Evropské nemocnice čelí stále častějším kybernetickým útokům, které mohou ochromit pohotovosti, zpozdit operace nebo ohrozit životy pacientů. I proto včera senátní Výbor pro záležitosti EU projednal nový Akční plán pro kybernetickou bezpečnost nemocnic a poskytovatelů zdravotní péče, který představila Evropská komise. Dokument sice není právně závazný, přesto již stihl vyvolat diskusi o jeho účinnosti, prioritách Unie i rizicích pro národní bezpečnost. Podle zástupců NÚKIB je důležité, aby ochrana nemocnic šla ruku v ruce s důsledným zaváděním stávající legislativy.
Dokument členům výboru představil 1. náměstek ředitele Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) Tomáš Krejčí. „Jde o právně nezávazný dokument k posílení kybernetické bezpečnosti,“ uvedl. Dokument obsahuje 42 návrhů opatření zaměřených na prevenci, detekci, reakci na incidenty a odstrašení kybernetických útoků. Cílí na celý zdravotnický sektor, zejména však na nemocnice, které jsou čím dál častějším terčem kybernetických hrozeb.
Čtyři hlavní pilíře
Podle Krejčího se Akční plán zaměřuje na čtyři klíčové oblasti:
- Posílení kybernetické bezpečnosti poskytovatelů
- Zlepšení sdílení informací o hrozbách
- Zajištění rychlého obnovení provozu po útoku
- Hledání cest k odstrašení útočníků
Plán také počítá se vznikem specializovaného podpůrného centra při Agentuře Evropské unie pro kybernetickou bezpečnost (ENISA), které by se věnovalo výhradně zdravotnickému sektoru. Nepůjde přitom o nový úřad, nýbrž o rozšíření agendy stávajících zaměstnanců.
Výhrady z české strany
Česká republika Akční plán označila za „ambiciózní“, nicméně podle rámcové pozice vlády by bylo vhodnější, kdyby se Evropská komise více soustředila na implementaci nové legislativy, například právě směrnice NIS2. Ta zavádí přísnější bezpečnostní povinnosti pro klíčové subjekty, včetně nemocnic.
„Jde nám o to, abychom co nejrychleji a co nejlépe implementovali legislativní věci,“ uvedl Krejčí a dodal, že na rozdíl od horizontální legislativy je Akční plán úzce zaměřen pouze na poskytovatele zdravotní péče. Zároveň ale přiznal, že „některá navrhovaná opatření v Plánu jsou využitelná i v jiných oblastech, jako je vzdělávání a další“.
NÚKIB také upozornil na potenciální problém, kdy by podle návrhu Plánu incidenty měly být jako první hlášeny centru při agentuře ENISA. Ačkoliv se z dokumentu přímo nevyvozuje riziko ztráty přehledu o národní bezpečnosti, „náznaky toho tam jsou“, upozornil Krejčí. „Za nás by to nebylo v pořádku,“ dodal.
Útoky sílí, rozprava nebyla
Podle dat Evropské komise bylo v roce 2023 ve členských státech EU nahlášeno 309 významných kybernetických bezpečnostních incidentů, více než v jakémkoli jiném kritickém sektoru. Útoky typu ransomware, při nichž jsou data zašifrována a požadováno výkupné, mohou vést k omezení péče, zdržení akutních zákroků či ohrožení života pacientů.
Navzdory závažnosti tématu se ve výboru nevedla rozprava. Členové Výboru pro záležitosti EU jednomyslně hlasovali pro usnesení, kterým vzali sdělení Evropské komise k Akčnímu plánu na vědomí.
Mohlo by vás zajímat
Další legislativní postup
Akční plán již minulý měsíc projednal Výbor pro zdravotnictví a dnes by o senátním tisku mělo hlasovat plénum Senátu. Ačkoliv dokument není právně závazný, stává se součástí širší evropské politiky kybernetické bezpečnosti.
Evropská komise označila boj proti kybernetickým hrozbám ve zdravotnictví za jednu ze svých priorit. Plánovaný vznik unijního centra kyberbezpečnosti pro zdravotnictví a podpora jednotlivých členských států mají přispět ke zvyšování odolnosti celého systému. Financování některých opatření má být zajištěno z evropských fondů.
