EUROPEJSKI KOMITET REGIONÓW (KR)

1. Zauważa, że środki cyberbezpieczeństwa nie nadążają za trwającą transformacją cyfrową zakładów opieki zdrowotnej i świadczenia opieki zdrowotnej, co de facto czyni opiekę zdrowotną głównym celem dla wrogich podmiotów.

2. Dlatego z zadowoleniem przyjmuje publikację planu, która następuje w samą porę i ma szczególne znaczenie w obliczu nasilających się cyberataków na europejskie szpitale i świadczeniodawców.

3. Ostrzega, że zagrożenia cyberbezpieczeństwa mają konsekwencje geopolityczne, i wyraża głębokie przekonanie, że cyberbezpieczeństwo w opiece zdrowotnej jest nie tylko kwestią techniczną, ale również sprawą bezpieczeństwa lokalnego, regionalnego, krajowego i europejskiego.

4. Przestrzega, że wzrost cyberprzestępczości, do którego doszło od czasu wybuchu pandemii COVID-19, nie słabnie. Cyberataki przeprowadzane z zagranicy i sponsorowane przez państwo nie tylko koncentrują się na cyberszpiegostwie i kradzieży własności intelektualnej, ale również mają na celu destabilizację całych społeczeństw.

5. Apeluje o nałożenie wymogu uwzględnienia cyberbezpieczeństwa już w fazie projektowania poprzez wdrażanie proaktywnych środków cyberbezpieczeństwa od momentu rozwoju nowych technologii, które znajdują zastosowanie w opiece zdrowotnej. W związku z tym apeluje do publicznych świadczeniodawców opieki zdrowotnej o zakup wyłącznie dojrzałych produktów w odniesieniu do rozwiązań w zakresie cyberbezpieczeństwa - w tym systemów rezerwowych i systemów awaryjnych gwarantujących bezpieczeństwo pacjentów nawet w przypadku zakłóceń w funkcjonowaniu sieci.

6. Podkreśla, że w przypadkach, w których nie da się zapobiec atakom, można za pośrednictwem unijnej rezerwy cyberbezpieczeństwa, ustanowionej na mocy aktu w sprawie cybersolidarności, udostępnić specjalną usługę szybkiego reagowania dla sektora zdrowia. Główna odpowiedzialność spoczywa jednak na szczeblu lokalnym i regionalnym.

7. Popiera prace prowadzone przez Światową Organizację Zdrowia (Biuro Regionalne WHO dla Europy) w dziedzinie e-zdrowia i zobowiązuje się do współpracy w tej kwestii z WHO, realizując wspólnie podpisany plan działania na lata 2025-2026.

8. Pozytywnie ocenia przewodnik Biura Regionalnego WHO dla Europy z 2025 r. dotyczący ocen ryzyka w zakresie cyberbezpieczeństwa i prywatności w obszarze e-zdrowia, który zapewnia ramy, by pomagać krajom i organizacjom w opracowywaniu strategii oceny ryzyka dostosowanych do ich swoistych potrzeb, celów i wymogów regulacyjnych.

9. Zwraca uwagę na coraz większy wpływ sztucznej inteligencji (AI) zarówno jako wektora zagrożeń (zaawansowany phishing, deepfake'i), jak i jako potencjalnego narzędzia obrony (wykrywanie anomalii i zapewnianie automatycznych reakcji), i proponuje, aby w planie działania uwzględniono oba aspekty AI.

O ramach prawnych

10. Zaznacza, że plan działania opiera się na istniejących ramach prawnych w dziedzinie cyberbezpieczeństwa, w szczególności na dyrektywie NIS 2, akcie w sprawie cybersolidarności, akcie o cyberbezpieczeństwie, rozporządzeniu w sprawie wyrobów medycznych i akcie dotyczącym cyberodporności. Odnotowuje też powiązanie między planem a projektem zalecenia Rady w sprawie Planu działania UE na rzecz zarządzania kryzysowego w dziedzinie cyberbezpieczeństwa.

11. Ostrzega, że zmieniający się krajobraz cechują złożoność oraz pokrywanie się mechanizmów certyfikacji w ramach aktu o cyberbezpieczeństwie, rozporządzenia w sprawie wyrobów medycznych i aktu w sprawie sztucznej inteligencji. To może prowadzić do fragmentacji i arbitrażu regulacyjnego, zwłaszcza odnośnie do dobrowolnych systemów uczestnictwa.

12. Popiera cele finansowanego przez UE projektu CYMDSEC ⁽¹⁾ zmierzającego do tego, by zwiększyć cyberbezpie- czeństwo w systemach opieki zdrowotnej poprzez kompleksową ocenę takich elementów jak projekt urządzeń i infrastruktury sieciowej, cyberbezpieczeństwo i ramy regulacyjne.

13. Proponuje zbadanie, czy powiązanie wymogów rozporządzeń wykonawczych dotyczących stosowania zarówno dyrektywy NIS 2 z wymogami rozporządzenia (UE) 2016/679 w sprawie ochrony danych osobowych mogłoby być korzystne dla wyeliminowania nakładania się procedur administracyjnych odnośnie do wdrażania konkretnych środków.

14. Zwraca uwagę, że stopniowe pojawianie się konkretnych przepisów prowadzi do nakładania się na siebie wymogów, które są trudne do zastosowania i odpowiedniego spełnienia. Należy zadbać o powiązanie ze sobą wymogów i wyeliminowanie pokrywania się przepisów już na samym początku procedury opracowywania nowej regulacji.

O dyrektywie w sprawie odporności podmiotów krytycznych

15. Wskazuje, że dyrektywa w sprawie odporności podmiotów krytycznych, w której uznano zdrowie za "kluczową usługę dla społeczeństwa i gospodarki" oraz wzmocniono odporność infrastruktury krytycznej i podmiotów krytycznych na szereg zagrożeń, w tym cyberprzestępczość, weszła w życie 18 października 2024 r.

16. Wzywa 24 państwa członkowskie, które otrzymały pod koniec listopada 2024 r. wezwanie do usunięcia uchybienia, by natychmiast transponowały wyżej wymienioną dyrektywę do prawa krajowego.

17. Apeluje, by Komisję Europejska wszczęła postępowania w sprawie uchybienia zobowiązaniom państwa członkowskiego w przypadku braku zadowalającej odpowiedzi w wyznaczonym terminie. Uważa tę kwestię za zbyt ważną dla bezpieczeństwa europejskiego, krajowego, regionalnego i lokalnego, aby można było ją potraktować lekko.

18. Przypomina państwom członkowskim, że są zobowiązane do wskazania do 17 lipca 2026 r. swoich podmiotów krytycznych dla każdego sektora (w tym sektora zdrowia) określonego w dyrektywie w sprawie odporności podmiotów krytycznych. Wzywa państwa członkowskie do przyspieszenia wskazania krytycznych świadczeniodawców i udzielenia im konkretnego wsparcia w budowaniu zdolności.

19. Wyraża zaniepokojenie, że zdecydowana większość szpitali w UE nigdy nie przeprowadziła oceny ryzyka związanego z bezpieczeństwem, jak informuje Dyrekcja Generalna ds. Sieci Komunikacyjnych, Treści i Technologii Komisji Europejskiej.

20. Jest również zaniepokojony, że tylko jedna czwarta organizacji objętych badaniem w ramach przygotowania sprawozdania ENISA z 2023 r. posiadała specjalny program obrony przed oprogramowaniem szantażującym.

21. Dostrzega, że standardy regulacji w zakresie cyberbezpieczeństwa ustanowiono w ciągu ostatnich 5-6 lat wraz z przyjęciem zaktualizowanej dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (NIS 2), aktu dotyczącego cyberodporności, aktu w sprawie operacyjnej odporności cyfrowej (DORA), dyrektywy w sprawie odporności podmiotów krytycznych oraz aktu w sprawie sztucznej inteligencji. Z zadowoleniem przyjmuje zamiar Komisji, by skupić się na szpitalach i świadczeniodawcach w celu poprawy ich cyberodporności i przypomina, jak ważne jest zapewnienie spójności i zgodności między różnymi instrumentami przy jednoczesnym ograniczeniu powielania działań.

22. Sugeruje, aby państwa członkowskie wprowadziły regularne, koordynowane przez rząd ćwiczenia w zakresie incydentów cybernetycznych z udziałem zarówno krajowych, jak i regionalnych świadczeniodawców opieki zdrowotnej.

O dyrektywie NIS 2

23. Zwraca uwagę, że od października 2024 r. oficjalnie zaczęto stosować dyrektywę NIS 2, która zobowiązuje szpitale, świadczeniodawców, producentów wyrobów medycznych i przedsiębiorstwa farmaceutyczne do przyjęcia solidnych środków cyberbezpieczeństwa.

⁽¹⁾ Strona główna - Cymedsec.

24. Wyraża zaniepokojenie, że tylko sześć państw członkowskich całkowicie lub częściowo wprowadziło dyrektywę do prawa krajowego w wyznaczonym terminie.

25. Dostrzega, że wdrożenie wiąże się z poważnymi wyzwaniami, zwłaszcza w przypadku sektora opieki zdrowotnej, ze względu na pokrywanie się z obowiązującymi przepisami, takimi jak rozporządzenie w sprawie wyrobów medycznych, europejska przestrzeń danych dotyczących zdrowia i akt dotyczący cyberodporności.

O roli samorządów lokalnych i regionalnych

26. Apeluje, by Komisja pamiętała, że w 19 z 27 państw członkowskich zarządzanie systemami opieki zdrowotnej, a w szczególności szpitalami, jest w większym lub mniejszym stopniu zdecentralizowane. Wyraża rozczarowanie, że w komunikacie brakuje wzmianki o szczeblu regionalnym i lokalnym. Uważa ten brak za niepokojący, ponieważ pomija się w ten sposób realia dotyczące odpowiedzialności za świadczeniodawców i zarządzania nimi w dwóch trzecich państw członkowskich UE.

27. Wnosi, by państwa członkowskie w pełni włączyły swoje regiony w opracowywanie i wdrażanie wszelkich strategii cyberbezpieczeństwa. Wskazuje, że władze regionalne często przodują w inicjatywach dotyczących e-zdrowia, a ich wiedza fachowa na temat wdrażania rozwiązań w zakresie e-zdrowia może mieć zasadnicze znaczenie dla pomyślnego wprowadzenia nowych protokołów i środków cyberbezpieczeństwa.

28. Podkreśla, że poza kwestią zarządzania zdecentralizowanego systemy opieki zdrowotnej w całej Europie są bardzo różne i obejmują szereg organizacji, od całkowicie publicznych do całkowicie prywatnych, w tym także hybrydowe partnerstwa publiczno-prywatne. Przestrzega w związku z tym, że podmioty publiczne często podlegają ograniczeniom budżetowym i prawnym pułapom wynagrodzeń, co czyni je mniej atrakcyjnymi jako pracodawców dla specjalistów w dziedzinie cyberbezpieczeństwa.

29. Wnosi, aby państwa członkowskie tworzyły sieci regionalnych centrów wsparcia cyberbezpieczeństwa dla szpitali i świadczeniodawców w celu lepszego powiązania ze sobą realiów lokalnych, krajowych i europejskich. Należy przy tym zwrócić szczególną uwagę na finansowanie rozwoju tych centrów oraz przyciąganie potrzebnych do tego talentów.

30. Zaleca włączenie władz regionalnych i lokalnych w opracowywanie krajowych planów działania koncentrujących się na cyberbezpieczeństwie w sektorze zdrowia.

O kosztach i finansowaniu

31. Twierdzi, że wydatki na cyberbezpieczeństwo trzeba będzie systematycznie wyodrębniać i normalizować w ramach planowania budżetowego. Szpitale i świadczeniodawcy nie mogą na chybił trafił kupować niepowiązanych ze sobą "gadżetów" służących ochronie. Ochronę systemów technologii operacyjnych o krytycznym znaczeniu dla życia w opiece zdrowotnej należy za to regularnie oceniać, finansować i wdrażać.

32. Zwraca uwagę, że zarządzanie systemami informatycznymi i systemami bezpieczeństwa w opiece zdrowotnej oraz ich finansowanie stanowią wyzwanie dla mniejszych regionów.

33. Jest zbulwersowany, że średni koszt wycieków danych spowodowanych atakami z użyciem oprogramowania szantażującego wynosi 8 mln EUR, czyli prawie dwukrotnie więcej niż w innych sektorach.

34. Apeluje o większą jasność co do finansowania, które powinno wspierać ambitne cele określone w planie działania. Domaga się zwłaszcza szczegółowych informacji na temat tego, jak samorządy lokalne i regionalne mogą finansować odpowiednią transformację cyfrową w opiece zdrowotnej.

35. Oczekuje, że Komisja wyjaśni, które działania powinny być finansowane przez państwa członkowskie, a które przez UE. Jeśli chodzi o te ostatnie, pragnie zostać poinformowany o tym, w jaki sposób Program UE dla zdrowia i program "Cyfrowa Europa" będą współoddziaływać na siebie w praktyce.

36. Ostrzega, że oprócz inwestycji w technologię finansowanie musi być ukierunkowane także na inwestycje w kształtowanie kultury organizacyjnej opartej na bezpieczeństwie na każdym szczeblu.

37. Ubolewa z powodu znacznych cięć dokonanych w budżecie Programu UE dla zdrowia w 2024 r. i wzywa państwa członkowskie, by chroniły go przed przyszłymi redukcjami. Ponownie stwierdza, że zdrowie nie jest wydatkiem, lecz inwestycją w indywidualny i zbiorowy dobrostan i odporność.

O cyberodporności w łańcuchach dostaw sektora opieki zdrowotnej

38. Podkreśla, że wiele szpitali i świadczeniodawców polega na przestarzałych wyrobach medycznych i oprogramowaniu, które nie są w stanie wytrzymać nowoczesnych cyberataków. Dostrzega, że w wielu miejscach rozwiązania odziedziczone są niezbędne do prowadzenia działań w zakresie opieki zdrowotnej, ale istnieje ryzyko, że staną się one znaczącą podatnością, gdy nie będą już wspierane lub utrzymywane.

39. Apeluje o stałe i specjalne finansowanie, zarówno ze źródeł krajowych, jak i unijnych, dla szpitali w celu usunięcia niewspieranych odziedziczonych technologii oraz przejścia na bezpieczniejsze i skalowalne rozwiązania oparte na chmurze.

40. Zaleca dostosowanie procedur udzielania zamówień do norm bezpieczeństwa i wzywa do opracowania szczegółowych wytycznych określających, jak uczynić zgodność z kryteriami cyberbezpieczeństwa warunkiem wstępnym udziału w przetargach.

O sile roboczej w dziedzinie cyberbezpieczeństwa

41. Przypomina najważniejsze postulaty swojej opinii w sprawie niedoboru pracowników służby zdrowia i podkreśla, że systemy opieki zdrowotnej borykają się z bezprecedensowymi dotkliwymi i długoterminowymi brakami kluczowego personelu. Wyraża obawę, że równoważenie potrzeb kadrowych stanie się jeszcze bardziej skomplikowane w związku z rosnącą potrzebą zatrudniania informatyków i ekspertów w dziedzinie cyberbezpieczeństwa obok podstawowego personelu medycznego.

42. Wzywa organy publiczne, środowisko akademickie, instytucje kształcenia i szkolenia zawodowego oraz organizacje pozarządowe, by zainicjowały kampanie społeczne mające na celu przełamanie stereotypów dotyczących kariery zawodowej w dziedzinie cyberbezpieczeństwa, przyciągnięcie większej liczby kobiet do zawodu oraz uwypuklenie wszechstronności kariery związanej z cyberbezpieczeństwem w opiece zdrowotnej.

43. Wnosi, aby stworzono ogólnounijne ramy certyfikacji szkolenia, dzięki którym będzie można łatwiej przenosić i uznawać kwalifikacje w zakresie cyberbezpieczeństwa jako jednej z umiejętności w sektorze opieki zdrowotnej.

44. Zauważa, że w przypadku naruszeń ochrony danych istotnym czynnikiem jest błąd ludzki, ponieważ ludzie przez nieuwagę dają się nabrać na scamy związane z phishingiem, nieprawidłowo konfigurują ustawienia bezpieczeństwa lub nie stosują się do ustalonych protokołów. Apeluje, by w całym sektorze zdrowia priorytetowo potraktowano szkolenia i kwestię świadomości ryzyka. Wyraża przekonanie, że cyberbezpieczeństwo nie może być wąską dziedziną pozostawioną działowi IT, lecz wspólną odpowiedzialnością.

45. Zaleca, by wprowadzić obowiązkowe szkolenia mające na celu podnoszenie świadomości na temat cyberbezpie- czeństwa dla wszystkich pracowników sektora opieki zdrowotnej. Tym szkoleniom powinny towarzyszyć zachęty ukierunkowane na wyniki.

O poszczególnych elementach planu działania

46. Z zadowoleniem przyjmuje pomysł bonów cyberbezpieczeństwa i wzywa państwa członkowskie, aby wprowadziły ten środek w celu udzielenia pomocy finansowej mikroszpitalom i małym i średnim szpitalom oraz innym świadczeniodawcom.

47. Podkreśla, że, jak przewiduje plan działania, państwa członkowskie zobowiązują podmioty objęte dyrektywą NIS 2, w tym organizacje opieki zdrowotnej, do zgłaszania płatności z tytułu okupu podczas zgłaszania właściwemu organowi poważnych cyberincydentów na podstawie dyrektywy NIS 2. Zgadza się, że takie zgłaszanie poprawiłoby gromadzenie danych i ocenę skuteczności środków podejmowanych przeciwko atakom z użyciem oprogramowania szantażującego. Domaga się jednak bardziej szczegółowych informacji na temat sposobu wdrożenia tej sprawozdawczości, biorąc pod uwagę, że nie jest ona obowiązkowa na mocy dyrektywy NIS 2.

48. Zauważa, że w planie działania wzywa się producentów wyrobów medycznych i wyrobów do diagnostyki in vitro do dobrowolnego przesyłania zgłoszeń dotyczących aktywnie wykorzystywanych podatności lub poważnych cyberincydentów mających wpływ na bezpieczeństwo ich wyrobów. Podkreśla, że ci producenci nie są objęci zakresem aktu dotyczącego cyberodporności, i zaleca, aby w trwającej ocenie rozporządzeń uwzględniono kwestię większej spójności między tymi ramami regulacyjnymi.

49. Popiera pomysł utworzenia europejskiej sieci głównych inspektorów ds. bezpieczeństwa informacji w dziedzinie zdrowia, aby eksperci mogli dzielić się najlepszymi praktykami, włączając w to strategie zatrzymywania talentów i rozwiązania w zakresie przyciągania specjalistów ds. cyberbezpieczeństwa do sektora opieki zdrowotnej. Wnosi, by Komisja i państwa członkowskie zadbały o to, aby do sieci mogli również przystępować eksperci wyznaczeni przez władze regionalne.

50. Pozytywnie ocenia utworzenie Europejskiego Centrum Wsparcia Cyberbezpieczeństwa dla Szpitali i Świadczeniodawców Opieki Zdrowotnej w ramach ENISA. Odnotowuje znaczną liczbę zadań, które nowe centrum wsparcia ma realizować, i wzywa Komisję, by przedstawiła dalsze informacje na temat składu i finansowania centrum.

51. Apeluje, by Komisja włączyła władze regionalne i lokalne w tworzenie "przyjaznego dla użytkownika i łatwo dostępnego" repozytorium zawierającego wszystkie dostępne instrumenty gotowości, zapobiegania, wykrywania i reagowania. Repozytorium, utworzone przez centrum wsparcia, powinno obejmować narzędzia i polityki ze wszystkich szczebli sprawowania rządów.

O zaufaniu i prywatności

52. Twierdzi, że bezpieczeństwo i prywatność są ze sobą wzajemnie powiązane: środki bezpieczeństwa chronią poufność, integralność i dostępność danych, a te cechy są podstawą prywatności. Jednocześnie przepisy dotyczące prywatności często wprowadzają szczególne kontrole bezpieczeństwa w celu ochrony danych osobowych. Ochrona prywatności buduje zaufanie pacjentów i świadomość w zakresie cyberbezpieczeństwa, dzięki czemu szczególnie chronione informacje na temat zdrowia są traktowane z zachowaniem staranności.

53. Zwraca uwagę na sprawozdanie ENISA z 2024 r. na temat stanu cyberbezpieczeństwa w Unii i zawarte w nim ustalenia, zgodnie z którymi dojrzałość unijnego sektora zdrowia w zakresie cyberbezpieczeństwa jest "umiarkowana" i istnieją duże różnice pod względem poziomu dojrzałości w zakresie cyberbezpieczeństwa między podmiotami opieki zdrowotnej w całej Europie. Podkreśla, że dane pacjentów muszą być chronione, aby zapewnić stałe zaufanie pacjentów do europejskiej przestrzeni danych dotyczących zdrowia.

54. Uważa, że urzeczywistnienie europejskiej przestrzeni danych dotyczących zdrowia będzie wymagało większego skupienia się na zabezpieczeniu krajowej i transgranicznej wzajemnie powiązanej infrastruktury, takiej jak krajowe punkty kontaktowe ds. e-zdrowia. Ta infrastruktura staje się niezbędna dla ochrony danych na dużą skalę i Komitet jest zdania, że należy zatem opracować konkretne środki w tym celu.