Die Europäische Kommission hat einen EU-Aktionsplan zur Stärkung der Cybersicherheit von Krankenhäusern und Gesundheitsdienstleistern vorgelegt. Ziel ist es, deren Fähigkeiten bei der Bedrohungserkennung, Vorsorge und Reaktion zu verbessern und so ein sichereres Umfeld für Patienten und Beschäftigte im Gesundheitswesen zu schaffen. Henna Virkkunen, Exekutiv-Vizepräsidentin der Europäischen Kommission zuständig für Technologische Souveränität, Sicherheit und Demokratie, sagte: „Das Gesundheitswesen hat durch die digitale Transformation unglaubliche Fortschritte gemacht, und die Menschen profitieren so von einer besseren Gesundheitsversorgung. Leider sind Gesundheitssysteme aber auch Cybersicherheitsvorfällen und -bedrohungen ausgesetzt. Aus diesem Grund starten wir einen Aktionsplan, um sicherzustellen, dass Gesundheitssysteme, Institutionen und vernetzte Medizinprodukte widerstandsfähig sind.“ Cyberangriffe können medizinische Verfahren verzögern, Blockaden in Notaufnahmen verursachen und lebenswichtige Dienste stören, die in schweren Fällen direkte Auswirkungen auf das Leben der Europäer haben könnten. Die Mitgliedstaaten meldeten im Jahr 2023 309 schwerwiegende Cybersicherheitsvorfälle, von denen der Gesundheitssektor betroffen war – mehr als in jedem anderen kritischen Sektor.
In dem Aktionsplan wird unter anderem vorgeschlagen, dass die ENISA, die EU-Agentur für Cybersicherheit, ein gesamteuropäisches Zentrum zur Unterstützung der Cybersicherheit für Krankenhäuser und Gesundheitsdienstleister einrichtet, das ihnen maßgeschneiderte Leitlinien, Instrumente, Dienste und Schulungen zur Verfügung stellt. Die Initiative baut auf dem umfassenderen EU-Rahmen zur Stärkung der Cybersicherheit in kritischen Infrastrukturen auf und ist die erste sektorspezifische Initiative, mit der das gesamte Spektrum der EU-Cybersicherheitsmaßnahmen umgesetzt wird.
Der Aktionsplan konzentriert sich auf vier Prioritäten:
- Verstärkte Prävention. Der Plan trägt dazu bei, die Kapazitäten des Gesundheitssektors zur Prävention von Cybersicherheitsvorfällen durch verbesserte Vorsorgemaßnahmen wie Leitlinien zur Umsetzung kritischer Cybersicherheitspraktiken aufzubauen. Zweitens können die Mitgliedstaaten auch Cybersicherheitsgutscheine einführen, um Kleinstkrankenhäusern, kleinen und mittleren Krankenhäusern und Gesundheitsdienstleistern finanzielle Unterstützung zu gewähren. Schließlich wird die EU auch Cybersicherheits-Lernressourcen für Angehörige der Gesundheitsberufe entwickeln.
- Bessere Erkennung und Identifizierung von Bedrohungen. Das Zentrum zur Unterstützung der Cybersicherheit für Krankenhäuser und Gesundheitsdienstleister wird bis 2026 einen EU-weiten Frühwarndienst entwickeln, der nahezu in Echtzeit Warnungen vor potenziellen Cyberbedrohungen liefert.
- Reaktion auf Cyberangriffe zur Minimierung der Auswirkungen. Der Plan sieht einen Krisenreaktionsdienst für den Gesundheitssektor im Rahmen der EU-Cybersicherheitsreserve vor. Die Reserve wurde im Cyber Solidarity Act eingerichtet und bietet Incident-Response-Dienste von vertrauenswürdigen privaten Dienstleistern an. Im Rahmen des Plans können nationale Cybersicherheitsübungen zusammen mit der Entwicklung von Playbooks durchgeführt werden, um Gesundheitsorganisationen bei der Reaktion auf bestimmte Cybersicherheitsbedrohungen, einschließlich Ransomware, zu unterstützen. Die Mitgliedstaaten werden aufgefordert, die Meldung von Lösegeldzahlungen von Einrichtungen zu verlangen, um ihnen die benötigte Unterstützung zu bieten und Folgemaßnahmen durch die Strafverfolgungsbehörden zu ermöglichen.
- Abschreckung: Schutz der europäischen Gesundheitssysteme, indem Cyberbedrohungsakteure davon abgehalten werden, sie anzugreifen. Dazu gehört auch die Nutzung des Instrumentariums für Cyberdiplomatie, einer gemeinsamen diplomatischen Reaktion der EU auf böswillige Cyberaktivitäten.
Der Aktionsplan wird Hand in Hand mit den Gesundheitsdienstleistern, den Mitgliedstaaten und der Cybersicherheitsgemeinschaft umgesetzt. Um die wirkungsvollsten Maßnahmen weiter zu verfeinern, damit Patienten und Gesundheitsdienstleister davon profitieren können, wird die Kommission in Kürze eine öffentliche Konsultation zu diesem Plan einleiten, die allen Bürgern und Interessenträgern offensteht.
Umsetzung in verschiedenen Stufen
Der Aktionsplan ist der Beginn eines Prozesses zur Verbesserung der Cybersicherheit im Gesundheitswesen. Spezifische Maßnahmen werden in den Jahren 2025 und 2026 schrittweise eingeführt. Die Ergebnisse der Konsultation werden bis Ende des Jahres in weitere Empfehlungen einfließen.
Quelle: Europäische Kommission