(C/2025/4215)
(Dz.U.UE C z dnia 20 sierpnia 2025 r.)
Sprawozdawca: Alain COHEUR
Współsprawozdawca: Hervé JEANNIN
| Doradczynie i doradcy | LORIDAN Joyce (doradczyni sprawozdawcy, Grupa III) CHEAH Hun Xhing Madeline (doradczyni współsprawozdawcy, Kategoria 2) |
| Decyzja Prezydium | 21.1.2025 |
| Wniosek o konsultację | Komisja Europejska, 5.3.2025 |
| Podstawa prawna | Art. 304 Traktatu o funkcjonowaniu Unii Europejskiej |
| Sekcja odpowiedzialna | Komisja Konsultacyjna ds. Przemian w Przemyśle |
| Data przyjęcia przez sekcję | 4.6.2025 |
| Data przyjęcia na sesji plenarnej | 18.6.2025 |
| Sesja plenarna nr | 597 |
| Wynik głosowania (za/przeciw/wstrzymało się) | 123/1/1 |
1. Wnioski i zalecenia
1.1. EKES z zadowoleniem przyjmuje poziom ambicji europejskiego planu działania w sprawie cyberbezpieczeństwa szpitali i świadczeniodawców oraz uwagę poświęconą temu zagadnieniu. Sektor ten był kluczowym celem dla podmiotów stwarzających zagrożenie. Zdrowie ma charakter osobisty i sektor ten jest zorganizowany na poziomie lokalnym w państwach członkowskich i regionach. Cyberbezpieczeństwo jest natomiast priorytetem Komisji Europejskiej- wyznaczonym w celu ochrony zdrowia obywateli, europejskiej przestrzeni danych dotyczących zdrowia oraz rozległego sektora opieki zdrowotnej w państwach członkowskich, obejmującego różnorodne podmioty związane ze zdrowiem, takie jak szpitale, służby ratunkowe oraz sektory farmaceutyczny i biotechnologiczny, które są coraz bardziej połączone ze światem zewnętrznym za pośrednictwem telemedycyny, portali pacjentów, platform i urządzeń osobistych. Zwiększenie cyberbezpieczeństwa w sektorze zdrowia poprawia ogólne bezpieczeństwo i odporność oraz przyczynia się do tworzenia unii gotowości.
1.2. Aby ulepszyć środki bezpieczeństwa w tym obszarze, Komitet przedstawia szereg propozycji, które dzielą się na różne kategorie:
1.2.1. Środki finansowe
1.2.1.1. EKES ubolewa, że wciąż nie zajęto się kwestią wsparcia finansowego na rzecz realizacji planu działania. Może to prowadzić do nierówności w poziomie ochrony, jaką otrzymują pacjenci, w zależności od zasobów, jakimi dysponują zakłady opieki zdrowotnej. Komitet zachęca Komisję do zapewnienia koncentracji tematycznej na rzecz wsparcia finansowego za pośrednictwem funduszy spójności.
1.2.1.2. EKES podkreśla rozbieżności w inwestycjach w cyberbezpieczeństwo w całej UE, zauważając, że sama Francja zamierza inwestować w nie ponad 1 mld EUR rocznie; po ekstrapolacji na całą UE oznaczałoby to, że kwota pokrywająca minimalne zapotrzebowanie wynosi 7,5 mld EUR rocznie. Aby zapobiec cyberatakom, szpitale powinny przeznaczyć na cyberbezpieczeństwo około 10 % swoich budżetów na technologie informatyczne. Należy uwzględnić monitorowanie terytorialności inwestycji.
Komitet odnotowuje wsparcie dla ENISA w wysokości 6 mln EUR, ale podkreśla, że jest ono niewystarczające w świetle stawki, jaką jest bezpieczeństwo szpitali, obywateli i pacjentów, którzy w przypadku ataku mogą nie mieć już dostępu do diagnostyki i leczenia. Należy zwrócić się do ENISA o uzupełnienie sprawozdania dotyczącego krajobrazu zagrożeń w sektorze zdrowia, wraz z analizą finansową stanu inwestycji w cyberbezpieczeństwo w państwach członkowskich.
Wsparcie finansowe dla europejskiego planu działania powinno dotyczyć inwestycji w:
- zapobieganie: zabezpieczenie urządzeń i infrastruktury szpitalnej dla infrastruktury obejmującej 2,3 mln łóżek szpitalnych w UE 1 ;
- edukację: podnoszenie świadomości i szkolenie ponad 10 mln pracowników opieki zdrowotnej i pracowników socjalnych 2 ;
- środki zaradcze i likwidację skutków, które mogą opiewać na wielomilionowe kwoty w razie incydentu 3 .
ENISA mogłaby otrzymać w trybie pilnym pożyczki na narzędzia ochrony informatycznej i cyberbezpieczeństwo. Fundusze te powinny być przeznaczone na sektor opieki zdrowotnej i społecznej na określonych warunkach.
1.2.1.3. EKES proponuje zbadanie, czy wydatki na cyberbezpieczeństwo w dziedzinie zdrowia mogłyby zostać uwzględnione w ogólnej klauzuli wyjścia paktu stabilności i wzrostu i czy można je uznać za wydatki na obronność w celu ochrony zdrowia europejskich obywateli i krytycznej infrastruktury zdrowotnej. Inwestycje wymagane przez podmioty działające w sektorze zdrowia w celu zapewnienia cyberbezpieczeństwa w świadczeniu usług opieki zdrowotnej będą wyższe niż w innych sektorach, zważywszy na ryzyko wystąpienia incydentów.
1.2.1.4. Ze względu na fakt, że trudno jest oszacować łączne dane liczbowe dotyczące kosztów ataków cybernetycznych na sektor opieki zdrowotnej w UE (we Francji koszt takiego ataku wynosi do 20 mln EUR), Komitet sugeruje inwestowanie w identyfikację i śledzenie kosztów, tak aby Komisja Europejska mogła lepiej dostosować inwestycje, czy to do miejsc szczególnie narażonych na przestępstwa, czy do lokalnych obszarów potrzebujących większej pomocy lub zrozumienia, które technologie bezpieczeństwa lub kampanie edukacyjne są najskuteczniejsze.
1.2.1.5. EKES podkreśla rolę organów ochrony danych w państwach członkowskich w stosowaniu odpowiednich środków bezpieczeństwa przez szpitale i inne podmioty opieki zdrowotnej. W przypadku braku zapobiegawczych środków cyberbezpieczeństwa państwa członkowskie mogą odegrać pewną rolę, nakładając grzywny 4 .
1.2.2. Środki techniczne
1.2.2.1. EKES zaleca:
- podnoszenie świadomości na temat podstawowych praktyk w zakresie higieny cyberbezpieczeństwa (takich jak dobra polityka kontroli dostępu do systemu, blokowanie portów USB, stosowanie programów antywirusowych na urządzeniach końcowych, oddzielenie niezabezpieczonych urządzeń, kwarantanna zainfekowanych urządzeń);
- inwestowanie w cyfrowe bliźniaki dla szpitali, systemów opieki zdrowotnej lub wyrobów medycznych, sprzyjające zabezpieczaniu i testowaniu;
- udzielanie pomocy technicznej jednostkom medycznym pozbawionym usług informatycznych (np. poprzez zapewnienie bezpiecznych serwerów lub usług w zakresie bezpieczeństwa przez scentralizowany organ, taki jak ENISA), które ze względu na swój niewielki rozmiar nie są w stanie inwestować w zapobieganie ryzyku w cyberprzestrzeni;
- inwestowanie w strategiczne zdolności techniczne (np. bezpieczeństwo technologii operacyjnych, związek między bezpieczeństwem i ochroną, gotowość kryminalistyczna, sztuczna inteligencja itp.).
1.2.3. Środki dotyczące procesów
1.2.3.1. EKES pragnie zwrócić uwagę na zestaw środków ostrożności i środków zapobiegawczych, które powinny poprawić poziom ochrony w sektorze opieki zdrowotnej i zmniejszyć ryzyko cyberataków:
- przeprowadzanie odpowiednich testów (testy odporności, testy penetracyjne itp.), nie tylko na poziomie urządzenia i dostawcy, lecz także na poziomie systemu (gdy urządzenia są zintegrowane z systemami opieki zdrowotnej) oraz na poziomie operacyjnym.
- Opracowywanie planów ciągłości działania, regularnie aktualizowanych i systematycznie poddawanych przeglądom, zarówno wewnętrznym, jak i zewnętrznym, przez niezależnych audytorów. Plany te powinny również obejmować wprowadzenie trybu tworzenia kopii zapasowych lub trybu awaryjnego dla szpitali i systemów opieki zdrowotnej, tak aby mogły one nadal funkcjonować.
- Śledzenie najlepszych praktyk w zakresie monitorowania i środków zaradczych, obejmujące zapewnienie odpowiedniego poziomu reagowania, w tym zdecentralizowanego (na poziomie szpitala, świadczeniodawcy lub systemu opieki zdrowotnej, w tym w domu) i scentralizowanego (np. z wykorzystaniem krajowych zespołów reagowania na incydenty bezpieczeństwa komputerowego lub ośrodków wymiany i analizy informacji). Pozyskiwanie, w ramach praktyk związanych z udzielaniem zamówień, dokumentacji niezbędnej do certyfikacji lub walidacji cyberbezpieczeństwa sprzętu (np. czy jest on zgodny z przepisami dotyczącymi cyberbezpieczeństwa określonymi w RODO).
1.2.3.2. Zdaniem EKES-u Komisja powinna w ramach planu działania rozważyć certyfikację dostawców rozwiązań i usług w zakresie cyberbezpieczeństwa, aby przyczynić się do stworzenia zaufanego ekosystemu, naświetlając zarazem obciążenia finansowe, z jakimi obecnie mierzą się szpitale i zakłady opieki zdrowotnej, a tym samym ostrzegając przed dalszym wzrostem kosztów.
1.2.3.3. Komitet uznaje, że normalizacja jest bardzo przydatna, ale zwraca również uwagę, że nieuchronnie prowadzi ona do braku odporności, o ile nie zostaną wprowadzone konkretne zabezpieczenia i środki zaradcze. Plan należy połączyć z innymi inicjatywami w zakresie odporności fizycznej i cyberodporności, w tym z aktem dotyczącym cyberodporności.
1.2.4. Środki edukacyjne
1.2.4.1. Edukacja jest głównym filarem planu działania, dlatego EKES zaleca opracowanie planów kształcenia ciągłego i szkolenia wspólnie z partnerami społecznymi oraz ustanowienie mechanizmów transferu wiedzy między różnymi podmiotami a zainteresowanymi stronami z sektora w celu sprostania wyzwaniom związanym z cyberbezpieczeństwem, etyką, prywatnością i sztuczną inteligencją.
1.2.4.2. Komitet proponuje, by przy wdrażaniu nowych narzędzi informatycznych zapewnić spójną reakcję instytucjonalną na cyberataki, ochronę prywatności i właściwe zarządzanie danymi, zgodnie z przepisami państw członkowskich i układami zbiorowymi z partnerami społecznymi dotyczącymi umów zbiorowych.
1.2.4.3. EKES szacuje, że aby przeciwdziałać zagrożeniom cyberbezpieczeństwa, edukacja w zakresie opieki zdrowotnej powinna obejmować ukierunkowane szkolenia w tym zakresie. Mikropoświadczenia są elastycznym i opłacalnym sposobem podnoszenia kwalifikacji specjalistów bez zmiany podstawowych programów nauczania. Zwiększają odporność opieki zdrowotnej i stanowią główny przedmiot inicjatywy Komisji na rzecz unii umiejętności.
1.2.4.4. Zdaniem Komitetu rozwiązanie problemu luki kadrowej w dziedzinie cyberbezpieczeństwa i niskiego poziomu bezpieczeństwa w sektorze opieki zdrowotnej musi być pierwszoplanowym elementem przeglądu unijnej cyfrowej dekady. Strategiczne inwestycje w umiejętności multidyscyplinarne - cyberbezpieczeństwo, sztuczną inteligencję, gotowość kryminalistyczną i bezpieczeństwo wyrobów medycznych - mają zasadnicze znaczenie dla przeciwdziałania złożonym zagrożeniom i budowania długoterminowej odporności.
1.2.4.5. EKES uznaje, że cyfryzacja zdrowia i dobrostanu oraz potencjalne zagrożenia związane z naruszeniami cyberbezpieczeństwa mogą wywoływać stres psychiczny u poszczególnych pracowników służby zdrowia i pacjentów, a także wymagają upowszechnienia podstawowej wiedzy i umiejętności w dziedzinie cyberbezpieczeństwa wśród obywateli europejskich i pracowników opieki zdrowotnej.
1.2.4.6. Komitet zaleca, by Komisja w pełni odegrała rolę wspierającą i koordynującą, wykorzystując unijne fundusze do promowania kampanii uświadamiających na temat zagrożeń i zapobiegania zagrożeniom cyberbezpieczeństwa za pomocą zaleceń dotyczących higieny cyberbezpieczeństwa.
2. Uwagi ogólne
2.1. W 2020 r. ENISA zgłosiła łączny wzrost liczby cyberataków w całej UE o 47 % w porównaniu z rokiem poprzednim: we Francji liczba zgłoszonych spraw podwoiła się w 2021 r. ENISA uznaje potrzeby sektora opieki zdrowotnej w zakresie cyberbezpieczeństwa i z zadowoleniem przyjęła plan działania Komisji Europejskiej ze stycznia 2025 r. (który ma na celu ciągłą poprawę cyberodporności od 2025 r.), aby zapewnić szpitalom, klinikom i świadczeniodawcom wysoki poziom ochrony przed wszelkimi atakami na ich systemy informatyczne lub systemy operacyjne.
2.2. Ochrona osób fizycznych, przedsiębiorstw i instytucji przed ryzykiem w cyberprzestrzeni jest jednym z kluczowych priorytetów Europejskiej deklaracji praw i zasad cyfrowych w cyfrowej dekadzie 5 . EKES podkreśla potrzebę kompleksowej, przekrojowej unijnej polityki cyberbezpieczeństwa w celu ochrony zdrowia publicznego i prawa do opieki zdrowotnej 6 . Komitet zachęca Komisję do przyjęcia opartego na prawach podejścia do cyberbezpieczeństwa osadzonego w wartościach UE (cyfrowych i konstytucyjnych) oraz do uznania cyberbezpieczeństwa za prawo, podobnie jak inne prawa podstawowe, takie jak prawo do prywatności i ochrony danych oraz bezpieczeństwa fizycznego. EKES zaleca, by nie ograniczać cyberbezpieczeństwa do ochrony infrastruktury, systemów i danych.
2.3. Systemy robotyczne i maszyny cyfrowe odgrywają coraz większą rolę w chirurgii, monitorowaniu zdrowia pacjentów oraz w badaniach medycznych, co może powodować rzeczywiste szkody fizyczne i psychiczne, jeżeli te systemy cyfrowe nie zostaną zabezpieczone (np. w przypadku złośliwej błędnej kalibracji robotów chirurgicznych i czynników wyzwalających backdoor w systemach diagnostycznych opartych na sztucznej inteligencji). EKES apeluje o znacznie większe skupienie się na dotychczasowych systemach i na punktach styku technologii informatycznych i operacyjnych, ponieważ złożoność wynika z luk w standardowych procesach i wiedzy. Sprostanie wyzwaniom związanym z tym konkretnym punktem wspólnym wymaga podejścia multidyscyplinarnego (w tym inżynierii bezpieczeństwa), wiedzy specjalistycznej oraz zdolności rozpoznawania i testowania nowych zagrożeń przy użyciu nowatorskich narzędzi i metod. W planie działania należy również uwzględnić systemy cyberfizyczne oraz wysiłki podejmowane w tym obszarze.
2.4. EKES wzywa Komisję do sprecyzowania zakresu, w jakim plan działania dotyczy świadczeniodawców. W planie działania stwierdza się, że sektor zdrowia obejmuje szerokie spektrum podmiotów, w tym szpitale, kliniki, domy opieki, ośrodki rehabilitacyjne i różnych świadczeniodawców, a także przemysł farmaceutyczny, medyczny i biotechnologiczny, producentów wyrobów medycznych oraz instytucje badawcze w dziedzinie zdrowia. Komitet zwraca się do Komisji o sprecyzowanie, czy jest to wyczerpujące ujęcie sektora zdrowia, i zwraca uwagę na cele zdrowotne określone przez ENISA 7 . Komisja musi wziąć pod uwagę pośrednie interakcje z rozleglejszym ekosystemem, w tym z komercyjnym dobrostanem (np. monitory aktywności, trenerzy odchudzania itp.).
2.5. Komisja Europejska zdecydowanie kładzie nacisk na współpracę z przedsiębiorstwami technologicznymi i prywatnymi organizacjami nastawionymi na zysk przy świadczeniu usług w zakresie cyberbezpieczeństwa, aby zapewnić ochronę szpitali i sektora opieki zdrowotnej. Chociaż współpraca z sektorem nastawionym na zysk może przynieść cenne korzyści pod względem poprawy cyberbezpieczeństwa, należy zachować ostrożność. Zakłady opieki zdrowotnej muszą być świadome potencjalnych konfliktów interesów, jakie mogą wystąpić, gdy przedsiębiorstwa handlowe są zaangażowane w zarządzanie wrażliwymi danymi pacjentów. Może zachodzić ryzyko, że interesy handlowe tych przedsiębiorstw, takie jak maksymalizacja zysków, będą mieć pierwszeństwo przed ochroną prywatności pacjentów i integralności danych medycznych. Podkreślamy, że przedsiębiorstwa europejskie muszą przestrzegać europejskich przepisów chroniących prywatność pacjentów i integralność danych medycznych (RODO).
2.6. EKES z zadowoleniem przyjąłby włączenie norm etycznych i klauzul ochrony prywatności do europejskiego planu działania.
2.7. Komitet zachęca Komisję do wzmocnienia mandatu zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT) poprzez poprawę koordynacji, usprawnienie komunikacji i zacieśnienie współpracy transgranicznej między europejskimi szpitalami na potrzeby skuteczniejszej wymiany informacji na temat zagrożeń. Zwiększenie bezpieczeństwa informatycznego w sektorze opieki zdrowotnej poprzez łączenie i profesjonalizację wiedzy fachowej w dziedzinie cyberbezpieczeństwa zwiększy ogólną cyberodporność sektora i jego gotowość na zmieniające się zagrożenia. Poprawa bezpieczeństwa technologii operacyjnych oraz wzmocnienie systemów medycznych poprzez połączoną inżynierię bezpieczeństwa i ochrony również zmniejszą prawdopodobieństwo wystąpienia cyberataków.
2.8. Zestaw narzędzi dotyczących cyberbezpieczeństwa mógłby dostarczyć kompleksowych zasobów, najlepszych praktyk i narzędzi mających pomóc dużym i małym organizacjom opieki zdrowotnej w ochronie przed zagrożeniami cyfrowymi. Wdrożenie symulacji i scenariuszy w warunkach rzeczywistych może usprawnić uczenie się i pomóc pracownikom zrozumieć praktyczne skutki naruszeń cyberbezpieczeństwa.
2.9. Należy ograniczyć liczbę osób, które mają dostęp do sieci zewnętrznych w internecie i mogą wprowadzać dane z zewnątrz. Jest zrozumiałe, że ludzie mogą być najsłabszym ogniwem ochrony systemu komputerowego. W związku z tym należy wprowadzić systemy ukierunkowane na człowieka (potencjalnie oparte na sztucznej inteligencji) w celu wykrywania ataków i szkolenia w zakresie sposobów łagodzenia zagrożeń wewnętrznych. Najlepiej byłoby, gdyby stacje robocze były odłączone od sieci szpitalnej, tak aby atak dotyczył wyłącznie samego komputera, a ilość powielonych danych była minimalna. Po weryfikacji danych pod kątem wirusów komputer jest odłączony od sieci zewnętrznej i podłączony do sieci szpitalnej w celu przesłania danych. Komputery są aktualizowane każdego ranka o dane pacjenta z danego dnia.
2.10. Jeżeli pracownicy muszą uzyskać dostęp do niezabezpieczonej sieci, należy to zrobić za pośrednictwem komputerów niepołączonych z siecią szpitalnej i bez możliwości tworzenia kopii zapasowych lub przekazywania danych.
2.11. Należy przewidzieć potencjalne wewnętrzne zagrożenie w szpitalu (choć ograniczone do 2 % incydentów 8 ) z podejściem opartym na analizie ryzyka do tego, co może być najwłaściwszym poziomem nadzoru, niezależnie od tego, czy odbywa się to za pośrednictwem sieci komputerowych, nadzoru fizycznego, takiego jak kamery, czy też poprzez punkty kontroli dostępu, takie jak przepustki pracownicze. W dialogu społecznym w szpitalach i w sektorze zdrowia należy uniknąć przeobrażenia nadzoru w ingerencję.
2.12. Zdaniem EKES-u szpitale w UE muszą dysponować planami zarządzania incydentami i planami ciągłości działania, w tym procedurami reagowania na incydenty, zapasowymi rozwiązaniami w zakresie komunikacji i odłączonymi kopiami zapasowymi, aby szybko i skutecznie reagować w przypadku ataku. Istotną częścią planów zarządzania incydentami i planów ciągłości działania są częste testy warunków skrajnych, symulujące scenariusze cyberataku w środowisku wirtualnym, umożliwiające pomiar stopnia i poziomu skutków cyberataku oraz weryfikację zdolności reagowania zakładu opieki zdrowotnej. Niezwykle istotne jest odpowiednie zaangażowanie pracowników i przekazanie im konkretnych umiejętności w tym zakresie.
2.13. EKES proponuje opracowanie symulatora cyfrowego zawierającego scenariusze ataku i reagowania, które są łatwe do wdrożenia i wykorzystania. Symulator ten mógłby być wykorzystywany jako narzędzie demonstracyjne na potrzeby działań uświadamiających, informacyjnych i edukacyjnych.
2.14. Częste przeprowadzanie symulacji ataków i sprawdzanie, w jaki sposób stosowany jest plan przywracania sprawności operacyjnej, oraz usprawnienie procedur na kolejny rok budżetowy poprzez zwiększenie liczby osób przeszkolonych w zakresie tych planów albo poprzez opracowywanie prostszych i jaśniejszych instrukcji.
2.15. W przypadku gdy atak nie został wykryty i spowodował poważne uszkodzenie funkcjonowania ze względu na jego złożony charakter, konieczne jest zastosowanie trybu awaryjnego z tymczasowym powrotem do trybu ręcznego, aby nie blokować operacji na początku ataku. Pracownicy muszą być przeszkoleni w zakresie organizacji usługi w formie papierowej do czasu przywrócenia funkcjonowania działu informatycznego. Ręcznego wprowadzenia działań dokonuje się a posteriori.
2.16. Każdy sprzęt z mikroprocesorem (lub dokumentacją dołączoną do sprzętu) zainstalowany w szpitalu musi zostać uprzednio sprawdzony przez wewnętrznego pracownika odpowiedzialnego za ryzyko w cyberprzestrzeni, aby ustalić, czy nie zawiera wcześniej wszczepionego wirusa. EKES rozumie, że nie wszystkie szpitale będą mogły dysponować pełnym wewnętrznym działem ds. cyberbezpieczeństwa. Komitet sugeruje, aby osobą do spraw ryzyka (podobną do administratora danych na podstawie RODO) była osoba odpowiedzialna za weryfikację, wspierana przez sprzedawców technologii, ich dział informatyczny lub przez członków tej inicjatywy.
2.17. EKES apeluje o zwrócenie uwagi na jednostki medyczne pozbawione usług informatycznych i zwraca się o wyjaśnienie roli ENISA w zakresie dostarczania oprogramowania lub bezpiecznych serwerów; zachęca pionierskie szpitale do wymiany doświadczeń w zakresie cyberbezpieczeństwa i wkładu w naukę cyberbezpieczeństwa mniejszych podmiotów.
2.18. Europejski plan działania mógłby obejmować - jako standardową praktykę - stosowanie etycznych hakerów i organizacji nienastawionych na zysk, ułatwiając formalną współpracę lub programy umożliwiające instytucjom opieki zdrowotnej wykorzystanie tej zewnętrznej wiedzy fachowej bez ponoszenia znacznych obciążeń finansowych. Zwiększyłoby to nie tylko ogólne bezpieczeństwo cybernetyczne, ale również przyczyniłoby się do szerszej kultury współpracy i wymiany wiedzy w tym sektorze.
2.19. EKES proponuje by, zgodnie z prawodawstwem państw członkowskich, wykorzystać rokowania zbiorowe i umowy zbiorowe do zapewnienia spójnej instytucjonalnej reakcji na cyberataki, do ochrony prywatności i właściwego zarządzania danymi, a także do konsolidacji dialogu społecznego i zaangażowania partnerów społecznych w monitorowanie i kontrolę procesów dotyczących cyberataków i prywatności danych pracowników i pacjentów. Podkreślamy potrzebę omówienia ryzyka stresu psychologicznego związanego z cyberbezpieczeństwem w ramach dialogu społecznego.
2.20. Teoria "włóczni i tarczy" oznacza, że atakujący przemieszczają się szybciej niż obrońcy, a innowacje w dziedzinie przestępczości również nabierają tempa. W ośrodkach pomocy, oprócz wywiadu na temat zagrożeń, należy również prowadzić działania mające na celu analizę sytuacji i dostosowanie działań do przyszłych wyzwań. Na przykład podmioty stwarzające zagrożenie oprogramowaniem szantażującym mogą nie tylko dopuszczać się zwykłych naruszeń danych, ale nawet w przypadkach przywrócenia dostępu mogą wybiórczo narazić integralność danych (szczególnie jeżeli cel jest strategiczny).
2.21. Cyberbezpieczeństwo rozciąga się obecnie na wiele innych sfer niż tylko oprogramowanie i łączność. Obejmuje również elementy systemów fizycznych, a także sztuczną inteligencję. Priorytetowo należy potraktować połączenie procesów zabezpieczania i obowiązkowych wymogów, takich jak w rozporządzeniu w sprawie wyrobów medycznych lub w unijnym akcie w sprawie sztucznej inteligencji.
2.22. EKES zaleca w jak największym stopniu umieszczanie danych wrażliwych najlepiej w publicznych, suwerennych europejskich chmurach medycznych - z podwójną lub potrójną weryfikacją dostępu upoważnionych osób do danych. Pomaga to również w szybkim przywróceniu funkcjonowania po ataku na systemy komputerowe.
Bruksela, dnia 18 czerwca 2025 r.
Komitet Stały Rady Ministrów wprowadził bardzo istotne zmiany do projektu ustawy przygotowanego przez Ministerstwo Rodziny, Pracy i Polityki Społecznej – poinformował minister Maciej Berek w czwartek wieczorem, w programie „Pytanie dnia” na antenie TVP Info. Jak poinformował, projekt nowelizacji ustawy o PIP powinien trafić do Sejmu w grudniu 2025 roku, aby prace nad nim w Parlamencie trwały w I kwartale 2026 r.
05.12.2025
4 grudnia Komitet Stały Rady Ministrów przyjął projekt zmian w ustawie o PIP - przekazało w czwartek MRPiPS. Nie wiadomo jednak, jaki jest jego ostateczny kształt. Jeszcze w środę Ministerstwo Zdrowia informowało Komitet, że zgadza się na propozycję, by skutki rozstrzygnięć PIP i ich zakres działał na przyszłość, a skutkiem polecenia inspektora pracy nie było ustalenie istnienia stosunku pracy między stronami umowy B2B, ale ustalenie zgodności jej z prawem. Zdaniem prawników, to byłaby kontrrewolucja w stosunku do projektu resortu pracy.
05.12.2025
Przygotowany przez ministerstwo pracy projekt zmian w ustawie o PIP, przyznający inspektorom pracy uprawnienie do przekształcania umów cywilnoprawnych i B2B w umowy o pracę, łamie konstytucję i szkodzi polskiej gospodarce – ogłosili posłowie PSL na zorganizowanej w czwartek w Sejmie konferencji prasowej. I zażądali zdjęcia tego projektu z dzisiejszego porządku posiedzenia Komitetu Stałego Rady Ministrów.
04.12.2025
Prezydent Karol Nawrocki podpisał we wtorek ustawę z 7 listopada 2025 r. o zmianie ustawy o ochronie zwierząt. Jej celem jest wprowadzenie zakazu chowu i hodowli zwierząt futerkowych w celach komercyjnych, z wyjątkiem królika, w szczególności w celu pozyskania z nich futer lub innych części zwierząt. Zawetowana została jednak ustawa zakazująca trzymania psów na łańcuchach. Prezydent ma w tym zakresie złożyć własny projekt.
02.12.2025
Resort pracy nie podjął nawet próby oszacowania, jak reklasyfikacja umów cywilnoprawnych i B2B na umowy o pracę wpłynie na obciążenie sądów pracy i długość postępowań sądowych. Tymczasem eksperci wyliczyli, że w wariancie skrajnym, zakładającym 150 tys. nowych spraw rocznie, skala powstałych zaległości rośnie do ponad 31 miesięcy dodatkowej pracy lub koniecznego zwiększenia zasobów sądów o 259 proc. Sprawa jest o tyle ważna, że na podobnym etapie prac są dwa projekty ustaw, które – jak twierdzą prawnicy – mogą zwiększyć obciążenie sądów.
25.11.2025
Rada Ministrów przyjęła projekt nowelizacji ustawy o Funduszu Medycznym - poinformował w środę rzecznik rządu Adam Szłapka. Przygotowana przez resort zdrowia propozycja zakłada, że Narodowy Fundusz Zdrowia będzie mógł w 2025 r. otrzymać dodatkowo około 3,6 mld zł z Funduszu Medycznego. MZ chce również, by programy inwestycyjne dla projektów strategicznych były zatwierdzane przez ministra zdrowia, a nie jak dotychczas, ustanawiane przez Radę Ministrów. Zamierza też umożliwić dofinansowanie programów polityki zdrowotnej realizowanych przez gminy w całości ze środków Funduszu Medycznego.
19.11.2025| Identyfikator: | Dz.U.UE.C.2025.4215 |
| Rodzaj: | Opinia |
| Tytuł: | Opinia Europejskiego Komitetu Ekonomiczno-Społecznego - Komunikat Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów Europejski plan działania w sprawie cyberbezpieczeństwa szpitali i świadczeniodawców |
| Data aktu: | 20/08/2025 |
| Data ogłoszenia: | 20/08/2025 |