«We must also do more to protect the security of our health systems, which are increasingly the target of cyber and ransomware attacks. To improve threat detection, preparedness and crisis response, I will propose a European action plan on the cybersecurity of hospitals and healthcare providers in the first 100 days of the mandate.» (Ursula von der Leyen, Political Guidelines for the next European Commission 2024-2029)

Moderne helsevesen har gjort store fremskritt gjennom digital omstilling. Cyberangrep kan imidlertid forstyrre livsviktige tjenester i sektoren og være direkte livstruende. Helsevesenet er en av de sektorene som utsettes for mest målrettede cyber- og løsepengeangrep, og medlemsstatene rapporterte i 2023 om 309 betydelige cybersikkerhetshendelser i sektoren. 54% av angrepene i perioden 2021-2023 innebar krav om løsepenger, ifølge Kommisjonens Q and A.

Mot denne bakgrunnen la Europakommisjonen 15. januar frem en handlingsplan (meddelelsen «European action plan on the cybersecurity of hospitals and healthcare providers») for å beskytte helsesektoren mot cyberangrep, jf. pressemelding. Planen ble annonsert i Europakommisjonens president von der Leyens politiske retningslinjer fra juli 2024 som en nøkkelprioritet. Initiativet søker å skjerme helsesektoren mot cybertrusler og angrep, ved å forbedre oppdagelse, beredskap og responsevne til sykehus og helsetilbydere.

«The EU’s security environment is rapidly changing, with an escalation of hybrid attacks and cyberattacks that aim to destabilise our society, seeking division and disruption but also profits from cybercrime. Europe must therefore urgently strengthen its preparedness for and resilience against this new reality, across all sectors and in line with a ‘whole-of-society’ and ‘whole-of-government’ approach», fremhever Kommisjonen i meddelelsens innledning. Handlingsplanen foreslår blant annet at EU-byrået for cybersikkerhet, ENISA, skal etablere et felleseuropeisk støttesenter (Cybersecurity Support Centre) for cybersikkerhet for sykehus og helsepersonell, som kan gi skreddersydd veiledning, verktøy, tjenester og opplæring. Initiativet bygger på et bredere EU-rammeverk for styrket cybersikkerhet på tvers av kritisk infrastruktur, og markerer det første sektorspesifikke initiativet. Handlingsplanen angir fire hovedtiltak:

• FORHINDRE: Forbedret forebygging: Handlingsplanen søker å fremme helsesektorens kapasitet til å forhindre cybersikkerhetshendelser gjennom økte beredskapstiltak som (i) veiledning, (ii) såkalte «Cybersecurity Vouchers» for å gi økonomisk bistand til små og mellomstore sykehus, og (iii) utvikling av læringsressurser for helsepersonell.
• OPPDAGE: Bedre oppdagelse og identifisering av trusler: Det foreslåtte Cybersecurity Support Center* for sykehus og helsepersonell er ment å utvikle en EU-dekkende tidlig varslingstjeneste, som leverer sanntidsvarsler om potensielle cybertrusler (innen 2026). (*Se konseptuell fremstilling på s. 7 i meddelelsen).
• SVARE og RESPONDERE: Respons på angrep for å minimere virkning: Handlingsplanen foreslår en rask responstjeneste for helsesektoren under EUs Cybersecurity Reserve, jf. Cybersolidaritetsforordningen som er vedtatt. Nasjonale sikkerhetsøvelser står også sentralt. Medlemsstatene oppfordrer sektoren til å rapportere når det er krav om løsepenger, slik at de kan gis støtte og sikres oppfølging av rettshåndhevende myndigheter.
• AVSKREKKE: Beskyttelse av europeiske helsesystemer ved å avskrekke aktører fra å angripe. Dette inkluderer bruken av Cyber ​​​​Diplomacy Toolbox.

Cybersikkerhet i EU

EU jobber på ulike fronter for å fremme cyberresiliens og beskytte innbyggere og virksomheter mot cybertrusler i et stadig mer digitalt Europa. Handlingsplanen som nå er lagt frem omhandler de unike truslene som helsesektoren står overfor, og bygger på det eksisterende EU-lovverk innen cybersikkerhet. Sykehus og andre helsetjenester er definert som en vesentlig («essensial») sektor under NIS2-direktivet (jf. omtale i EØS-notatet). Rammeverket fungerer hånd i hånd med Cyber ​​Resilience Act, den første EU-lovgivningen som setter obligatoriske cybersikkerhetskrav for produkter som inkluderer digitale elementer. Rettsakten trådte i kraft 10. desember 2024, og ligger til vurdering for innlemmelse i EØS. Kommisjonen har også etablert en Cyber ​​Emergency Mekanisme under Cybersolidaritetsforordningen som forsterker EUs koordinerte tiltak for å oppdage og reagere på cybersikkerhetstrusler og hendelser. Å sikre en robust digital infrastruktur er også avgjørende for European Health Data Space.

Høring og ytterligere anbefalinger

For å videreutvikle målrettede tiltak vil Kommisjonen snart lansere en høring av handlingsplanen i første halvdel av 2025. Resultatene av høringen vil føre til ytterligere anbefalinger innen utgangen av året. Handlingsplanen er starten på en prosess for å forbedre cybersikkerheten i helsesektoren. Spesifikke tiltak vil bli gradvis utrullert i 2025 og 2026, i samarbeid med helseleverandører, medlemsland og nettsikkerhetssamfunnet. For oversikt over hvilke initiativ som Kommisjonen foreslår og vil foreslå frem mot 2026, se meddelelsen s. 19-22 (vedlegg «Overview of proposed actions»).

Kommisjonen konkluderer med at «This Communication has set out an ambitious agenda for a more cybersecure health sector in the EU. With the proposed development of the Cybersecurity Support Centre for Hospitals and Healthcare Providers at the heart of ENISA, the Action Plan sets out an avenue towards the creation of a coherent and shared European approach to the challenge of cybersecurity in the sector. This Communication should be seen as the start of a process to improve cybersecurity in the health sector. Therefore, the adoption of the Action Plan will be accompanied by the launch of comprehensive stakeholder consultations and the continuation of exchanges with Member States and relevant networks to collect insights. Based on the results of the consultations, the Commission intends to come forward with recommendations in the fourth quarter of 2025 to further refine the Action Plan.The Commission calls on Member States and all stakeholders to work together in delivering on the ambition of the Action Plan.»

Foreløpige kommentarer

Politico påpeker at «The Commission promised “cybersecurity vouchers” and extra budget for its cybersecurity agency ENISA to set up a support center. But beyond this, there’s little mention of extra cash — or even specific figures — in the plan.»  Behov for finansiering er et spørsmål som flere tar opp: «Money “will be the most important issue, where we will see … how many of these activities, and to what extent [they] will be carried out”», uttaler MEP Tomislav Sokol. «It is “obvious” that ENISA lacks necessary funding, Vytenis Andriukaitis, a former EU health commissioner who is now a European parliamentarian with the Socialists and Democrats group, said in response to the plan.»  Også teknologiindustrien påpeker at mangel på finansiering er en utfordring: «Rules alone aren’t enough,” said Cecilia Bonefeld-Dahl, director general of tech association DIGITALEUROPE.»

Kilder og videre lesning

Commission unveils action plan to protect the health sector from cyberattacks| Q and A |Fakta-ark