Die Europäische Kommission hat einen EU-Aktionsplan zur Stärkung der Cybersicherheit von Krankenhäusern und Gesundheitsdienstleistern vorgelegt. Ziel ist es, deren Fähigkeiten bei der Bedrohungserkennung, Vorsorge und Reaktion zu verbessern und so ein sichereres Umfeld für Patientinnen und Patienten und Beschäftigte im Gesundheitswesen zu schaffen. Henna Virkkunen, Exekutiv-Vizepräsidentin der Europäischen Kommission zuständig für Technologische Souveränität, Sicherheit und Demokratie, sagte: „Das Gesundheitswesen hat durch die digitale Transformation unglaubliche Fortschritte gemacht, und die Menschen profitieren so von einer besseren Gesundheitsversorgung. Leider sind Gesundheitssysteme aber auch Cybersicherheitsvorfällen und -bedrohungen ausgesetzt. Aus diesem Grund starten wir einen Aktionsplan, um sicherzustellen, dass Gesundheitssysteme, Institutionen und vernetzte Medizinprodukte widerstandsfähig sind.“
Oliver Várhelyi, EU-Kommissar für Gesundheit und Tierwohl, fügte hinzu: „Digitale Technologien und datengesteuerte Lösungen haben beispiellose Möglichkeiten im Gesundheitswesen eröffnet. Sie ermöglichen Präzisionsmedizin, Patientenüberwachung in Echtzeit und eine nahtlose Kommunikation zwischen Gesundheitsdienstleistern über Grenzen hinweg. Doch die Digitalisierung ist nur so stark wie das Vertrauen, das sie bei Cyberangriffen weckt und widerstandsfähig macht. Patienten müssen sich darauf verlassen können, dass ihre sensibelsten Informationen sicher sind. Angehörige der Gesundheitsberufe müssen Vertrauen in die Systeme haben, die sie täglich nutzen, um Leben zu retten. Der heutige Aktionsplan ist ein wichtiger Schritt zur Sicherung dieses Vertrauens und zur Sicherung eines widerstandsfähigeren Gesundheitsökosystems für die Zukunft.“
Cyberangriffe können medizinische Verfahren verzögern, Blockaden in Notaufnahmen verursachen und lebenswichtige Dienste stören, die in schweren Fällen direkte Auswirkungen auf das Leben der Europäer haben könnten. Die Mitgliedstaaten meldeten im Jahr 2023 309 schwerwiegende Cybersicherheitsvorfälle, von denen der Gesundheitssektor betroffen war – mehr als in jedem anderen kritischen Sektor.
Zentrum zur Unterstützung der Cybersicherheit bei der ENISA
In dem Aktionsplan wird unter anderem vorgeschlagen, dass die ENISA, die EU-Agentur für Cybersicherheit, ein gesamteuropäisches Zentrum zur Unterstützung der Cybersicherheit für Krankenhäuser und Gesundheitsdienstleister einrichtet, das ihnen maßgeschneiderte Leitlinien, Instrumente, Dienste und Schulungen zur Verfügung stellt. Die Initiative baut auf dem umfassenderen EU-Rahmen zur Stärkung der Cybersicherheit in kritischen Infrastrukturen auf und ist die erste sektorspezifische Initiative, mit der das gesamte Spektrum der EU-Cybersicherheitsmaßnahmen umgesetzt wird.
Vier Prioritäten
Der Aktionsplan konzentriert sich auf vier Prioritäten:
- Verstärkte Prävention. Der Plan trägt dazu bei, die Kapazitäten des Gesundheitssektors zur Prävention von Cybersicherheitsvorfällen durch verbesserte Vorsorgemaßnahmen wie Leitlinien zur Umsetzung kritischer Cybersicherheitspraktiken aufzubauen. Zweitens können die Mitgliedstaaten auch Cybersicherheitsgutscheine einführen, um Kleinstkrankenhäusern, kleinen und mittleren Krankenhäusern und Gesundheitsdienstleistern finanzielle Unterstützung zu gewähren. Schließlich wird die EU auch Cybersicherheits-Lernressourcen für Angehörige der Gesundheitsberufe entwickeln.
- Bessere Erkennung und Identifizierung von Bedrohungen. Das Zentrum zur Unterstützung der Cybersicherheit für Krankenhäuser und Gesundheitsdienstleister wird bis 2026 einen EU-weiten Frühwarndienst entwickeln, der nahezu in Echtzeit Warnungen vor potenziellen Cyberbedrohungen liefert.
- Reaktion auf Cyberangriffe zur Minimierung der Auswirkungen. Der Plan sieht einen Krisenreaktionsdienst für den Gesundheitssektor im Rahmen der EU-Cybersicherheitsreserve vor. Die Reserve wurde im Cyber Solidarity Act eingerichtet und bietet Incident-Response-Dienste von vertrauenswürdigen privaten Dienstleistern an. Im Rahmen des Plans können nationale Cybersicherheitsübungen zusammen mit der Entwicklung von Playbooks durchgeführt werden, um Gesundheitsorganisationen bei der Reaktion auf bestimmte Cybersicherheitsbedrohungen, einschließlich Ransomware, zu unterstützen. Die Mitgliedstaaten werden aufgefordert, die Meldung von Lösegeldzahlungen von Einrichtungen zu verlangen, um ihnen die benötigte Unterstützung zu bieten und Folgemaßnahmen durch die Strafverfolgungsbehörden zu ermöglichen.
- Abschreckung: Schutz der europäischen Gesundheitssysteme, indem Cyberbedrohungsakteure davon abgehalten werden, sie anzugreifen. Dazu gehört auch die Nutzung des Instrumentariums für Cyberdiplomatie, einer gemeinsamen diplomatischen Reaktion der EU auf böswillige Cyberaktivitäten.
Der Aktionsplan wird Hand in Hand mit den Gesundheitsdienstleistern, den Mitgliedstaaten und der Cybersicherheitsgemeinschaft umgesetzt. Um die wirkungsvollsten Maßnahmen weiter zu verfeinern, damit Patienten und Gesundheitsdienstleister davon profitieren können, wird die Kommission in Kürze eine öffentliche Konsultation zu diesem Plan einleiten, die allen Bürgern und Interessenträgern offen steht.
Nächste Schritte
Der Aktionsplan ist der Beginn eines Prozesses zur Verbesserung der Cybersicherheit im Gesundheitswesen. Spezifische Maßnahmen werden in den Jahren 2025 und 2026 schrittweise eingeführt. Die Ergebnisse der Konsultation werden bis Ende des Jahres in weitere Empfehlungen einfließen.
Weitere Informationen
Aktionsplan zur Cybersicherheit von Krankenhäusern und Gesundheitsdienstleistern
Pressekontakte: nikola [dot] john
ec [dot] europa [dot] eu (Nikola John), Tel.: +49 (30) 2280-2410 und claudia [dot] guskeec [dot] europa [dot] eu (Claudia Guske), Tel.: +49 (30) 2280-2190. Mehr Informationen zu allen Pressekontakten hier
Anfragen von Bürgerinnen und Bürgern beantwortet das Team des Besucherzentrums ERLEBNIS EUROPA per frageerlebnis-europa [dot] eu (E-Mail) der telefonisch unter (030) 2280 2900.
Einzelheiten
- Datum der Veröffentlichung
- 15. Januar 2025
- Autor
- Vertretung in Deutschland