De Europese Commissie stelt een EU-breed actieplan voor om de gezondheidszorgsector in de EU te beschermen.
Onderdeel van dit plan is de oprichting van een speciaal centrum binnen het EU-cyberveiligheidsagentschap ENISA om gezondheidsorganisaties te beschermen tegen cyberdreigingen.
Volgens gezondheidscommissaris Oliver Várhelyi is één op de twee ziekenhuizen in Europa slachtoffer van een cyberaanval. Commissievoorzitter Ursula von der Leyen beloofde dit probleem binnen 100 dagen van haar tweede termijn aan te pakken.
Impact van ransomware
Het woensdag aangekondigde plan wil verschillende cyberproblemen aanpakken die de gezondheidssector raken. Veel van deze problemen worden verergerd door de hoge kans dat losgeld wordt betaald, omdat weigeren dit te doen letterlijk levensbedreigend kan zijn.
Het plan voorziet in de oprichting van een Cybersecurity Support Centre binnen ENISA. Dit diedt gezondheidsorganisaties op maat gemaakte basisondersteuning op het gebied van cyberveiligheid.
Daarnaast ontwikkelt men cybersecuritytrainingen voor gezondheidsprofessionals. Tegen 2026 moet er een EU-brede waarschuwingsdienst zijn voor het detecteren van dreigingen.
Geen extra financiering
Hoewel het nieuwe plan meer verantwoordelijkheid bij ENISA legt, is er geen extra financiering voorzien. Het actieplan beoogt ook de oprichting van een specifiek responsmechanisme voor de gezondheidszorg binnen de EU Cybersecurity Reserve, onderdeel van de Cyber Solidarity Act (CSA). Deze reserve ondersteunt EU-landen bij het reageren op grootschalige cyberincidenten met technische assistentie, coördinatie en financiële middelen.
Verder wil de Commissie gebruik maken van de Cyber Diplomacy Toolbox, een EU-coördinatiemechanisme voor diplomatieke verklaringen en sancties, om schadelijke cyberactiviteiten te ontmoedigen. Dit zou ook de gezondheidssector ten goede komen.
Wat betreft financiering vraagt de Commissie EU-landen om bij te dragen en beveelt zij de ontwikkeling aan van Cybersecurity Vouchers. Dit om kleine zorgorganisaties te ondersteunen bij het verhogen van hun cyberveiligheidsuitgaven. Dit concept is vergelijkbaar met innovatievouchers die eerder financiering hebben ondersteund voor het mkb.
Losgeldbetaling melden
De Commissie moedigde landen ook aan om zorginstellingen te verplichten losgeldbetalingen te melden. Dit is echter een complex punt, aangezien nationale overheden openbare instellingen vaak instrueren geen losgeld te betalen, maar velen dit toch doen om de controle over hun systemen terug te krijgen. Het betalen van losgeld maakt het ook minder waarschijnlijk dat dit wordt gerapporteerd.
Hoewel de gezondheidszorg gebonden is aan EU-cyberregels, waaronder de NIS2-richtlijn die normen stelt voor cyberbeveiliging en -rapportage voor belangrijke en kritieke entiteiten, wordt deze richtlijn in de meeste EU-lidstaten te laat omgezet.
De gezondheidssector valt ook onder de Cyber Resilience Act (CRA), de EU-regelgeving die producten beschermt, inclusief softwarecomponenten.
De Commissie zal naar verwachting een openbare raadpleging over het actieplan lanceren, wat tegen eind 2025 moet resulteren in een niet-bindende aanbeveling.
Geliefd doelwit voor cybercriminelen
De gezondheidszorg is een van de meest getroffen sectoren vanwege de hoge risico’s.
Volgens de laatste ENISA-gegevens was bijna 54% van de aanvallen op de gezondheidssector tussen januari 2021 en maart 2023 ransomware, waarbij ziekenhuizen in 42% van de gevallen het doelwit waren.
Gezondheidszorginstellingen zijn doorgaans minder cyberrijp dan andere sectoren. Leidinggevenden geven vaak prioriteit aan medische apparatuur boven IT-systemen en cyberbescherming. Bovendien is het aantrekken van cybersecurityprofessionals een uitdaging voor de sector, aangezien de privésector meestal aantrekkelijkere mogelijkheden biedt.
Het actieplan werd gepresenteerd door de uitvoerend vicevoorzitter van de Commissie, verantwoordelijk voor technologische soevereiniteit, Henna Virkkunen, en Várhelyi.