EU-kommissionen har presenterat en ”handlingsplan” som syftar till att stärka cybersäkerheten inom hälso- och sjukvårdssektorn. Och samtidigt ta itu med en ökning av cyberattacker som i allt högre grad har stört sjukhus och vårdgivare i hela EU.
Planen tar hänsyn till den ökande frekvensen och effekten av dessa attacker, särskilt utpressningstrojaner, och understryker det akuta behovet av att skydda hälso- och sjukvårdssystemen. Avsaknaden av särskild finansiering i förslaget har dock gett upphov till farhågor om dess ändamålsenlighet.
Hälso- och sjukvårdssektorn: ett främsta mål för cyberattacker
Enligt EU-kommissionen har hälso- och sjukvårdssektorn utsatts för fler cyberattacker än någon annan bransch i Europa under de senaste fyra åren. I synnerhet attacker med utpressningstrojaner har orsakat allvarliga störningar, försenat medicinska ingrepp, skapat flaskhalsar på akutmottagningar och till och med äventyrat liv. Även om inga direkta dödsfall har bekräftats, belyser potentialen för katastrofala resultat det kritiska behovet av förbättrad cybersäkerhet.
Sjukhus och vårdgivare, som ofta är begränsade av begränsade budgetar, är dåligt rustade för att försvara sig mot avancerade cyberhot. Handlingsplanen betonar dessa sårbarheter och efterlyser bättre beredskap, förebyggande, upptäckt och insatser inom sektorn.
De viktigaste inslagen i EU:s handlingsplan
I handlingsplanen föreslås flera åtgärder för att ta itu med dessa utmaningar:
- Vägledning för vårdgivare: Planen innehåller åtgärder för att sjukhus ska kunna förbättra sin cybersäkerhetsställning. Inklusive tillgång till befintliga EU-finansieringsprogram som ett digitalt Europa och Horisont Europa.
- Europeiska stödcentrumet för cybersäkerhet: Enisa, EU:s cybersäkerhetsbyrå, kommer att inrätta ett särskilt stödcentrum för sjukhus, som ska fungera som ett arkiv för vägledning och en tjänstekatalog. Även om det inte kommer att ge direkt stöd.
- Uppmuntra stöd från medlemsstaterna: Medlemsstaterna uppmanas att överväga att införa cybersäkerhetskuponger, inspirerade av EU:s system med innovationscheckar, för att hjälpa vårdgivare att finansiera säkerhetsförbättringar.
Dessa initiativ syftar till att stärka cybersäkerhetsresiliensen, men bristen på ny finansiering utgör ett betydande hinder. Kommissionen hänvisar i stället vårdgivarna till befintliga ekonomiska möjligheter, trots att man erkänner att sektorn har begränsade resurser.
Utmaningar med genomförandet
Planen står inför flera strukturella och politiska utmaningar som kan hindra den från att lyckas:
- Nationell suveränitet: Cybersäkerhet inom hälso- och sjukvården är fortfarande en nationell behörighet, vilket begränsar EU:s befogenhet att genomdriva omfattande förändringar. Medlemsländerna måste genomföra och verkställa åtgärder enligt NIS2-direktivet, men endast sex av de 27 medlemsstaterna har gjort det sedan direktivets tidsfrist i oktober 2024.
- Finansieringsbegränsningar: Att förlita sig på redan existerande finansieringsprogram i stället för att tilldela särskilt ekonomiskt stöd riskerar att göra många hälso- och sjukvårdsorganisationer dåligt förberedda på att bekämpa nya hot.
- Regulatorisk eftersläpning: De slutliga rekommendationerna från planen kommer inte att förfinas förrän i slutet av 2025, vilket gör vårdgivare sårbara under tiden.
Vad hälso- och sjukvården behöver
För att effektivt hantera cyberhot behöver hälso- och sjukvårdssektorn mer än vägledning och omdirigerade finansieringsmöjligheter. De viktigaste prioriteringarna bör omfatta följande:
- Särskild finansiering: Särskilda medel måste anslås för cybersäkerhet inom hälso- och sjukvården, vilket gör det möjligt för sjukhus att genomföra nödvändiga uppgraderingar utan att avleda resurser från patientvården. Med tanke på att många organisationer saknar interna IT-säkerhetsteam skulle dedikerad finansiering för outsourcing av verksamheten till Managed Security Service Providers (MSSP) ge snabb och effektiv motståndskraft.
- Obligatoriska säkerhetsstandarder: Påskynda implementeringen av NIS2-direktivet i alla medlemsstater och genomdriva grundläggande säkerhetskrav för vårdgivare.
- Utökat samarbete: Främja starkare partnerskap mellan medlemsstaterna, vårdgivare och den privata sektorn för att dela information om hot och bästa praxis.
- Säkra molntjänster: Kräv att molnleverantörer integrerar robusta säkerhetsfunktioner i sina erbjudanden, vilket minskar bördan för hälso- och sjukvårdsorganisationer att säkra sin egen infrastruktur.
Ett steg i rätt riktning, men inte tillräckligt
EU:s handlingsplan är ett välkommet erkännande av de utmaningar som hälso- och sjukvårdssektorn står inför. Dess beroende av medlemsstater och befintlig finansiering, i kombination med avsaknaden av nytt ekonomiskt stöd, begränsar dock dess potentiella inverkan.
Även om planen understryker vikten av att behandla cybersäkerhet som en investering i patientvård, beror dess framgång på starkare ekonomiska åtaganden och mer omedelbara regleringsåtgärder. I takt med att utpressningstrojaner och andra cyberhot utvecklas behöver vårdgivare mer än vägledning. De behöver användbara, välfinansierade lösningar som integrerar cybersäkerhet i säker och effektiv vård.
Det är mycket som står på spel, och kostnaden för att inte agera kan i slutändan mätas inte bara i dataintrång utan även i liv.
Tidigare publicerad i vårt nyhetsbrev ThreatInsights.
