A Comissão Europeia apresentou um novo plano de ação para reforçar a cibersegurança do setor dos cuidados de saúde, num contexto de aumento dos ataques de "ransomware".
O plano visa melhorar a segurança dos hospitais e de outros fornecedores digitais, reforçando a capacidade de prevenção e resposta a incidentes de cibersegurança.
"À medida que o setor passa por uma transformação crítica, deve enfrentar desafios significativos, como a segurança dos registos eletrónicos de saúde e a integração da IA [Inteligência Artificial] na força de trabalho da saúde", disse Henna Virkkunen, comissária para a Soberania Tecnológica, Segurança e Democracia, durante a apresentação do plano.
A proposta é a primeira de uma série de medidas previstas para os primeiros 100 dias do novo mandato e visa sensibilizar o setor da saúde para os riscos da cibercriminalidade e apresentar soluções no terreno, afirmou o comissário responsável pela pasta da Saúde, Oliver Várhelyi.
"Eles [os prestadores de cuidados de saúde] precisam de investir tanto neste domínio, como no equipamento relacionado com os tratamentos a prestar aos doentes", acrescentou.
Para tal, um novo Centro Europeu de Apoio à Cibersegurança para o setor dos cuidados de saúde, integrado na Agência da UE para a Cibersegurança (ENISA), irá liderar os trabalhos e aplicar as medidas propostas.
O plano baseia-se em quatro prioridades: prevenção, deteção, resposta e recuperação e dissuasão.
Nos próximos dois anos, será assim criado um novo Conselho Consultivo para a Cibersegurança no Setor da Saúde para ajudar os prestadores de cuidados de saúde a evitar o pagamento de resgates e a criar serviços de resposta rápida.
Os cuidados de saúde são frequentemente alvo de ciberataques, sendo que a maioria dos incidentes envolve ransomware devido à elevada sensibilidade dos dados.
Durante e após a pandemia de Covid-19, registou-se um aumento dos ciberataques a prestadores de cuidados de saúde, como demonstrado pela primeira análise da Agência da União Europeia para a Cibersegurança (ENISA) sobre o panorama das ciberameaças para o setor da saúde, publicada no ano passado.
A análise mostrou que, entre janeiro de 2021 e março de 2023, o setor da saúde da UE assistiu a ciberataques frequentes, com 53% a afetar os prestadores de cuidados de saúde e 42% os hospitais.
"A digitalização só é tão forte quanto a confiança que inspira", considerou Virkunnen.
Aproveitar as ferramentas existentes
Os dados de saúde partilhados, agora regulados pelo Espaço Europeu de Dados de Saúde (EHDS), complementarão o plano de ação para a cibersegurança.
O plano expande o quadro legislativo existente no domínio da cibersegurança, como a Diretiva NIS2, o Regulamento da Cibersegurança e o Regulamento dos Dispositivos Médicos.
No entanto, algumas destas diretivas enfrentam desafios na sua aplicação. A Diretiva SRI2, que visa proteger as entidades críticas contra incidentes cibernéticos graves, ainda não foi adotada pela maioria dos Estados-membros, que não cumpriram o prazo fixado para 17 de outubro de 2024.
Do mesmo modo, o Regulamento dos Dispositivos Médicos, após repetidas prorrogações do período de transição para a certificação de dispositivos médicos ao abrigo das novas regras, será muito provavelmente revisto este ano.