De Europese Commissie heeft een actieplan gepresenteerd om de cyberveiligheid van ziekenhuizen en zorgverleners te verbeteren en een veiligere en meer beveiligde omgeving voor patiënten te creëren. Het nieuwe actieplan bouwt voort op bestaande wetgeving, zoals die inzake cyberbeveiliging, en breidt het toepassingsgebied uit tot algemene praktijken.
Het plan moet ertoe leiden dat ziekenhuizen en andere zorginstellingen minder vaak met succes het slachtoffer worden van hackers, datadiefstallen en andere cyberdreigingen. De noodzaak daarvoor groeit naarmate het gebruik van digitale systemen, zoals het EPD, toeneemt. In 2023 was de zorg met 309 significante cyberbeveiligingsincidenten de meest bedreigde kritische sector binnen de EU. In meer dan de helft van die gevallen (54%) bleek het te gaan om ransomware-aanvallen. Dergelijke bedreigingen kunnen niet alleen de zorg voor patiënten in gevaar brengen, maar ook levens.
Actieplan
Het actieplan dat nu is opgesteld door de Europese Commissie tocht zich op een viertal prioriteiten: Het verbeteren van de preventie om cyberaanvallen en -bedreigingen terug te dringen en het verbeteren van de detectie en identificatie van cyberbedreigingen. Ook moet sneller en beter gereageerd kunnen worden op cyberbedreigingen om de gevolgen zoveel mogelijk te beperken. Tot slot moet er ook actie ondernomen worden door de EU om cybercriminelen af te schrikken en zo te tegen te houden.
Verbeterde preventie. Het plan helpt de gezondheidszorg bij het opbouwen van de capaciteit om cyberbeveiligingsincidenten te voorkomen door middel van verbeterde paraatheidsmaatregelen, zoals begeleiding bij het implementeren van kritieke cyberbeveiligingspraktijken. Daarnaast kunnen de lidstaten ook cyberbeveiligingsvouchers invoeren om financiële bijstand te verlenen aan micro-, kleine en middelgrote ziekenhuizen en zorgaanbieders. Ten slotte zal de EU ook leermiddelen op het gebied van cyberbeveiliging ontwikkelen voor professionals in de gezondheidszorg.
Betere detectie en identificatie van bedreigingen. Hiervoor gaat het Cyberbeveiliging ondersteuningscentrum voor ziekenhuizen en zorgverleners tegen 2026 een EU-brede dienst voor vroegtijdige waarschuwing ontwikkelen, die bijna-realtime waarschuwingen afgeeft over potentiële cyberdreigingen.
Respons op cyberaanvallen om de gevolgen tot een minimum te beperken. In het plan wordt een snelle reactiedienst voor de gezondheidssector voorgesteld in het kader van de EU Reserve voor cyberbeveiliging. De reserve, die is ingesteld bij de Cyber Solidarity Act, biedt incidentresponsdiensten van betrouwbare particuliere dienstverleners. Als onderdeel van het plan kunnen nationale cyberbeveiligingsoefeningen worden gehouden en playbooks worden ontwikkeld om organisaties in de gezondheidszorg te helpen reageren op specifieke cyberbeveiligingsbedreigingen, waaronder ransomware. Lidstaten worden aangemoedigd om verslaglegging van losgeldbetalingen te vragen van entiteiten, om hen de ondersteuning te kunnen bieden die ze nodig hebben en follow-up door rechtshandhavingsinstanties mogelijk te maken.
Afschrikking: De Europese gezondheidszorgsystemen beschermen door actoren van cyberdreigingen ervan te weerhouden ze aan te vallen. Dit omvat het gebruik van de Cyber Diplomacy Toolbox, een gezamenlijke diplomatieke reactie van de EU op kwaadaardige cyberactiviteiten.
Fors meer cyberbedreigingen sinds ‘Corona’
Het aantal cyberbedreigingen in de zorg is met name tijdens en rondom de COVID-19 pandemie fors gestegen, toen ziekenhuizen, huisartsen en andere zorginstellingen noodgedwongen – en daardoor vaak ‘overhaast’ - meer digitale oplossingen moesten implementeren om de zorg voor patiënten nog enigszins op peil te kunnen houden.
Die toename bleek ook uit de eerste analyse van het cyberdreigingslandschap voor de gezondheidssector van het Europees Agentschap voor Cyberveiligheid (ENISA) die in 2023 werd gepubliceerd. Tussen januari 2021 en maart 2023 werd de EU getroffen door veelvuldige cyberaanvallen. Meer dan de helft daarvan (53%) trof zorgverleners en 42 procent was specifiek gericht op ziekenhuizen.
Bij het aantreden van de nieuwe EU-Commissie, in 2024, werd al aangekondigd dat de commissie voornemens was het mandaat voor de cyberbeveiliging van de zorg aan te zullen scherpen. Een dag na het bekendmaken van die ambitie werd de wereld getroffen door de ‘Crowdstrike IT uitval’. Daardoor werden ook veel zorginstellingen getroffen, waarmee de noodzaak voor het nu gepresenteerde actieplan extra onderstreept werd.
