De Europese Commissie heeft woensdag een actieplan voorgesteld om de cyberveiligheid bij de ziekenhuizen en andere zorgverstrekkers te verbeteren. Ze wil onder meer inzetten op het detecteren van bedreigingen en het opleiden van het personeel.
Het actieplan was voorgesteld als een van de prioriteiten voor de eerste 100 dagen van de nieuwe Europese Commissie. In een sector die door een digitale revolutie gaat, is extra aandacht voor cyberveiligheid groot, zeker omdat de aanvallen een directe impact kunnen hebben op de gezondheid van de burgers, klonk het woensdag bij de Commissie.
De gezondheidssector is bovendien een van de grootste doelwitten van cybercriminelen. In 2023 meldden de lidstaten 309 belangrijke incidenten op vlak van cyberveiligeid in de gezondheidssector, meer dan in elke andere kritieke sector. Volgens Henna Virkkunen, vicevoorzitter van de Commissie bevoegd voor technologische soevereiniteit, is 53 procent van de zorgverstrekkers, waaronder 42 procent van de ziekenhuizen, al eens getroffen door een cyberaanval. De kosten voor een "groot incident", kunnen oplopen tot 300.000 euro, aldus de Finse.
Het actieplan, dat nog verder moet worden uitgewerkt met de lidstaten, de sector en de stakeholders, focust op vier prioriteiten: een betere preventie van aanvallen, een betere detectie en identificatie van bedreigingen, het beantwoorden van dreigingen om de impact te verminderen en afschrikking.
Het stelt verschillende maatregelen voor, zoals de oprichting van een pan-Europees centrum voor de ondersteuning van ziekenhuizen en zorgverstrekkers op te richten binnen het Europees agentschap voor de cyberveiligheid (ENISA) dat moet voorzien in begeleiding, hulpmiddelen, opleidingen en diensten.Het centrum zal tegen 2026 een vroegtijdig waarschuwingssysteem op poten zetten om bedreigingen op te sporen.
De lidstaten kunnen ook financiële steun bieden aan kleine en middelgrote ziekenhuizen en zorgverstrekkers, bijvoorbeeld in de vorm van een voucher. Hoe zo'n steun kan worden gefinancierd - door de lidstaten of via Europese fondsen - moet nog bekeken worden, zei een Europese bron woensdag. De lidstaten worden ook aangemoedigd om betalingen van ransomware op te lijsten om zo een beter beeld te krijgen van de problematiek.
Een Europese bron erkent dat dit een lastige vraag kan zijn, omdat bedrijven over het algemeen net worden aangemoedigd om geen ransomware te betalen. "In de gezondheidssector kan een onderbreking van de dienstverlening een kwestie betekenen van leven of dood", aldus de bron over de vraag waarom ziekenhuizen geneigd zouden zijn om wel geld te betalen aan cybercriminelen. Het verbieden van het betalen van ransomware ligt daarom moeilijk, maar als er een intentie bestaat om toch te betalen, dan moet die gerapporteerd worden, klinkt het.
