CCMI/244
Handlingsplan för cybersäkerhet för sjukhus
YTTRANDE
Rådgivande utskottet för industriell omvandling
Meddelande från kommissionen till Europaparlamentet, rådet, Europeiska ekonomiska och sociala kommittén samt Regionkommittén: Europeisk handlingsplan för cybersäkerhet för sjukhus och vårdgivare
(COM(2025) 10 final)
Föredragande: Alain Coheur
Medföredragande: Hervé Jeannin
|
Rådgivare
|
Joyce Loridan (för föredraganden, grupp III)
|
|
|
Hun Xhing Madeline Cheah (för medföredraganden, kategori 2)
|
|
Remiss
|
Europeiska kommissionen, 5/3/2025
|
|
Rättslig grund
|
Artikel 304 i fördraget om Europeiska unionens funktionssätt
|
|
Ansvarig sektion
|
Rådgivande utskottet för industriell omvandling
|
|
Antagande av sektionen
|
4/6/2025
|
|
Resultat av omröstningen
(för/emot/nedlagda röster)
|
25/0/0
|
|
Antagande vid plenarsessionen
|
D/M/2025
|
|
Plenarsession nr
|
…
|
|
Resultat av omröstningen
(för/emot/nedlagda röster)
|
…/…/…
|
1.Slutsatser och rekommendationer
1.1EESK ser positivt på ambitionsnivån i den europeiska handlingsplanen för cybersäkerhet för sjukhus och vårdgivare och den uppmärksamhet som tillägnas denna fråga. Sektorn har varit särskilt drabbad av fientliga aktörer. Hälsan är en privat angelägenhet och organiseras lokalt i medlemsstater och regioner. Trots detta bör cybersäkerhet prioriteras av kommissionen för att värna medborgarnas hälsa, det europeiska hälsodataområdet och den omfattande hälso- och sjukvårdssektorn i medlemsstaterna, som inbegriper olika typer av hälso- och sjukvårdsenheter såsom sjukhus, räddningstjänster, läkemedelssektorn och biotekniksektorn, som i allt högre grad är kopplade till omvärlden genom telemedicin, patientportaler, plattformar och kroppsburen teknik. En bättre cybersäkerhet inom hälso- och sjukvårdssektorn innebär en bättre allmän säkerhet och resiliens och bidrar till beredskapsunionen.
1.2För att förbättra säkerhetsåtgärderna på detta område lägger kommittén fram en rad förslag som kan delas in i olika kategorier:
1.2.1Finansiella åtgärder
1.2.1.1EESK beklagar att frågan om ekonomiskt stöd till genomförandet av handlingsplanen hittills inte behandlats. Detta kan leda till ojämlikhet i den grad av skydd som patienterna får, beroende på vilka resurser hälso- och sjukvårdsinrättningar har tillgång till. EESK uppmanar kommissionen att säkerställa en tematisk koncentration för ekonomiskt stöd från sammanhållningsfonderna.
1.2.1.2EESK framhåller skillnaderna mellan de olika medlemsstaternas investeringar i cybersäkerhet, och noterar att Frankrike har för avsikt att investera över 1 miljard euro per år. Om detta extrapoleras till hela EU innebär det att det skulle behövas minst 7,5 miljarder euro per år. För att förhindra it-angrepp bör sjukhus anslå omkring 10 % av sin it-budget till cybersäkerhet. Övervakningen av investeringarnas territorialitet bör beaktas.
EESK noterar stödet på 6 miljoner euro till Europeiska unionens cybersäkerhetsbyrå (Enisa), men påpekar att denna finansiering är otillräcklig med tanke på omfattningen av vad som står på spel för sjukhusens, medborgarnas och patienternas säkerhet, vilka i händelse av ett angrepp kanske inte längre kommer att ha tillgång till diagnos eller behandling. Enisa bör uppmanas att komplettera ”Threat landscape: health sector” med en finansiell kartläggning av läget när det gäller medlemsstaternas investeringar i cybersäkerhet.
Det ekonomiska stödet till den europeiska handlingsplanen bör inriktas på investeringar i:
§förebyggande åtgärder: att säkra utrustning och sjukhusinfrastruktur för infrastruktur som omfattar 2,3 miljoner sjukhussängar i EU;
§utbildning: medvetandehöjande åtgärder och utbildning för över 10 miljoner anställda inom hälso- och sjukvården och socialtjänsten;
§sanering och återställande: åtgärder för upp till flera miljoner euro per händelse.
Enisa skulle kunna få tillgång till snabbspårslån för it-skydd och cybersäkerhetsverktyg. Dessa medel bör avsättas för hälso- och sjukvård och social omsorg, på vissa villkor.
1.2.1.3Det bör undersökas om utgifterna för cybersäkerhet för hälso- och sjukvård kan beaktas inom ramen för stabilitets- och tillväxtpaktens allmänna undantagsklausul och eventuellt betraktas som försvarsutgifter för att skydda EU-medborgarnas hälsa och kritisk hälso- och sjukvårdsinfrastruktur. De investeringar som krävs för att hälso- och sjukvårdsenheterna ska kunna säkerställa cybersäkerhet när de tillhandahåller hälso- och sjukvård kommer att vara större än i andra sektorer med tanke på risken för incidenter.
1.2.1.4Eftersom det är svårt att uppskatta de totala kostnaderna för it-brottsattacker inom EU:s hälso- och sjukvårdssektor (upp till 20 miljoner euro per attack i Frankrike) föreslår EESK att det görs investeringar för att spåra kostnader så att Europeiska kommissionen i högre grad kan skräddarsy investeringar, oavsett om det gäller särskilt brottsutsatta områden, lokala områden som behöver mer hjälp eller kunskap om vilken säkerhetsteknik och vilka utbildningskampanjer som är mest effektiva.
1.2.1.5EESK betonar den roll som medlemsstaternas dataskyddsmyndigheter spelar när det gäller att se till att sjukhus och andra hälso- och sjukvårdsenheter vidtar lämpliga säkerhetsåtgärder. Medlemsstaterna kan, i händelse av brist på förebyggande cybersäkerhetsåtgärder, spela en roll genom att utfärda böter.
1.2.2Tekniska åtgärder
1.2.2.1EESK anser att man bör
-öka medvetenheten om grundläggande metoder för digital hygien (t.ex. bra strategier för kontroll av systemåtkomst, avaktivering av USB-portar, användning av antivirus för slutpunkter, bortkoppling av oskyddade enheter, karantän för infekterade maskiner),
-investera i digitala tvillingar för sjukhus, hälso- och sjukvårdssystem eller medicintekniska produkter för att säkerställa tillförlitlighet och testning,
-förse små medicinska enheter som på grund av sin ringa storlek inte kan investera i cybersäkerhet med tekniskt stöd (t.ex. genom att tillhandahålla säkra servrar eller säkerhetstjänster från en centraliserad myndighet som Enisa), och
-investera i strategisk teknisk kapacitet (t.ex. den operativa teknikens säkerhet, kopplingen mellan säkerhet och trygghet, kriminaltekniska förberedelser, AI osv.).
1.2.3Processåtgärder
1.2.3.1EESK vill fästa uppmärksamhet på en rad försiktighetsåtgärder och förebyggande åtgärder som bör förbättra skyddsnivån i hälso- och sjukvårdssektorn och minska risken för it-angrepp:
-Att utföra lämpliga tester (motståndstestning, penetrationstestning osv.), inte bara på enhets- och leverantörsnivå, utan även når det gäller hela system (när enheterna är integrerade i hälso- och sjukvårdssystem) och på operativ nivå.
-Att utveckla kontinuitetsplaner, som uppdateras och ses över regelbundet, både internt och externt, av oberoende revisorer. Dessa planer bör också omfatta införandet av ett backup- eller säkerhetsläge för sjukhus och hälso- och sjukvårdssystem så att de kan fortsätta fungera.
-Att bevaka bästa praxis för övervakning och sanering, vilket inbegriper att säkerställa att det finns lämpliga insatsnivåer, i synnerhet decentraliserade (för varje sjukhus, vårdgivare eller hälso- och sjukvårdssystem, även i hemmet) och centraliserade (t.ex. med hjälp av nationella enheter för hantering av it-säkerhetsincidenter eller informations- och analyscentraler). Att inom ramen för lämpliga upphandlingsmetoder förvärva den dokumentation som krävs för att certifiera eller validera utrustningens cybersäkerhet (t.ex. genom att se till att den överensstämmer med cybersäkerhetsförordningarna i den allmänna dataskyddsförordningen).
1.2.3.2EESK anser att kommissionen, som en del av handlingsplanen, bör överväga certifiering av cybersäkerhetsleverantörer för att bidra till att skapa ett tillförlitligt ekosystem, och samtidigt betona den ekonomiska börda som för närvarande ligger på sjukhus och hälso- och sjukvårdsinstitutioner och därmed varna för ytterligare kostnadsökningar.
1.2.3.3Standardisering är visserligen mycket positivt, men det leder också oundvikligen till bristande resiliens om det inte införs särskilda etablerade skyddsåtgärder och motåtgärder. Planen bör integreras med andra initiativ för fysisk resiliens och cyberresiliens, däribland cyberresiliensförordningen.
1.2.4Utbildningsåtgärder
1.2.4.1Eftersom utbildning är en central pelare i handlingsplanen rekommenderar EESK kontinuerliga planer för lärande och utbildning som utarbetas tillsammans med arbetsmarknadens parter, och mekanismer för kunskapsöverföring mellan olika enheter och intressenter som är verksamma på området för att ta itu med utmaningar inom cybersäkerhet, etik, integritet och AI.
1.2.4.2När nya it-verktyg införs föreslår EESK säkerställande av ett konsekvent institutionellt svar på it-angrepp, skydd av privatlivet och korrekt hantering av data i enlighet med medlemsstaternas lagstiftning och förhandlingar med arbetsmarknadens parter om kollektivavtal.
1.2.4.3EESK uppskattar att hälso- och sjukvårdsutbildningar bör omfatta särskild cybersäkerhetsutbildning för att motverka cybersäkerhetshot. Mikromeriter är ett flexibelt och kostnadseffektivt sätt att fortbilda yrkesverksamma utan att ändra grundläggande läroplaner. De ökar hälso- och sjukvårdens resiliens och får särskild uppmärksamhet i kommissionens initiativ om en kompetensunion.
1.2.4.4 EESK anser att hanteringen av bristen på arbetskraft inom cybersäkerhet och de låga säkerhetsnivåerna inom hälso- och sjukvården måste få särskild uppmärksamhet vid översynen av EU:s digitala decennium. Strategiska investeringar i tvärvetenskaplig kompetens – cybersäkerhet, AI, kriminalteknisk beredskap och säkerhet för medicintekniska produkter – är avgörande för att hantera komplexa hot och bygga upp långsiktig resiliens.
1.2.4.5EESK konstaterar att digitaliseringen av hälsa och välbefinnande och potentiella hot om cybersäkerhetsöverträdelser kan orsaka psykiska problem hos enskilda patienter och yrkesverksamma i hälso- och sjukvårdssektorn och kräver att grundläggande cybersäkerhetsfärdigheter sprids bland EU:s medborgare och hälso- och sjukvårdspersonal.
1.2.4.6EESK rekommenderar att kommissionen fullt ut utnyttjar sin stödjande och samordnande roll genom att använda EU-medel för att främja kampanjer för riskmedvetenhet på området cybersäkerhet och förebyggande åtgärder på arbetsplatsen genom rekommendationer om ”it‑hygien”.
2.Allmänna kommentarer
2.1Under 2020 rapporterade Enisa en sammanlagd ökning på 47 % av it-angreppen i hela EU jämfört med föregående år. I Frankrike fördubblades antalet anmälda fall mellan 2020 och 2021. Enisa har erkänt hälso- och sjukvårdssektorns behov när det gäller cybersäkerhet och välkomnade Europeiska kommissionens handlingsplan från januari 2025 (med avsikt att kontinuerligt förbättra cyberresiliensen från och med 2026) för att sjukhus, vårdcentraler och vårdgivare ska uppnå en hög skyddsnivå mot angrepp på deras it- eller OT-system.
2.2Att skydda enskilda personer, företag och institutioner mot cyberrisker är en viktig prioritering i EU:s förklaring om digitala rättigheter och principer för det digitala decenniet
. EESK betonar behovet av en övergripande EU-politik för cybersäkerhet för att skydda folkhälsan och rätten till hälso- och sjukvård. EESK uppmanar kommissionen att anta en rättighetsbaserad inställning till cybersäkerhet som bygger på EU:s (digitala och konstitutionella) värderingar och att betrakta cybersäkerhet som en rättighet precis som andra grundläggande rättigheter såsom integritet, dataskydd och fysisk säkerhet. EESK avråder från att begränsa cybersäkerheten till skyddet av infrastruktur, system och data.
2.3Robotsystem och digitala maskiner spelar en växande roll vid kirurgiska ingrepp, övervakning av patienternas hälsa och medicinska tester, och kan faktiskt orsaka fysisk och psykisk skada om dessa digitala system inte skyddas (till exempel mot illvillig felkalibrering av kirurgiska robotar och bakdörrar i AI-system som används för att ställa diagnoser). EESK efterlyser ett mycket större fokus på föråldrade system och skärningspunkten mellan informationsteknik och operativ teknik, eftersom det uppstår svårigheter i luckorna i standardprocesser och medvetenhet. För att hantera utmaningarna när det gäller denna särskilda skärningspunkt krävs det ett tvärvetenskapligt förhållningssätt (som omfattar säkerhetsteknik), expertis och förmåga att identifiera och testa inför nya hot med hjälp av nya verktyg och metoder. Handlingsplanen bör också ta upp ”cyberfysiska” system och de insatser som görs för att beakta detta område.
2.4EESK uppmanar kommissionen att klargöra omfattningen av de vårdgivare som berörs av handlingsplanen. I handlingsplanen anges att hälso- och sjukvårdssektorn omfattar ett stort antal enheter och aktörer, däribland sjukhus, vårdcentraler, vårdhem, rehabiliteringscentrum och olika vårdgivare, samt läkemedelsindustrin, den medicinska industrin och bioteknikindustrin, tillverkare av medicintekniska produkter och forskningsinstitut på hälsoområdet. EESK begär att kommissionen förtydligar om detta är kommissionens uttömmande förteckning över hälso- och sjukvårdsenheter och betonar de hälsomål som fastställts av Enisa. Kommissionen måste beakta indirekt samverkan med det bredare ekosystemet, inbegripet det ”kommersiella välbefinnandet” (aktivitetsmätare, viktminskningscoacher osv.).
2.5Kommissionen lägger stor tonvikt på samarbetet med teknikföretag och privata vinstdrivande organisationer inom cybersäkerhetstjänstsektorn för att säkerställa skyddet av sjukhus och hälso- och sjukvårdssektorn. Även om samarbete med den vinstdrivande sektorn kan ge värdefulla fördelar för att stärka cybersäkerheten måste försiktighet iakttas. Hälso- och sjukvårdsinstitutioner måste vara medvetna om potentiella intressekonflikter som kan uppstå när handelsföretag deltar i hanteringen av känsliga patientdata. Det kan finnas en risk för att dessa företags affärsintressen, till exempel vinstmaximering, prioriteras framför skyddet av patienternas och de medicinska uppgifternas integritet. Vi betonar att EU-företag måste följa EU-lagstiftningen om skydd av patienternas och de medicinska uppgifternas integritet (dataskyddsförordningen).
2.6EESK skulle välkomna att etiska normer och klausuler om integritetsskydd införlivas i EU:s handlingsplan.
2.7EESK uppmuntrar kommissionen att stärka det mandat som utövas av CSIRT (enheter för hantering av it-säkerhetsincidenter) genom att förbättra samordningen, effektivisera kommunikationen och stärka det gränsöverskridande samarbetet mellan sjukhusen i EU för ett mer effektivt underrättelseutbyte när det gäller hot. Att stärka it-säkerheten inom hälso- och sjukvården genom poolning och professionalisering av expertisen om cybersäkerhet kommer att förbättra sektorns övergripande cyberresiliens och beredskap inför det föränderliga hotet. Att stärka OT-säkerheten och härda medicinska system genom integrerad säkerhets- och trygghetsteknik kommer också att höja tröskeln för vilka it-angrepp som med sannolikhet kan inträffa.
2.8En verktygslåda för cybersäkerhet skulle kunna innehålla en omfattande uppsättning resurser, bästa praxis och särskilda verktyg för att hjälpa stora och små hälso- och sjukvårdsorganisationer att skydda sig mot digitala hot. Att simulera verkliga scenarier kan förbättra lärandet och bidra till att personalen får större förståelse för de praktiska konsekvenserna av cybersäkerhetsöverträdelser.
2.9Det antal personer som har åtkomst till externa nätverk på webben och kan ladda upp externa data bör begränsas. Vi vet att människan kan vara den mest sårbara faktorn när det gäller att skydda ett datasystem. Därför bör människocentrerade system (som kan drivas av AI) införas för att upptäcka attacker och tillhandahålla kurser om hur interna hot kan motverkas. Helst ska arbetsstationerna vara bortkopplade från sjukhusets nätverk så att attacken bara drabbar själva datorn och så lite data som möjligt kopieras. När data har kontrollerats för virus kopplas datorn bort från det externa nätverket och ansluts till sjukhusets nätverk för dataöverföring. Datorerna uppdateras varje morgon med dagens patientdata.
2.10 Om anställda behöver komma åt den oskyddade webben måste detta ske via datorer som inte är anslutna till sjukhusets nätverk och utan möjlighet till säkerhetskopiering eller dataöverföring.
2.11Förfaranden bör fastställas inför en eventuell intern attack som begås på ett sjukhus (även om detta endast utgör 2 % av incidenterna), i samband med ett riskbaserat förhållningssätt till vad som kan vara den lämpligaste övervakningsnivån, till exempel genom datanätverk, fysisk övervakning såsom kameror eller kontrollpunkter för åtkomst såsom passerkort för anställda. Dialogen mellan arbetsmarknadens parter vid sjukhus och i hälso- och sjukvårdssektorn bör inte övergå från övervakning till integritetskränkning.
2.12För EESK är det absolut nödvändigt att sjukhusen i EU har planer för incidenthantering och driftskontinuitet där det ingår förfaranden för incidenthantering, reservlösningar för kommunikation och frånkopplade reservsystem, så att de kan reagera snabbt och effektivt i händelse av en attack. En viktig del av planerna för incidenthantering och driftskontinuitet är frekventa stresstester, där man simulerar cyberattacksscenarier i en virtuell miljö som gör det möjligt att mäta en cyberattacks omfattning och styrka och kontrollera hälso- och sjukvårdsinrättningens responsförmåga. Det är avgörande att de anställda i lämplig grad är delaktiga och att de får konkreta färdigheter i detta avseende.
2.13EESK föreslår att man utvecklar en digital simulator med attack- och responsscenarier som är lätta att verkställa och använda. En sådan simulator kan användas som ett demonstrationsverktyg för att öka medvetenheten och vid informations- och utbildningsevenemang.
2.14Att genomföra attacksimuleringsövningar med jämna mellanrum, se hur planen för att återställa verksamheten tillämpas och förbättra rutinerna för nästa räkenskapsår genom att antingen öka det antal personer som utbildas i dessa återställningsplaner eller till exempel utarbeta enklare och tydligare instruktioner.
2.15Om en attack inte har upptäckts och har orsakat allvarlig skada inom verksamheten för att den är tillräckligt tekniskt avancerad, är det nödvändigt att tillämpa ett nedgraderat läge med en tillfällig återgång till manuellt läge för att inte förhindra verksamheten i början av en attack. De anställda måste utbildas för att kunna organisera verksamheten på papper tills it-avdelningen är återställd. En manuell överföring av verksamheten kommer att göras i efterhand.
2.16All utrustning där det ingår en mikroprocessor (och/eller eventuell dokumentation i samband med utrustningen) som installeras på ett sjukhus måste först besiktas av sjukhusets cybersäkerhetsriskägare för att kontrollera att den inte redan innehåller virus. Vi är medvetna om att vissa sjukhus inte kommer att kunna avsätta resurser för en fullständig intern avdelning för cybersäkerhet. Vi föreslår att riskägaren (i likhet med en personuppgiftsansvarig enligt dataskyddsförordningen) kan vara den som ansvarar för godkännandet, med stöd av teknikleverantörer, sjukhusets it-avdelning och/eller deltagare i detta initiativ.
2.17Hänsyn måste tas till mindre hälso- och sjukvårdsenheter med begränsade it-avdelningar och Enisas roll bör förtydligas när det gäller att tillhandahålla programvara eller säkra servrar. EESK uppmuntrar innovativa sjukhus att kommunicera och bidra till mindre enheters lärande i cybersäkerhet.
2.18EU:s handlingsplan skulle kunna göra användningen av etiska hackare och ideella organisationer till standardpraxis genom att underlätta formella samarbeten eller program som gör det möjligt för hälso- och sjukvårdsinstitutioner att utnyttja denna externa expertis utan att ådra sig betydande ekonomiska bördor. Detta skulle inte bara öka den övergripande cybersäkerheten utan även bidra till att främja en bredare kultur av samarbete och kunskapsutbyte inom sektorn.
2.19EESK föreslår förhandlingar med arbetsmarknadens parter och kollektivavtal i enlighet med medlemsstaternas lagstiftning för att säkerställa ett konsekvent institutionellt svar på it-angrepp, skydd av privatlivet och korrekt hantering av data, samtidigt som den sociala dialogen stärks och arbetsmarknadens parter blir delaktiga i övervakningen och kontrollen av processerna när det gäller it‑angrepp och skydd av de anställdas och patienternas personuppgifter. Vi framhåller behovet av att diskutera risken för psykologisk stress som orsakas av cybersäkerhetsfrågor inom ramen för social dialog.
2.20”Spjut och sköld”-teorin visar på att angripare rör sig snabbare än försvarare och att brottslig innovation även ökar i hastighet. Hjälpcentrumen bör, förutom underrättelser om hot, även erbjuda horisontspaning och framtidssäkring. Exempelvis kan hotaktörer som använder sig av utpressningsprogram utöver att de utför sina vanliga dataintrång även, i de fall där åtkomsten återställts, selektivt ha äventyrat dataintegriteten (särskilt om målet är strategiskt).
2.21I dagens läge berör cybersäkerhet många andra områden än bara programvara och konnektivitet. Den omfattar även fysiska system eller delar av dem samt AI. Att integrera säkringsförfaranden och gällande krav, till exempel de krav som fastställs i förordningen om medicintekniska produkter eller EU:s förordning om artificiell intelligens, bör vara en prioritet.
2.22Vi rekommenderar att i möjligaste mån helst lagra känsliga data i oberoende offentliga medicinska moln inom EU, med två- eller trefaldig autentisering av behöriga personer innan åtkomst ges till data. Detta bidrar också i hög grad till att snabbt återställa verksamheten efter ett datasystemintrång.
Bryssel den 5 juni 2025.
Pietro Francesco De Lotto
Ordförande för rådgivande utskottet för industriell omvandling
_____________
