Década Digital
. O CESE salienta a necessidade de uma política de cibersegurança da UE abrangente e transversal, a fim de salvaguardar a saúde pública e o direito aos cuidados de saúde. O CESE incentiva a Comissão a adotar uma abordagem da cibersegurança baseada nos direitos e assente nos valores (digitais e constitucionais) da UE e a reconhecer a cibersegurança como um direito à semelhança de outros direitos fundamentais, como a privacidade e a proteção de dados e a segurança física. O CESE desaconselha que se limite a cibersegurança à proteção das infraestruturas, dos sistemas e dos dados.
2.3Os sistemas robóticos e as máquinas digitais desempenham um papel cada vez mais importante na cirurgia, na monitorização da saúde dos doentes e nos testes médicos, podendo estes sistemas digitais causar danos físicos e mentais reais se não estiverem protegidos (contra, por exemplo, a descalibração mal-intencionada de robôs cirúrgicos e a instalação de ativadores de backdoor em sistemas de diagnóstico de IA). O CESE preconiza uma atenção muito maior aos sistemas legados e à intersecção das TI com as TO, uma vez que a complexidade resulta de lacunas nos processos normalizados e na sensibilização. A superação dos desafios suscitados por esta intersecção específica exige uma abordagem multidisciplinar (incluindo a engenharia da segurança), conhecimentos especializados e a capacidade de reconhecer e testar novas ameaças utilizando ferramentas e metodologias inovadoras. O plano de ação deve também analisar os sistemas «ciberfísicos» e os esforços envidados nesta matéria.
2.4O CESE insta a Comissão a definir claramente os prestadores de cuidados de saúde visados pelo plano de ação. O plano de ação refere que o setor da saúde inclui um vasto número de entidades e intervenientes, nomeadamente hospitais, clínicas, residências assistidas, centros de reabilitação e vários prestadores de cuidados de saúde, juntamente com a indústria farmacêutica, médica e biotecnológica, fabricantes de dispositivos médicos e instituições de investigação no domínio da saúde. O CESE solicita à Comissão que especifique se esta lista corresponde cabalmente àquilo que considera ser o setor da saúde e chama a atenção para os alvos no setor da saúde identificados pela ENISA. A Comissão deve ter em conta a interação indireta com o ecossistema mais vasto, nomeadamente o bem-estar comercial (por exemplo, monitores de aptidão física, programas para perder peso, etc.).
2.5A Comissão Europeia coloca uma forte ênfase na cooperação com empresas tecnológicas e organizações privadas com fins lucrativos na prestação de serviços de cibersegurança, a fim de assegurar a proteção dos hospitais e do setor dos cuidados de saúde. Embora a colaboração com o setor com fins lucrativos possa proporcionar benefícios valiosos para reforçar a cibersegurança, é necessário agir com prudência. As instituições de saúde devem estar cientes dos potenciais conflitos de interesses que podem surgir quando empresas comerciais são envolvidas na gestão de dados sensíveis de doentes. Existe o risco de os interesses comerciais destas empresas, como a maximização dos lucros, prevalecerem sobre a proteção da privacidade dos doentes e a integridade dos dados médicos. É de salientar que as empresas europeias têm de respeitar a legislação europeia que protege a privacidade dos doentes e a integridade dos dados médicos (RGPD).
2.6O CESE preconiza a incorporação de normas éticas e de cláusulas de proteção da privacidade no plano de ação europeu.
2.7O CESE incentiva a Comissão a reforçar o mandato das equipas de resposta a incidentes de segurança informática (CSIRT), melhorando a coordenação, racionalizando a comunicação e reforçando a cooperação transfronteiriça entre os hospitais europeus para uma partilha de informações sobre ameaças mais eficaz. O reforço da segurança informática nos cuidados de saúde através da conjugação e profissionalização de recursos especializados em cibersegurança reforçará a ciber-resiliência e a preparação globais do setor contra a ameaça em evolução. O reforço da segurança das TO e o aumento da resiliência dos sistemas médicos através da engenharia integrada da segurança e da proteção também elevarão o limiar a partir do qual os ciberataques são suscetíveis de ocorrer.
2.8Um conjunto de ferramentas de cibersegurança poderia proporcionar um leque abrangente de recursos, boas práticas e ferramentas para ajudar as organizações de cuidados de saúde, tanto grandes como pequenas, a proteger-se contra as ameaças digitais. A aplicação de simulações e de cenários do mundo real pode melhorar a aprendizagem e ajudar o pessoal a compreender as implicações práticas das violações da cibersegurança.
2.9O número de pessoas autorizadas a aceder a redes externas na Web e a introduzir dados do exterior deve ser limitado. É sabido que os seres humanos podem constituir o fator mais frágil na proteção de um sistema informático. Por conseguinte, devem ser implantados sistemas centrados no ser humano (potencialmente alimentados pela IA) para detetar ataques e proporcionar formação sobre a forma de minimizar as ameaças internas. Idealmente, o posto ou os postos de trabalho devem ser desligados da rede hospitalar para que o ataque afete apenas o computador pessoal em causa e se evite tanto quanto possível a duplicação de dados. Após a verificação dos dados para assegurar que não foram infetados por vírus, o computador é desligado da rede externa e ligado à rede hospitalar para transmissão de dados. Os computadores pessoais são atualizados todas as manhãs com os dados diários dos doentes.
2.10 Se os funcionários necessitarem de aceder à Internet não segura, deverão fazê-lo através de computadores pessoais não ligados à rede hospitalar e sem a possibilidade de salvaguarda ou transferência de dados.
2.11É necessário prever possíveis ameaças internas num hospital (embora estas se limitem a 2% dos incidentes), utilizando uma abordagem baseada no risco para determinar o nível de vigilância mais adequado, seja através de redes informáticas, vigilância física, como câmaras, ou através de pontos de controlo de acesso, por exemplo, através das senhas dos funcionários. Importa evitar que o diálogo social nos hospitais e no setor da saúde evolua da vigilância para a intrusão.
2.12Para o CESE, é imperativo que os hospitais da UE disponham de planos de gestão de incidentes e de continuidade das atividades, incluindo procedimentos de resposta a incidentes, soluções de comunicação de reserva e sistemas de cópia de segurança desconectados, para poderem responder rápida e eficazmente em caso de ataque. Os testes de esforço frequentes, que simulam cenários de ciberataque num ambiente virtual permitindo medir o grau e o nível de impacto de um ciberataque e verificar as capacidades de resposta de um estabelecimento de cuidados de saúde, constituem uma parte vital dos planos de gestão de incidentes e de continuidade das atividades. Promover o envolvimento adaptado dos trabalhadores e dotá-los de competências concretas a este respeito reveste-se de importância crucial.
2.13O CESE propõe o desenvolvimento de um simulador digital com cenários de ataque e de resposta fáceis de aplicar e utilizar. Este simulador poderia ser utilizado como instrumento de demonstração para eventos de sensibilização, informação e educação.
2.14O CESE propõe que se realizem exercícios de simulação de ataques com frequência e se verifique a forma como o plano de restabelecimento do serviço está a ser aplicado, a fim de melhorar os procedimentos no exercício orçamental seguinte, quer aumentando o número de pessoas com formação nesses planos de restabelecimento, quer estabelecendo instruções mais simples e mais explícitas, por exemplo.
2.15Caso um ataque não tenha sido detetado e tenha causado danos graves aos serviços devido à sua sofisticação, será necessário aplicar um modo degradado com um regresso temporário ao modo manual, de modo a não bloquear as operações no início de um ataque. As pessoas devem receber formação para saberem como organizar o serviço em papel até que o serviço informático seja restabelecido. As ações empreendidas serão introduzidas manualmente a posteriori.
2.16Qualquer equipamento com um microprocessador (e/ou documentação associada ao equipamento) instalado num hospital deve ser previamente verificado pelo responsável interno pela gestão dos riscos de cibersegurança, a fim de assegurar que não existam vírus previamente implantados. O CESE reconhece que nem todos os hospitais disporão de recursos para financiar um departamento individual interno dedicado à cibersegurança. O CESE propõe que o responsável pela gestão dos riscos (de forma semelhante a um responsável pelo tratamento de dados nos termos do RGPD) possa ser responsável pela aprovação, apoiado pelos fornecedores das tecnologias, pelo departamento informático e/ou por membros desta iniciativa.
2.17O CESE solicita que se preste atenção às pequenas unidades médicas com um serviço informático limitado e se clarifique o papel da ENISA no que diz respeito ao fornecimento de software ou servidores seguros; incentiva os hospitais pioneiros a trocarem informações com as entidades de menor dimensão e a contribuírem para a aprendizagem destas entidades em matéria de cibersegurança.
2.18O plano de ação europeu poderia incorporar a utilização de entusiastas da informática e organizações sem fins lucrativos como prática corrente, facilitando colaborações formais ou programas que permitam às instituições de prestação de cuidados de saúde tirar partido destes conhecimentos especializados obtidos externamente sem incorrer em encargos financeiros significativos. Tal contribuiria não só para reforçar a cibersegurança em geral, mas também para promover uma cultura mais vasta de colaboração e partilha de conhecimentos no setor.
2.19O CESE propõe o recurso à negociação coletiva e aos contratos coletivos, nos termos da legislação dos Estados-Membros, para assegurar uma resposta institucional coerente aos ciberataques, a proteção da privacidade e uma gestão adequada dos dados, a par da consolidação do diálogo social e da participação dos parceiros sociais no acompanhamento e no controlo dos processos relativos aos ciberataques e à privacidade dos dados para os trabalhadores e os doentes. Salienta-se a necessidade de debater, no âmbito do diálogo social, o risco de pressão psicológica induzida pelas questões de cibersegurança.
2.20A teoria «da lança e do escudo» significa que os atacantes se movimentam mais rapidamente do que os defensores e que o ritmo da inovação com fins criminosos também está a aumentar. Nos centros de ajuda, para além da recolha de informações sobre ameaças, devem também ser realizadas atividades de exploração do horizonte e de preparação para o futuro. Por exemplo, os perpetradores de ataques com software de sequestro podem não se limitar a cometer as violações de dados habituais e comprometer a integridade dos dados de forma seletiva (especialmente se o objetivo for estratégico), mesmo nos casos em que o acesso seja restabelecido.
2.21Atualmente, a cibersegurança abrange muitos mundos para além do software e da conectividade. Engloba também elementos de sistemas físicos, bem como a IA. Deve ser dada prioridade à integração dos processos de garantia e dos requisitos obrigatórios, tal como previstos no Regulamento Dispositivos Médicos (RDM) ou no Regulamento da Inteligência Artificial da UE.
2.22O CESE recomenda o armazenamento da maior quantidade possível de dados sensíveis, de preferência, em nuvens públicas europeias soberanas destinadas aos dados médicos, com um sistema de verificação dupla ou tripla para o acesso aos dados por pessoas autorizadas. Esta medida também facilita grandemente o rápido restabelecimento do serviço após uma penetração nos sistemas informáticos.
Bruxelas, 5 de junho de 2025
O Presidente da Comissão Consultiva das Mutações Industriais
Pietro Francesco De Lotto
_____________
