Poročevalka : Daniela CÎMPEAN (RO/EPP), predsednica okrožnega sveta, Sibiu

POLITIČNA PRIPOROČILA

EVROPSKI ODBOR REGIJ (OR):

1.

ugotavlja, da prizadevanja za kibernetsko varnost v zdravstvenih ustanovah in storitvah zdravstvenega varstva ne sledijo digitalni preobrazbi, ki je v teku, zaradi česar zdravstveno varstvo postaja glavna tarča zlonamernih akterjev;

2.

v zvezi s tem pozdravlja akcijski načrt, ki prihaja ob pravem času, saj je izrednega pomena zaradi vse pogostejših kibernetskih napadov na evropske bolnišnice in izvajalce zdravstvenih dejavnosti;

3.

svari, da imajo kibernetske grožnje geopolitične posledice, in je trdno prepričan, da kibernetska varnost v zdravstvu ni le tehnično vprašanje, temveč tudi vprašanje lokalne, regionalne, nacionalne in evropske varnosti;

4.

opozarja, da se porast kibernetske kriminalitete po izbruhu pandemije COVID-19 ne upočasnjuje. Kibernetski napadi, ki se izvajajo iz tujine in s podporo države, niso usmerjeni le v kibernetsko vohunjenje in krajo intelektualne lastnine, temveč tudi v destabilizacijo celotnih družb;

5.

poziva, naj postane vgrajena kibernetska varnost obvezna, in sicer z izvajanjem proaktivnih ukrepov za kibernetsko varnost že od same zasnove novih tehnologij, ki se bodo uporabljale v zdravstvu, ter se odločno zavzema za to, da bi izvajalci javnih zdravstvenih storitev kupovali le tehnično dovršene izdelke z rešitvami za kibernetsko varnost, vključno z rezervnimi sistemi in sistemi za izredne razmere, ki bodo jamčili varnost pacientov tudi v primeru motenj v omrežju;

6.

poudarja, da bi v primerih, ko napadov ni mogoče preprečiti, lahko bila na voljo posebna služba za hitro odzivanje za zdravstveni sektor v okviru kibernetskovarnostne rezerve EU, vzpostavljene z aktom o kibernetski solidarnosti. Vendar leži primarna odgovornost na lokalni in regionalni ravni;

7.

podpira delo Svetovne zdravstvene organizacije (SZO/Evropa) na področju digitalnega zdravja in se zavezuje, da bo pri tem z njo sodeloval ter uresničil skupaj podpisani akcijski načrt za obdobje 2025–2026;

8.

pozdravlja vodnik SZO za Evropo o ocenah tveganja kibernetske varnosti in zasebnosti v digitalnem zdravju iz leta 2025, ki zagotavlja okvir za pomoč državam in organizacijam pri razvoju strategij za oceno tveganja, ki ustrezajo njihovim posebnim potrebam, ciljem in regulativnim zahtevam;

9.

opozarja, da ima umetna inteligenca vse večji vpliv, na eni strani kot dejavnik groženj (napredno ribarjenje in globoki ponaredki), na drugi strani pa kot potencialen obrambni instrument (odkrivanje anomalij in samodejni odzivi), ter predlaga, naj se v akcijskem načrtu obravnavata oba vidika umetne inteligence;

Regulativni okvir

10.

poudarja, da akcijski načrt temelji na veljavnem zakonodajnem okviru na področju kibernetske varnosti, zlasti na direktivi NIS 2, aktu o kibernetski solidarnosti, aktu o kibernetski varnosti, uredbi o medicinskih pripomočkih in aktu o kibernetski odpornosti; poleg tega ugotavlja, da je akcijski načrt povezan z osnutkom priporočila Sveta o načrtu Unije za krizno upravljanje kibernetske varnosti;

11.

svari, da v razvijajočem se okolju prihaja do zapletenosti in prekrivanja mehanizmov certificiranja iz akta o kibernetski solidarnosti, uredbe o medicinskih pripomočkih in akta o umetni inteligenci, kar lahko privede do razdrobljenosti in nadzorne arbitraže, zlasti pri sistemih prostovoljnega sodelovanja;

12.

podpira cilje projekta CYMDSEC, ki ga financira EU (1) in je namenjen izboljšanju kibernetske varnosti v zdravstvenih sistemih s celovito oceno zasnove naprav in omrežne infrastrukture, kibernetske varnosti in regulativnih okvirov;

13.

predlaga, naj se preuči, ali bi lahko s povezovanjem zahtev iz predpisov za uporabo direktive NIS 2 s tistimi iz Uredbe (EU) 2016/679 o varstvu osebnih podatkov zmanjšali upravno prekrivanje pri izvajanju posebnih ukrepov;

14.

opozarja, da postopno sprejemanje specifičnih predpisov povzroča prekrivanje zahtev, ki jih je težko spremljati in ustrezno upoštevati. Za povezovanje zahtev in preprečevanje prekrivanja je treba poskrbeti že od samega začetka priprave novih predpisov;

Direktiva o odpornosti kritičnih subjektov

15.

opozarja, da se je 18. oktobra 2024 začela uporabljati direktiva o odpornosti kritičnih subjektov, v kateri je zdravje priznano kot ključna storitev za družbo in gospodarstvo ter s katero se krepi odpornost kritične infrastrukture in kritičnih subjektov proti različnim grožnjam, med njimi kibernetski kriminaliteti;

16.

poziva 24 držav članic, ki so konec novembra 2024 prejele uradni opomin, naj nemudoma prenesejo direktivo o odpornosti kritičnih subjektov v svojo nacionalno zakonodajo;

17.

poziva Evropsko komisijo, naj začne postopek za ugotavljanje kršitev, če v določenem roku ne bo prejela zadovoljivega odgovora; meni, da je treba to zadevo resno obravnavati, saj je izjemno pomembna za evropsko, nacionalno, regionalno in lokalno varnost;

18.

opozarja države članice, da morajo do 17. julija 2026 identificirati svoje kritične subjekte za vsak sektor (vključno z zdravstvom) v skladu z direktivo o odpornosti kritičnih subjektov; ob tem države članice poziva, naj pospešijo imenovanje kritičnih subjektov v zdravstvu in jim nudijo konkretno podporo pri krepitvi njihovih zmogljivosti;

19.

je zaskrbljen, ker glede na poročila Generalnega direktorata za komunikacijska omrežja, vsebine in tehnologijo Evropske komisije velika večina bolnišnic v EU še nikoli ni opravila ocene varnostnega tveganja;

20.

prav tako je zaskrbljen, da ima le četrtina organizacij, ki so sodelovale v raziskavi pri pripravi poročila ENISA 2023, poseben program za obrambo pred izsiljevalskim programjem;

21.

priznava, da so bili v zadnjih 5–6 letih vzpostavljeni standardi kibernetske ureditve s posodobljeno direktivo o varnosti omrežij in informacijskih sistemov (NIS 2), aktom o kibernetski odpornosti, aktom o digitalni operativni odpornosti (DORA), direktivo o odpornosti kritičnih subjektov in aktom o umetni inteligenci; pozdravlja namero Komisije, da bo namenila več pozornosti izboljšanju kibernetske odpornosti bolnišnic in zdravstvenih ustanov, ter opozarja, da je treba poskrbeti za skladnost in doslednost med različnimi instrumenti, hkrati pa zmanjšati prekrivanje med njimi;

22.

predlaga, naj države članice uvedejo redne vaje v zvezi s kibernetskimi incidenti, ki bodo usklajevane na vladni ravni in bodo vključevale nacionalne in regionalne akterje v zdravstvu;

Direktiva NIS 2

23.

opozarja, da se od oktobra 2024 uradno uporablja direktiva NIS 2, ki določa, da morajo bolnišnice, izvajalci zdravstvenih dejavnosti, proizvajalci medicinskih pripomočkov in farmacevtska podjetja sprejeti stroge ukrepe za kibernetsko varnost;

24.

izraža zaskrbljenost, ker je le šest držav članic v roku v celoti ali delno preneslo direktivo v nacionalno zakonodajo;

25.

priznava, da je izvajanje zaradi prekrivanja z veljavnimi predpisi, kot so uredba o medicinskih pripomočkih, evropski zdravstveni podatkovni prostor in akt o kibernetski odpornosti, velik izziv, zlasti za zdravstveni sektor;

Vloga lokalnih in regionalnih oblasti

26.

poziva Komisijo, naj upošteva, da je v 19 od 27 držav članic upravljanje zdravstvenih sistemov, zlasti bolnišnic, bolj ali manj decentralizirano; izraža razočaranje, ker v sporočilu nista navedeni regionalna in lokalna raven; meni, da je ta opustitev zaskrbljujoča, saj se ne upošteva dejansko lastništvo in upravljanje zdravstvenih ustanov v dveh tretjinah držav članic EU;

27.

poziva države članice, naj svoje regije v celoti vključijo v oblikovanje in izvajanje vseh strategij kibernetske varnosti; poudarja, da regionalne oblasti pogosto prevzamejo vodilno vlogo pri pobudah na področju digitalnega zdravja in da je njihovo strokovno znanje pri uvajanju rešitev e-zdravja lahko ključno za uspešno uvedbo novih protokolov in ukrepov za kibernetsko varnost;

28.

poudarja, da so zdravstveni sistemi v Evropi poleg vprašanja decentraliziranega upravljanja zelo različni in vključujejo različne organizacije, od popolnoma javnih do popolnoma zasebnih, vključno s hibridnimi javno-zasebnimi partnerstvi; v zvezi s tem opozarja, da za javne subjekte pogosto veljajo proračunske omejitve in zakonsko določene zgornje meje plač, zaradi česar so kot delodajalci manj privlačni za kibernetske strokovnjake;

29.

poziva države članice, naj vzpostavijo mreže regionalnih podpornih centrov za kibernetsko varnost za bolnišnice in izvajalce zdravstvenih dejavnosti ter tako bolje povežejo dogajanje na lokalni, nacionalni in evropski ravni, pri tem pa posebno pozornost namenijo financiranju omenjenih centrov in privabljanju talentov, potrebnih za njihov razvoj;

30.

priporoča vključitev regionalnih in lokalnih oblasti v oblikovanje nacionalnih akcijskih načrtov za kibernetsko varnost v zdravstvenem sektorju;

Stroški in financiranje

31.

meni, da bo treba izdatke za kibernetsko varnost sistematično opredeliti kot namenska sredstva in jih normalizirati kot del proračunskega načrtovanja. Bolnišnice in izvajalci zdravstvenih dejavnosti ne smejo naključno kupovati nepovezanih zaščitnih pripomočkov. Namesto tega je treba redno ocenjevati, financirati in izvajati zaščito življenjsko kritičnih operativnih tehnoloških sistemov v zdravstvu;

32.

opozarja, da se manjše regije soočajo z izzivi pri upravljanju in financiranju informacijskih in varnostnih sistemov v zdravstvu;

33.

je ogorčen nad dejstvom, da povprečni stroški uhajanja podatkov zaradi napadov z izsiljevalskim programjem znašajo 8 milijonov EUR, kar je skoraj dvakrat več kot v drugih sektorjih;

34.

poziva k večji jasnosti glede financiranja, ki naj bi podprlo ambiciozne cilje iz akcijskega načrta; zahteva zlasti podrobne informacije o tem, kako lahko lokalne in regionalne oblasti financirajo ustrezno digitalno preobrazbo v zdravstvu;

35.

pričakuje, da bo Komisija pojasnila, katere ukrepe morajo financirati države članice in katere EU; v zvezi s slednjimi želi biti obveščen o tem, kako bosta v praksi delovala program EU za zdravje in program Digitalna Evropa;

36.

opozarja, da je treba poleg naložb v tehnologijo sredstva usmeriti tudi v naložbe za oblikovanje organizacijske kulture, ki bo temeljila na varnosti na vseh ravneh;

37.

obžaluje, da se je proračun EU za program EU za zdravje v letu 2024 močno zmanjšal, in poziva države članice, naj ga zaščitijo pred prihodnjimi zmanjšanji; ponavlja svoje stališče, da zdravje ni izdatek, temveč naložba v dobrobit in odpornost posameznikov in skupnosti;

Kibernetska odpornost v dobavnih verigah v zdravstvu

38.

poudarja, da številne bolnišnice in izvajalci zdravstvenih dejavnosti uporabljajo zastarele medicinske pripomočke in programsko opremo, ki ne morejo vzdržati sodobnih kibernetskih napadov; priznava, da so starejše rešitve marsikje nepogrešljive za izvajanje zdravstvenih dejavnosti, vendar obstaja nevarnost, da bodo brez podpore in vzdrževanja postale zelo ranljive;

39.

poziva k trajnemu in namenskemu financiranju iz nacionalnih virov in virov EU, da bi bolnišnice odpravile nepodprte starejše tehnologije ter prešle na varnejše in bolj nadgradljive rešitve v oblaku;

40.

priporoča uskladitev postopkov javnega naročanja z varnostnimi standardi in poziva k oblikovanju posebnih smernic, v katerih bo podrobno opisano, kako zagotoviti skladnost z merili kibernetske varnosti kot osnovni pogoj za sodelovanje na razpisih za javna naročila;

Delovna sila na področju kibernetske varnosti

41.

ponavlja temeljna sporočila iz mnenja OR o pomanjkanju delovne sile v zdravstvu in poudarja, da se zdravstveni sistemi soočajo z akutnim in dolgoročnim pomanjkanjem ključnega osebja brez primere; je zaskrbljen, da bo usklajevanje kadrovskih potreb še bolj zapleteno, ker se bo povečala potreba po zaposlovanju strokovnjakov za IT in kibernetsko varnost poleg osnovnega zdravstvenega osebja;

42.

poziva javne organe, akademske kroge, ustanove za poklicno izobraževanje in usposabljanje ter nevladne organizacije, naj začnejo javne kampanje za odpravljanje stereotipov o poklicih na področju kibernetske varnosti, da bi v ta poklic privabili več žensk in poudarili vsestranskost poklicne poti na področju kibernetske varnosti v zdravstvu;

43.

poziva k vzpostavitvi okvira za certificiranje usposabljanja po vsej EU, ki bo povečal prenosljivost in priznavanje spretnosti s področja kibernetske varnosti v zdravstvu;

44.

priznava, da je človeška napaka pomemben dejavnik pri kršitvah varnosti podatkov, saj posamezniki nehote nasedajo goljufijam z zvabljanjem, napačno konfigurirajo varnostne nastavitve ali ne upoštevajo ustaljenih protokolov; poziva, da se v celotnem zdravstvenem sektorju prednostno osredotoči na usposabljanje in ozaveščanje o tveganjih; je prepričan, da kibernetska varnost ne sme biti omejena na oddelke IT, ampak mora biti skupna odgovornost;

45.

priporoča, naj se za vse zaposlene v zdravstvenem sektorju uvede obvezno usposabljanje za ozaveščenost o kibernetski varnosti, ki bi ga spremljale spodbude, usmerjene v rezultate;

Posebni elementi akcijskega načrta

46.

pozdravlja zamisel o vavčerjih za kibernetsko varnost in poziva države članice, naj uvedejo ta ukrep, da bi zagotovile finančno pomoč mikro, malim in srednjim bolnišnicam ter izvajalcem zdravstvenih dejavnosti;

47.

poudarja, da je v načrtu predvideno, da bodo države članice od subjektov, za katere velja direktiva NIS 2, vključno z zdravstvenimi organizacijami, zahtevale, da pri poročanju o pomembnih incidentih pristojnemu organu v skladu z direktivo NIS 2 poročajo o plačilih odkupnin; se strinja, da bi tako poročanje izboljšalo zbiranje podatkov in oceno učinkovitosti ukrepov, sprejetih proti napadom z izsiljevalskim programjem; vendar poziva k več podrobnostim o tem, kako bi se to poročanje izvajalo, saj v skladu z direktivo NIS 2 to ni obvezno;

48.

ugotavlja, da so v akcijskem načrtu proizvajalci medicinskih in in vitro diagnostičnih pripomočkov vabljeni, naj prostovoljno poročajo o ranljivostih, ki so bile aktivno zlorabljene, ali resnih kibernetskih incidentih, ki so vplivali na varnost njihovih izdelkov; poudarja, da ti proizvajalci ne sodijo na področje uporabe akta o kibernetski odpornosti, in priporoča, naj se pri tekočem ocenjevanju predpisov obravnava povečanje skladnosti med regulativnimi okviri;

49.

podpira zamisel o vzpostavitvi evropske mreže vodij informacijske varnosti v zdravstvu, da bi strokovnjaki lahko izmenjevali dobre prakse, vključno s strategijami za ohranjanje talentov in rešitvami za privabljanje strokovnjakov za kibernetsko varnost v zdravstvu; poziva Komisijo in države članice, naj zagotovijo, da se bodo mreži lahko pridružili tudi strokovnjaki, ki jih bodo imenovale regionalne oblasti;

50.

pozdravlja ustanovitev evropskega podpornega centra za kibernetsko varnost za bolnišnice in izvajalce zdravstvenih dejavnosti v okviru agencije ENISA; ugotavlja, da bo nov podporni center opravljal veliko število nalog, in poziva Komisijo, naj zagotovi dodatne informacije o sestavi in financiranju tega centra;

51.

poziva Komisijo, naj regionalne in lokalne oblasti vključi v razvoj uporabniku prijaznega in lahko dostopnega repozitorija vseh razpoložljivih instrumentov za pripravljenost, preprečevanje, odkrivanje in odzivanje; repozitorij, ki ga bo vzpostavil podporni center, mora zajemati orodja in politike z vseh ravni upravljanja;

Zaupanje in zasebnost

52.

trdi, da sta varnost in zasebnost prepleteni: varnostni ukrepi varujejo zaupnost, celovitost in razpoložljivost podatkov, ki so temelj zasebnosti. Hkrati predpisi o zasebnosti pogosto določajo posebne varnostne kontrole za varstvo osebnih podatkov. Varovanje zasebnosti krepi zaupanje pacientov in ozaveščenost o kibernetski varnosti ter zagotavlja skrbno ravnanje z občutljivimi zdravstvenimi podatki;

53.

opozarja na poročilo agencije ENISA 2024 o stanju kibernetske varnosti v Uniji in njegove ugotovitve, da je kibernetskovarnostna zrelost zdravstvenega sektorja EU zmerna, med zdravstvenimi subjekti po Evropi pa obstajajo velike razlike v stopnji te zrelosti; poudarja, da je treba varovati podatke pacientov, da se ohrani njihovo zaupanje v evropski zdravstveni podatkovni prostor;

54.

meni, da bo treba pri uresničevanju evropskega zdravstvenega podatkovnega prostora več pozornosti nameniti zagotavljanju nacionalne in čezmejne povezovalne infrastrukture, kot so nacionalne kontaktne točke za e-zdravje. Ta infrastruktura postaja ključna za varstvo obsežnih podatkov, zato odbor meni, da je treba zanjo pripraviti posebne ukrepe.

---

(1)   Homepage - Cymedsec.