Op 15 januari heeft de Commissie een EU-actieplan gepresenteerd om de cyberbeveiliging van ziekenhuizen en zorgverleners te verbeteren. Als de sector dreigingen beter kan detecteren, erop paraat is en erop kan reageren, creëert dat een veiliger omgeving voor patiënten en zorgverleners.
Z-CERT, het Nederlandse expertisecentrum voor cybersecurity in de zorg, verwelkomt het actieplan van de Europese Commissie: “Dit is een belangrijke stap om de patiëntveiligheid en de continuïteit van zorgprocessen te beschermen. Als cybersecurity expertisecentrum voor de zorgsector in Nederland en voorzitter van de European Health ISAC benadrukken wij het belang van nauwe samenwerking op Europees niveau”, reageert directeur Wim Hafkamp, op de Z-CERT-site.
Digitalisering is een van de belangrijkste pijlers van de zorgtransitie. De keerzijde van innovaties als elektronische patiëntendossiers, geneeskunde op afstand en diagnoses met behulp van AI is een nieuwe kwetsbaarheid door cyberaanvallen. Van alle kritieke sectoren in de EU-lidstaten heeft de zorg het hoogste aantal grote cyberincidenten: in 2023 ging dat om 309 gemelde calamiteiten.
In het actieplan wordt onder meer voorgesteld dat Enisa, het EU-agentschap voor cyberbeveiliging, een pan-Europees ondersteuningscentrum voor cyberbeveiliging voor ziekenhuizen en zorgverleners opricht. Dat moet richtlijnen, hulpmiddelen, diensten en opleidingen op maat bieden. Het bouwt voort op het bredere EU-kader om de cyberbeveiliging in belangrijke infrastructuur te verbeteren en is het eerste initiatief voor één specifieke sector waarin alle cybermaatregelen van de EU worden uitgerold.
Het actieplan heeft vier prioriteiten:
- Betere preventie. Het plan helpt de zorgsector om meer vermogen op te bouwen om cyberincidenten te voorkomen. Paraatheid kan verbeteren door gerichte maatregelen, zoals richtlijnen voor meer cyberbeveiliging. Ook kunnen de lidstaten met cyberbeveiligingsvouchers financiële bijstand verlenen aan micro-, kleine en middelgrote ziekenhuizen/behandelcentra en zorgverleners. De EU gaat ook leermiddelen voor cyberbeveiliging ontwikkelen voor zorgverleners.
- Betere detectie van bedreigingen. Uiterlijk 2026 zal het ondersteuningscentrum voor cyberbeveiliging een dienst voor vroegtijdige waarschuwing in de hele EU ontwikkelen. Zo zullen gebruikers vrijwel realtime waarschuwingen over potentiële cyberdreigingen ontvangen.
- Reactie op cyberaanvallen om de gevolgen zoveel mogelijk te beperken. Het plan stelt een quick reaction service voor de zorgsector voor. In het teken van het plan kunnen nationale cyberoefeningen plaatsvinden. Er kunnen ook draaiboeken worden ontwikkeld om zorgorganisaties te helpen hoe ze op specifieke cyberdreigingen – zoals ransomware – moeten reageren. Daaronder valt ook een aanmoediging om instanties te vragen losgeldeisen te melden, zodat ondersteuning bij de (juridische) afwikkeling mogelijk is.
- Afschrikking. De Europese zorgorganisaties beschermen tegen aanvallen. De toolbox voor cyberdiplomatie, een gezamenlijke diplomatieke reactie van de EU op kwaadwillige cyberactiviteiten, is met dat doel ontwikkeld.
De uitvoering van het actieplan vindt plaats in samenwerking met de zorgorganisaties, lidstaten en cyberbeveiligingsgemeenschap. Om de beste maatregelen zodanig verder te verfijnen dat patiënten en zorgverleners er baat bij hebben, zal de Europese Commissie binnenkort een openbare raadpleging over het plan houden. Alle burgers en belanghebbenden kunnen daaraan deelnemen.
