I januari presenterade EU-kommissionen en handlingsplan för att öka cybersäkerheten för sjukhus och vårdgivare. Handlingsplanen var väntad då Ursula Von der Leyen i juli 2024 presenterade i sina politiska riktlinjer att en av nyckelprioriteringarna inom de första 100 dagarna av det nya mandatet var just att stärka hälsosektorn mot cyberattacker.
Bakgrund
Digitaliseringen blir mer och mer ett viktigt verktyg i dagens hälso- och sjukvård och erbjuder möjligheten till bättre vård från till exempel elektroniska journaler, telemedicin och AI-baserad diagnostik. Likaså kan cyberattacker sätta stopp för vården och försena behandlingar eller tjänster som ger allvarliga konsekvenser. EU-kommissionen rapporterar att under 2023 anmäldes 309 betydande cybersäkerhetsincidenter som påverkar hälso- och sjukvårdssektorn. Den siffan är högre än i någon annan kritisk sektor.
EU:s cyberarbete
EU-kommissionen har under de senaste åren presenterat cyberlagstiftning (den mesta färdigförhandlad men ännu inte implementerad till fullo) som ska bygga upp cyberresiliensen i EU, till exempel NIS2-ramverket för cybersäkerhet, förordningen om cyberresiliens och cybersolidaritetsförordningen.
Handlingsplanen för att öka cybersäkerheten som presenterades den 15 januari blir första av flera cyberhandlingsplaner som väntas presenteras och ämnar hjälpa aktörer att implementera de åtgärder som har satts i EU:s cyberlagstiftning.
Handlingsplanen
Handlingsplanen för att skydda hälso- och sjukvårdssektorn mot cyberattacker fokuserar på fyra prioriteringar:
1) bättre förebyggande åtgärder för att öka beredskapskapaciteten av till exempel cybersäkerhetsrutiner;
2) bättre upptäckt och identifiering av hot och tidigt varna mot potentiella cyberhot;
3) hantera cyberattacker för att minimera påverkan genom snabbinsatstjänster i syfte att hantera cyberattacker innan de blir för storskaliga;
4) avskräckning mot cyberhotsaktörer och användning av gemensam EU-respons mot skadlig IT-verksamhet.
I handlingsplanen föreslås det även att Enisa, EU:s cybersäkerhetsbyrå, ska inrätta ett europeiskt stödcentrum för cybersäkerhet för sjukhus och vårdgivare, i syfte att erbjuda cyberaktörer verktyg, vägledning, tjänster och utbildning på området.
Vad händer nu?
Med handlingsplanen inleds arbetet för EU:s medlemsländer och aktörer att förbättra cybersäkerheten inom hälso- och sjukvårdssektorn. Man kan tolka handlingsplanen även som en uppmaning av EU-kommissionen att cyberarbetet i EU är inte tillräckligt effektivt ännu. Under 2025 och 2026 väntas särskilda åtgärder kopplat till handlingsplanen vidtas.
/Gabriel Carlin, EU Policyhandläggare på Stockholmsregionens Europakontor