Raportoare : Daniela CÎMPEAN (RO-PPE), președinta Consiliului Județean Sibiu

RECOMANDĂRI POLITICE

COMITETUL EUROPEAN AL REGIUNILOR (CoR)

1.

observă că măsurile de securitate cibernetică nu țin pasul cu transformarea digitală în curs din instituțiile de asistență medicală și din furnizarea de asistență medicală, ceea ce a făcut ca sectorul asistenței medicale să devină o țintă principală a atacurilor unor actori răuvoitori;

2.

salută, în acest sens, publicarea planului de acțiune, recunoscând caracterul său actual și importanța sa în contextul intensificării atacurilor cibernetice asupra spitalelor și furnizorilor de asistență medicală europeni;

3.

avertizează că amenințările la adresa securității cibernetice au implicații geopolitice și își exprimă convingerea fermă că securitatea cibernetică în domeniul sănătății nu este doar o problemă tehnică, ci și o chestiune de securitate locală, regională, națională și europeană;

4.

avertizează că criminalitatea informatică nu a încetat să crească de la izbucnirea pandemiei de COVID-19; atacurile cibernetice lansate din străinătate și sponsorizate de diverse state nu se concentrează doar pe spionajul cibernetic și pe furtul de proprietate intelectuală, ci urmăresc și să destabilizeze societăți întregi;

5.

solicită impunerea integrării „securității cibernetice prin design” prin implementarea măsurilor proactive de securitate cibernetică încă de la începutul dezvoltării noilor tehnologii pentru utilizare în domeniul sănătății, și pledează în favoarea garantării faptului că furnizorii de servicii medicale publice achiziționează doar produse mature în ceea ce privește soluțiile de securitate cibernetică, inclusiv sisteme de backup și de urgență care garantează siguranța pacienților chiar și în cazul întreruperilor de rețea.

6.

subliniază că, în cazurile în care atacurile nu pot fi prevenite, ar putea fi pus la dispoziție un serviciu specific de răspuns rapid pentru sectorul sănătății prin intermediul rezervei UE pentru securitate cibernetică, instituită prin Regulamentul privind solidaritatea cibernetică. Responsabilitatea principală o au însă nivelul local și nivelul regional;

7.

sprijină activitatea desfășurată de Biroul regional pentru Europa al Organizației Mondiale a Sănătății (OMS/Europa) în domeniul sănătății digitale și se angajează să colaboreze cu OMS pe această temă, punând în aplicare Planul de acțiune 2025-2026, semnat în comun;

8.

salută ghidul publicat de OMS/Europa în 2025 cu privire la evaluările riscurilor în materie de securitate cibernetică și confidențialitate în domeniul sănătății digitale, care oferă un cadru pentru a ajuta țările și organizațiile să elaboreze strategii de evaluare a riscurilor care să se alinieze la nevoile, obiectivele și cerințele lor de reglementare specifice;

9.

subliniază impactul emergent al inteligenței artificiale (IA) atât ca vector de amenințare (phishing avansat, deepfakes), cât și ca instrument potențial pentru apărare (detectare de anomalii, răspuns automat), și propune ca Planul de acțiune să abordeze ambele fațete ale IA;

Cadrul de reglementare

10.

subliniază că planul de acțiune se bazează pe cadrul legislativ existent în domeniul securității cibernetice – în special Directiva NIS 2, Regulamentul privind solidaritatea cibernetică, Regulamentul privind securitatea cibernetică, Regulamentul privind dispozitivele medicale și Regulamentul privind reziliența cibernetică; remarcă, de asemenea, că planul de acțiune este coerent cu proiectul de recomandare a Consiliului privind Planul de acțiune al UE pentru gestionarea crizelor în materie de securitate cibernetică;

11.

avertizează că acest peisaj, aflat în continuă schimbare, prezintă complexități și suprapuneri între mecanismele de certificare din cadrul Regulamentului privind solidaritatea cibernetică, al Regulamentului privind dispozitivele medicale și al Regulamentului privind inteligența artificială. Această situație poate duce la fragmentare și la arbitraj de reglementare, în special în ceea ce privește sistemele de participare voluntară;

12.

sprijină obiectivele proiectului CYMEDSEC (1) finanțat de UE de a consolida securitatea cibernetică în sistemele de sănătate printr-o evaluare cuprinzătoare a proiectării dispozitivelor și a infrastructurii de rețea, a securității cibernetice și a cadrelor de reglementare;

13.

propune să se analizeze dacă corelarea cerințelor legislației specifice de aplicare a Directivei NIS 2 cu cele ale legislației de aplicare a Regulamentului (UE) 2016/679 privind protecția datelor cu caracter personal ar putea fi benefice pentru reducerea redundanței în implementarea birocratică a măsurilor specifice;

14.

atrage atenția că apariția treptată de reglementări specifice duce la suprapuneri greu de urmărit și de implementat corespunzător, necesitând corelare și eliminarea redundanțelor chiar din momentul inițierii unei reglementări noi;

Directiva privind reziliența entităților critice

15.

subliniază că Directiva privind reziliența entităților critice, care recunoaște sănătatea ca „serviciu esențial pentru societate și economie” și consolidează reziliența infrastructurii critice și a entităților critice la o serie de amenințări, inclusiv criminalitatea informatică, a intrat în vigoare la 18 octombrie 2024;

16.

invită cele 24 de state membre care au primit o notificare oficială la sfârșitul lunii noiembrie 2024 să transpună imediat Directiva privind reziliența entităților critice în legislația lor națională;

17.

invită Comisia Europeană să continue procedurile de constatare a neîndeplinirii obligațiilor în cazul în care nu s-a primit niciun răspuns satisfăcător în termenul stabilit; consideră că această chestiune este prea importantă pentru securitatea europeană, națională, regională și locală pentru a fi tratată cu superficialitate;

18.

reamintește statelor membre că, în temeiul Directivei privind reziliența entităților critice, au obligația de a identifica entitățile lor critice pentru fiecare sector (inclusiv pentru cel al sănătății) până la 17 iulie 2026; face apel la statele membre să accelereze desemnarea entităților critice din sectorul sănătății și să le ofere acestora sprijin concret în consolidarea capacităților lor;

19.

este preocupat de faptul că marea majoritate a spitalelor din UE nu au efectuat niciodată o evaluare a riscurilor în materie de securitate, astfel cum a raportat DG CONNECT a Comisiei Europene;

20.

este, de asemenea, preocupat de faptul că doar un sfert dintre organizațiile intervievate în cadrul pregătirii raportului ENISA din 2023 dispuneau de un program specific de apărare împotriva atacurilor de tip ransomware;

21.

recunoaște că, în ultimii 5-6 ani, standardele în materie de reglementare cibernetică au evoluat, în special prin revizuirea Directivei privind securitatea rețelelor și a sistemelor informatice (NIS 2) și prin adoptarea Regulamentului privind reziliența cibernetică, a Regulamentului privind reziliența operațională digitală, a Directivei privind reziliența entităților critice și a Regulamentului privind inteligența artificială; salută intenția Comisiei de a-și concentra atenția asupra spitalelor și furnizorilor de asistență medicală, astfel încât aceștia să-și îmbunătățească reziliența cibernetică, și reamintește că este important să se asigure coerența și consecvența între diferitele instrumente, reducându-se în același timp redundanța;

22.

sugerează ca statele membre să introducă exerciții periodice, coordonate de guvern, pentru abordarea incidentelor cibernetice, în care să fie implicați atât actori naționali, cât și regionali din domeniul sănătății;

Directiva NIS 2

23.

subliniază că Directiva NIS 2 a devenit aplicabilă în mod oficial începând din octombrie 2024, din aceasta decurgând obligația ca spitalele, furnizorii de servicii medicale, producătorii de dispozitive medicale și companiile farmaceutice să adopte măsuri solide de securitate cibernetică;

24.

își exprimă îngrijorarea cu privire la faptul că doar șase state membre au transpus integral sau parțial directiva în legislația națională în termenul stabilit;

25.

recunoaște că punerea în aplicare prezintă provocări semnificative, în special pentru sectorul asistenței medicale, din cauza suprapunerilor cu reglementările existente, cum ar fi Regulamentul privind dispozitivele medicale, spațiul european al datelor privind sănătatea și Regulamentul privind reziliența cibernetică;

Rolul autorităților locale și regionale

26.

solicită ca Comisia să țină seama de faptul că gestionarea sistemelor de sănătate, în special a spitalelor, este descentralizată într-o măsură mai mare sau mai mică în 19 din cele 27 de state membre; deplânge faptul că în comunicare nu se face referire la nivelul regional, și nici la cel local; consideră că această omisiune este îngrijorătoare, deoarece ea implică ignorarea responsabilității furnizorilor de asistență medicală și a sarcinilor de gestionare care le revin acestora în două treimi din statele membre ale UE;

27.

solicită statelor membre să implice pe deplin regiunile lor în elaborarea și punerea în aplicare a oricăror strategii de securitate cibernetică; subliniază că guvernele regionale conduc, adesea, inițiative în domeniul sănătății digitale, iar expertiza lor în ceea ce privește implementarea soluțiilor de e-sănătate ar putea fi vitală pentru introducerea cu succes a unor noi protocoale și măsuri de securitate cibernetică;

28.

subliniază că, dincolo de chestiunea gestionării descentralizate, sistemele de sănătate din întreaga Europă sunt foarte diferite și includ o gamă largă de organizații, de la organizații complet publice la organizații complet private, inclusiv parteneriate public-privat hibride; avertizează, în acest sens, că entitățile publice se confruntă adesea cu restricții bugetare și cu plafoane salariale legale, ceea ce le face mai puțin atractive ca angajatori pentru specialiștii în domeniul cibernetic;

29.

invită statele membre să creeze rețele de centre regionale de sprijin în materie de securitate cibernetică pentru spitale și furnizorii de asistență medicală, pentru a conecta mai bine realitățile locale, naționale și europene, punând un accent deosebit pe finanțarea și atragerea talentelor necesare pentru dezvoltarea unor astfel de centre;

30.

recomandă implicarea autorităților locale și regionale în elaborarea planurilor naționale de acțiune axate pe securitatea cibernetică în sectorul sănătății;

Costurile și finanțarea

31.

susține că cheltuielile în materie de securitate cibernetică vor trebui să fie restricționate și normalizate în mod sistematic ca parte a planificării bugetare; spitalele și furnizorii de servicii medicale nu pot cumpăra, în mod aleatoriu, „gadgeturi” de protecție deconectate; dimpotrivă, protecția sistemelor tehnologice operaționale vitale din domeniul asistenței medicale trebuie evaluată, finanțată și pusă în aplicare în mod regulat;

32.

atrage atenția asupra provocării cu care se confruntă regiunile mai mici în gestionarea și finanțarea sistemelor de informații și de securitate în domeniul sănătății;

33.

este consternat de faptul că costul mediu al scurgerilor de date cauzate de atacurile de tip ransomware se ridică la 8 milioane EUR, adică aproape dublul costurilor înregistrate în alte sectoare;

34.

solicită o mai mare claritate în ceea ce privește finanțarea care ar trebui să sprijine obiectivele ambițioase stabilite în planul de acțiune; solicită, în special, informații detaliate cu privire la modul în care autoritățile locale și regionale pot finanța transformarea digitală relevantă în domeniul asistenței medicale;

35.

se așteaptă ca Comisia să clarifice ce acțiuni ar trebui finanțate de statele membre și ce acțiuni ar trebui finanțate de UE; în ceea ce o privește pe aceasta din urmă, CoR dorește să fie informat cu privire la modul în care programele „UE pentru sănătate” și „Europa digitală” vor interacționa în practică;

36.

Avertizează că finanțarea trebuie să vizeze, dincolo de investiția în tehnologie, și investiția în formarea unei culturi organizaționale axate pe securitate, la toate nivelurile;

37.

regretă reducerile drastice ale bugetului destinat programului „UE pentru sănătate” în 2024 și invită statele membre să protejeze acest buget de reduceri viitoare; își reiterează poziția potrivit căreia sănătatea nu este o cheltuială, ci o investiție în bunăstarea și reziliența individuale și colective;

Reziliența cibernetică în lanțurile de aprovizionare din domeniul asistenței medicale

38.

subliniază că numeroase spitale și numeroși furnizori de servicii medicale se bazează pe dispozitive medicale și software învechite, care nu pot face față atacurilor cibernetice moderne; recunoaște că, în multe locuri, sistemele învechite sunt indispensabile pentru operațiunile de asistență medicală, dar riscă să devină un factor de vulnerabilitate semnificativă atunci când nu mai sunt întreținute sau actualizate;

39.

solicită o finanțare susținută și specifică, atât din surse naționale, cât și din partea UE, pentru ca spitalele să elimine tehnologiile învechite neîntreținute și să treacă la soluții de tip cloud mai sigure și scalabile;

40.

recomandă alinierea proceselor de achiziții publice la standardele de securitate și solicită orientări specifice care să detalieze modul în care respectarea indicilor de referință în materie de securitate cibernetică poate deveni o condiție prealabilă pentru participarea la procedurile de achiziții publice;

Forța de muncă din domeniul securității cibernetice

41.

reiterează mesajele-cheie din avizul CoR privind deficitul de forță de muncă din domeniul sănătății și subliniază că sistemele de sănătate se confruntă cu deficite acute și pe termen lung fără precedent de personal-cheie; este preocupat de faptul că echilibrarea nevoilor de resurse umane va deveni și mai complexă, având în vedere nevoia tot mai mare de a angaja specialiști IT și experți în materie de securitate cibernetică, pe lângă personalul medical de bază;

42.

invită autoritățile publice, mediul academic, instituțiile EFP și ONG-urile să lanseze campanii publice pentru a elimina stereotipurile cu privire la carierele în domeniul securității cibernetice, pentru a atrage mai multe femei în această profesie și pentru a evidenția caracterul versatil al unei cariere în securitatea cibernetică în domeniul asistenței medicale;

43.

solicită un cadru european de certificare a formării, care să consolideze portabilitatea și recunoașterea securității cibernetice în cadrul competențelor în materie de sănătate;

44.

recunoaște că eroarea umană constituie un factor semnificativ în cazurile de încălcare a securității datelor, persoanele devenind, fără să vrea, victime ale practicilor de scam și phishing, configurându-și greșit setările de securitate sau nerespectând protocoalele stabilite; solicită să se acorde prioritate formării și sensibilizării cu privire la riscuri în întregul sector al sănătății; își exprimă convingerea că securitatea cibernetică nu poate să se limiteze la serviciul informatic, ci trebuie să fie o responsabilitate comună;

45.

Recomandă introducerea unei formări obligatorii care să urmărească sensibilizarea cu privire la securitatea cibernetică, concomitent cu măsuri de stimulare profesională, în funcție de rezultatele obținute, pentru întreg personalul din sistemul de sănătate;

Elementele specifice ale planului de acțiune

46.

salută ideea de bonuri valorice pentru securitate cibernetică și invită statele membre să introducă această măsură pentru a oferi asistență financiară microîntreprinderilor, spitalelor mici și mijlocii și furnizorilor de servicii medicale;

47.

subliniază că planul prevede ca statele membre să solicite entităților care intră sub incidența Directivei NIS 2, inclusiv organizațiilor din domeniul sănătății, să raporteze plățile de răscumpărare atunci când raportează incidentele semnificative autorității competente în temeiul Directivei NIS 2; este de acord că o astfel de raportare ar îmbunătăți culegerea datelor și evaluarea eficacității măsurilor luate împotriva atacurilor de tip ransomware; solicită, însă, mai multe detalii cu privire la modul în care această raportare ar fi realizată, în practică, având în vedere că nu este obligatorie în temeiul Directivei NIS 2;

48.

ia act de faptul că planul de acțiune solicită producătorilor de dispozitive medicale și de dispozitive pentru diagnostic in vitro să raporteze în mod voluntar vulnerabilitățile exploatate activ sau incidentele cibernetice grave care au un impact asupra securității produselor lor; subliniază că acești producători nu intră în domeniul de aplicare al Regulamentului privind reziliența cibernetică și recomandă ca evaluarea în curs a reglementărilor să abordeze chestiunea unei mai bune coerențe între cadrele de reglementare;

49.

sprijină ideea creării unei rețele europene a directorilor responsabili cu securitatea informațiilor (Chief Information Security Officers – CISO) în domeniul sănătății, astfel încât experții să poată face schimb de bune practici, inclusiv de strategii de păstrare a talentelor și de soluții pentru atragerea profesioniștilor din domeniul securității cibernetice în sectorul sănătății; solicită Comisiei și statelor membre să se asigure că experții desemnați de autoritățile regionale sunt, de asemenea, invitați să se alăture rețelei;

50.

salută înființarea, în cadrul ENISA, a Centrului european de sprijin pentru securitate cibernetică destinat spitalelor și furnizorilor de servicii medicale; ia act de numărul semnificativ de sarcini pe care urmează să le îndeplinească acest nou centru de sprijin și invită Comisia să furnizeze informații suplimentare cu privire la componența și finanțarea sa;

51.

invită Comisia să implice autoritățile regionale și locale în dezvoltarea unei colecții „ușor de utilizat și de accesat” a tuturor instrumentelor disponibile pentru pregătire, prevenire, detectare și răspuns; această colecție, creat de centrul de sprijin, ar trebui să includă instrumentele și politicile de la toate nivelurile de guvernanță;

Încrederea și confidențialitatea

52.

susține că securitatea și viața privată sunt interconectate: măsurile de securitate protejează confidențialitatea, integritatea și disponibilitatea datelor, care sunt fundamentale pentru viața privată. În același timp, reglementările privind respectarea vieții private impun adesea controale de securitate specifice pentru a proteja datele cu caracter personal. Protejarea vieții private consolidează încrederea pacienților și sensibilizarea cu privire la securitatea cibernetică, garantând că informațiile sensibile privind sănătatea sunt tratate cu atenție;

53.

atenția asupra Raportului privind situația securității cibernetice în Uniune, elaborat de ENISA din 2024, și asupra constatărilor sale potrivit cărora maturitatea capacităților de securitate cibernetică ale sectorului sănătății din UE este „moderată”, cu diferențe mari în ceea ce privește nivelul de maturitate a securității cibernetice între entitățile din domeniul sănătății din întreaga Europă; subliniază că datele pacienților trebuie protejate pentru a asigura încrederea continuă a acestora în spațiul european al datelor privind sănătatea;

54.

consideră că implementarea spațiului european al datelor privind sănătatea necesită o atenție sporită în ceea ce privește securizarea infrastructurilor naționale și transfrontaliere de interconectare (de exemplu, punctele de contact naționale pentru e-sănătate), care devin puncte critice pentru protejarea datelor pe scară largă; consideră că ar trebui elaborate măsuri specifice pentru aceste infrastructuri.

---

(1)   Pagina web a CYMEDSEC.