Donderdag 16 januari jl. heeft de EU-Commissie een actieplan gepresenteerd om de cyberveiligheid van ziekenhuizen en zorgverleners te verbeteren. Dit actieplan werd in de politieke richtsnoeren van voorzitter Von der Leyen aangekondigd als een belangrijke prioriteit binnen de eerste 100 dagen van het nieuwe mandaat.Het initiatief is een belangrijke stap in het beschermen van de gezondheidszorg tegen cyberdreigingen. Door de detectie van bedreigingen, de paraatheid en de reactiecapaciteit van ziekenhuizen en zorgverleners te verbeteren, wordt een veiligere omgeving gecreëerd voor patiënten en zorgverleners.
Digitalisering brengt een revolutie teweeg in de gezondheidszorg en zorgt voor betere dienstverlening aan patiënten door innovaties zoals elektronische patiëntendossiers, telegeneeskunde en AI-gestuurde diagnostiek. Cyberaanvallen kunnen echter medische procedures vertragen, leiden tot vastgelopen spoedeisende hulp en vitale diensten verstoren, wat in ernstige gevallen een directe impact kan hebben op het leven van Europeanen. De lidstaten meldden 309 significante cyberbeveiligingsincidenten in de gezondheidszorg in 2023 – meer dan in elke andere kritieke sector.
Actieplan
In het actieplan wordt onder andere voorgesteld dat ENISA, het EU-agentschap voor cyberbeveiliging, een pan-Europees ondersteuningscentrum voor cyberbeveiliging opzet voor ziekenhuizen en zorgverleners, dat hen begeleiding, instrumenten, diensten en training op maat biedt. Het initiatief bouwt voort op het bredere EU-kader om de cyberbeveiliging in kritieke infrastructuur te versterken en is het eerste sectorspecifieke initiatief om het volledige scala aan EU-cyberbeveiligingsmaatregelen in te zetten.
In een notendop richt het actieplan zich op vier prioriteiten:
- Verbeterde preventie.
Het plan helpt bij het opbouwen van de capaciteit van de gezondheidszorgsector om cyberbeveiligingsincidenten te voorkomen door middel van maatregelen voor een betere paraatheid, zoals richtsnoeren voor het implementeren van kritieke cyberbeveiligingspraktijken.
Ten tweede kunnen de lidstaten ook cyberbeveiligingsvouchers invoeren om financiële bijstand te verlenen aan micro-, kleine en middelgrote ziekenhuizen en zorgaanbieders.
Tot slot zal de EU ook leermiddelen op het gebied van cyberbeveiliging ontwikkelen voor professionals in de gezondheidszorg.
- Betere detectie en identificatie van bedreigingen.
Het Cyberbeveiligingsondersteuningscentrum voor ziekenhuizen en zorgverleners zal tegen 2026 een EU-brede dienst voor vroegtijdige waarschuwing ontwikkelen, die bijna-realtime waarschuwingen afgeeft over potentiële cyberdreigingen.
- Reactie op cyberaanvallen om de gevolgen tot een minimum te beperken.
In het plan wordt een snelle responsdienst voor de gezondheidssector voorgesteld in het kader van de EU Reserve voor cyberbeveiliging. De reserve, die is opgericht in het kader van de Cyber Solidarity Act, biedt incidentresponsdiensten van betrouwbare particuliere dienstverleners.
In het kader van het plan kunnen nationale cyberbeveiligingsoefeningen worden gehouden en playbooks worden ontwikkeld om zorgorganisaties te helpen reageren op specifieke cyberbeveiligingsbedreigingen, waaronder ransomware. Lidstaten worden aangemoedigd om verslaglegging van losgeldbetalingen te vragen van entiteiten, om hen de ondersteuning te kunnen bieden die ze nodig hebben en follow-up door rechtshandhavingsinstanties mogelijk te maken
- Afschrikking:
De Europese gezondheidszorgsystemen beschermen door actoren van cyberdreigingen ervan te weerhouden ze aan te vallen. Dit omvat het gebruik van de Cyber Diplomacy Toolbox, een gezamenlijke diplomatieke reactie van de EU op kwaadaardige cyberactiviteiten.
.
Het actieplan zal hand in hand met zorgaanbieders, lidstaten en de cyberbeveiligingsgemeenschap worden uitgevoerd. Om de meest impactvolle maatregelen verder te verfijnen, zodat patiënten en zorgaanbieders ervan kunnen profiteren, zal de Commissie binnenkort een openbare raadpleging over dit plan starten, die openstaat voor alle burgers en belanghebbenden.
Volgende stappen
Het actieplan is het begin van een proces om de cyberbeveiliging in de gezondheidszorg te verbeteren. In 2025 en 2026 zullen geleidelijk specifieke acties worden uitgevoerd. Op basis van de resultaten van de raadpleging zullen tegen het einde van het jaar verdere aanbevelingen worden gedaan.
