GOV.SI
Domov
Novice

Akcijski načrt EU za izboljšanje kibernetske varnosti bolnišnic in ponudnikov zdravstvenih storitev

Vedno večja digitalizacija zdravstvenega sektorja prinaša številne prednosti, saj izboljšuje učinkovitost delovanja, omogoča hitrejši dostop do podatkov in optimizira procese oskrbe pacientov. Hkrati pa ta razvoj povečuje ranljivost zdravstvenih ustanov za kibernetske incidente.

Zdravstvene ustanove se soočajo z različnimi kibernetskimi grožnjami, pri čemer so najpogostejši incidenti z izsiljevalsko programsko opremo (angleško ransomware). Ti napadi ciljajo predvsem na občutljive zdravstvene podatke, ki so ključni za delovanje bolnišnic in drugih ponudnikov zdravstvenih storitev. Pomanjkanje osnovne kibernetske higiene, neustrezni ali zastareli informacijski sistemi in slaba pripravljenost na incidente povečujejo tveganja za uspešne napade.

Da bi se učinkoviteje spopadli s temi izzivi, je EU pripravila akcijski načrt, ki vključuje štiri ključna področja delovanja:

  • Krepitev ukrepov za preprečevanje kibernetskih incidentov.
  • Izboljšanje zaznavanja kibernetskih groženj.
  • Zagotavljanje ukrepov za boljše odzivanje na incidente in okrevanje po njih.
  • Krepitev odvračanja zlonamernih akterjev.

Ukrepi za preprečevanje napadov

  • Vzpostavitev Evropskega centra za podporo kibernetski varnosti v zdravstvu znotraj Agencije evropske unije za kibernetsko varnost (angleško European Union Agency for Cybersecurity - ENISA).
  • Uvedba smernic za osnovne varnostne ukrepe, kot so večfaktorska avtentikacija in redne varnostne kopije.
  • Razvoj orodij za oceno zrelosti kibernetske varnosti zdravstvenih ustanov in programov finančne podpore za majhne ponudnike (kibernetski vavčerji).
  • Krepitev varnosti dobavnih verig za medicinsko opremo (koordinirane ocene tveganj, posodobitev smernic za javno naročanje, ponudniki storitev v oblaku morajo izpolnjevati osnovne kibernetsko-varnostne zahteve).

Krepitev veščin in sodelovanja

Za učinkovito zaščito zdravstvenega sektorja bo pomembno ustrezno izobraževanje zaposlenih. V ta namen bodo razviti programi za usposabljanje zdravstvenih delavcev na področju kibernetske higiene. Ti programi bodo oblikovani s sodelovanjem novega Evropskega centra za podporo kibernetski varnosti v zdravstvu in Evropskega digitalnega inovacijskega centra (EDIC) za kibernetske veščine.

Poleg tega bo vzpostavljena mreža direktorjev za informacijsko varnost (CISO) v zdravstvenem sektorju, ki bo omogočala boljšo izmenjavo znanja in izkušenj ter koordinirano ukrepanje v primeru kibernetskih groženj.

Krepitev zmogljivosti za zaznavanje kibernetskih groženj

Vzpostavljena bo skupna evropska storitev za zgodnje zaznavanje kibernetskih groženj v zdravstvenem sektorju, kjer bodo države članice EU morale zagotoviti pravočasno deljenje informacij o kibernetskih incidentih. Ključno vlogo bo imela izmenjava informacij prek nacionalnih in evropskih centrov ISAC (angleško Information Sharing and Analysis Centers), ki bodo osrednja vozlišča za sodelovanje med zdravstvenimi ustanovami, varnostnimi strokovnjaki in vladnimi organi.

Hitro odzivanje in okrevanje po incidentih

V okviru EU bo uvedena posebna storitev hitrega odzivanja, ki bo zagotavljala pomoč zdravstvenim ustanovam pri večjih kibernetskih incidentih. Storitev bo vključevala strokovnjake za hitro odzivanje na napade. Novoustanovljeni Evropski center bo zdravstvenim ustanovam nudil tudi podporo pri pripravi načrtov za okrevanje po napadih, s čimer bo zagotovljena večja odpornost na morebitne prihodnje grožnje.

Nacionalni in mednarodni ukrepi

Države članice bodo spodbujene k vzpostavitvi nacionalnih centrov za podporo kibernetski varnosti v zdravstvu ter razvoju nacionalnih akcijskih načrtov za zaščito zdravstvenega sektorja pred kibernetskimi incidenti. Hkrati bo okrepljeno mednarodno sodelovanje v boju proti kibernetskim grožnjam, vključno z usklajenimi sankcijami proti zlonamernim akterjem. Pri tem bo EU uporabila orodja, ki omogočajo usklajeno ukrepanje proti državam ali posameznikom, ki predstavljajo grožnjo kibernetski varnosti.

Nadaljnji koraki

V naslednjih mesecih bo izvedeno posvetovanje z deležniki, državami članicami in relevantnimi mrežami, kot so NIS Skupina za sodelovanje na področju varnosti omrežij in informacij (angleško NIS Cooperation Group), Evropska organizacijska mreža za povezovanje v kibernetski krizi (angleško European cyber crisis liaison organisation network - CyCLONe) in skupine za odzivanje na incidente na področju računalniške varnosti (angleško Computer Security Incident Response Team - CSIRT). Na podlagi rezultatov teh posvetovanj bo Evropska komisija v zadnjem četrtletju 2025 pripravila priporočila za izboljšanje akcijskega načrta ter okrepitev kibernetske odpornosti zdravstvenih sistemov EU do leta 2026.

Na vrh strani