Die Kommission hat am 15.01.2025 einen EU-Aktionsplan zur Stärkung der Cybersicherheit von Krankenhäusern und Gesundheitsdienstleistern vorgelegt. Dieser Aktionsplan wurde in den politischen Leitlinien von Präsidentin von der Leyenals eine der wichtigsten Prioritäten innerhalb der ersten 100 Tage des neuen Mandats angekündigt. Die Initiative ist ein wichtiger Schritt, um den Gesundheitssektor vor Cyberbedrohungen zu schützen. Durch die Verbesserung der Bedrohungserkennungs-, Vorsorge- und Reaktionsfähigkeit von Krankenhäusern und Gesundheitsdienstleistern wird ein sichereres Umfeld für Patienten und Angehörige der Gesundheitsberufe geschaffen.
Die Digitalisierung bringt eine Revolution in das Gesundheitswesen und ermöglicht bessere Dienstleistungen für die Patienten durch Innovationen wie elektronische Patientenakten, Telemedizin und KI-gesteuerte Diagnostik. Cyberangriffe können jedoch medizinische Verfahren verzögern, Blockaden in Notaufnahmen verursachen und lebenswichtige Dienste stören, die in schweren Fällen direkte Auswirkungen auf das Leben der Europäer haben könnten. Die Mitgliedstaaten meldeten im Jahr 2023 309 schwerwiegende Cybersicherheitsvorfälle, von denen der Gesundheitssektor betroffen war – mehr als in jedem anderen kritischen Sektor.
In dem Aktionsplan wird unter anderem vorgeschlagen, dass die ENISA, die EU-Agentur für Cybersicherheit, ein gesamteuropäisches Zentrum zur Unterstützung der Cybersicherheit für Krankenhäuser und Gesundheitsdienstleister einrichtet, das ihnen maßgeschneiderte Leitlinien, Instrumente, Dienste und Schulungen zur Verfügung stellt. Die Initiative baut auf dem umfassenderen EU-Rahmen zur Stärkung der Cybersicherheit in kritischen Infrastrukturen auf und ist die erste sektorspezifische Initiative, mit der das gesamte Spektrum der EU-Cybersicherheitsmaßnahmen umgesetzt wird.
Kurz gesagt, der Aktionsplan konzentriert sich auf vier Prioritäten:
- Verstärkte Prävention. Der Plan trägt dazu bei, die Kapazitäten des Gesundheitssektors zur Prävention von Cybersicherheitsvorfällen durch verbesserte Vorsorgemaßnahmen wie Leitlinien zur Umsetzung kritischer Cybersicherheitspraktiken aufzubauen. Zweitens können die Mitgliedstaaten auch Cybersicherheitsgutscheine einführen, um Kleinstkrankenhäusern, kleinen und mittleren Krankenhäusern und Gesundheitsdienstleistern finanzielle Unterstützung zu gewähren. Schließlich wird die EU auch Cybersicherheits-Lernressourcen für Angehörige der Gesundheitsberufe entwickeln.
- Bessere Erkennung und Identifizierung von Bedrohungen. Das Zentrum zur Unterstützung der Cybersicherheit für Krankenhäuser und Gesundheitsdienstleister wird bis 2026 einen EU-weiten Frühwarndienst entwickeln, der nahezu in Echtzeit Warnungen vor potenziellen Cyberbedrohungen liefert.
- Reaktion auf Cyberangriffe zur Minimierung der Auswirkungen. Der Plan sieht einen Krisenreaktionsdienst für den Gesundheitssektor im Rahmen der EU-Cybersicherheitsreserve vor. Die Reserve wurde im Cyber Solidarity Act eingerichtet und bietet Incident-Response-Dienste von vertrauenswürdigen privaten Dienstleistern an. Im Rahmen des Plans können nationale Cybersicherheitsübungen zusammen mit der Entwicklung von Playbooks durchgeführt werden, um Gesundheitsorganisationen bei der Reaktion auf bestimmte Cybersicherheitsbedrohungen, einschließlich Ransomware, zu unterstützen. Die Mitgliedstaaten werden aufgefordert, die Meldung von Lösegeldzahlungen von Einrichtungen zu verlangen, um ihnen die benötigte Unterstützung zu bieten und Folgemaßnahmen durch die Strafverfolgungsbehörden zu ermöglichen.
- Abschreckung: Schutz der europäischen Gesundheitssysteme, indem Cyberbedrohungsakteure davon abgehalten werden, sie anzugreifen. Dazu gehört auch die Nutzung des Instrumentariums für Cyberdiplomatie, einer gemeinsamen diplomatischen Reaktion der EU auf böswillige Cyberaktivitäten.
Der Aktionsplan wird Hand in Hand mit den Gesundheitsdienstleistern, den Mitgliedstaaten und der Cybersicherheitsgemeinschaft umgesetzt. Um die wirkungsvollsten Maßnahmen weiter zu verfeinern, damit Patienten und Gesundheitsdienstleister davon profitieren können, wird die Kommission in Kürze eine öffentliche Konsultation zu diesem Plan einleiten, die allen Bürgern und Interessenträgern offen steht.
Die nächsten Schritte
Der Aktionsplan ist der Beginn eines Prozesses zur Verbesserung der Cybersicherheit im Gesundheitswesen. Spezifische Maßnahmen werden in den Jahren 2025 und 2026 schrittweise eingeführt. Die Ergebnisse der Konsultation werden bis Ende des Jahres in weitere Empfehlungen einfließen.
Hintergrund
Die EU arbeitet an verschiedenen Fronten, um die Cyberresilienz zu fördern und ihre Bürger und Unternehmen in einem zunehmend digitalen und vernetzten Europa vor Cyberbedrohungen zu schützen. Dieser Aktionsplan trägt der Dringlichkeit der Lage und den besonderen Bedrohungen Rechnung, denen der Sektor ausgesetzt ist. Sie baut auf dem bestehenden Rechtsrahmen im Bereich der Cybersicherheit auf. Krankenhäuser und andere Gesundheitsdienstleister sind im Rahmen der NIS2-Richtlinie als Sektor mit hoher Kritikalität etabliert. Der NIS2-Cybersicherheitsrahmen arbeitet Hand in Hand mit dem Cyberresilienzgesetz , dem ersten EU-Recht, das verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen vorsieht, das am 10. Dezember 2024 in Kraft trat. Darüber hinaus hat die Kommission im Rahmen des Cyber-Solidaritätsgesetzes einen Cyber-Notfallmechanismus eingerichtet, der die Solidarität der EU und koordinierte Maßnahmen zur Erkennung, Vorbereitung und wirksamen Reaktion auf wachsende Cybersicherheitsbedrohungen und -vorfälle stärkt.
Die Gewährleistung einer widerstandsfähigen und sicheren digitalen Infrastruktur ist von entscheidender Bedeutung für die vollständige Einrichtung des europäischen Raums für Gesundheitsdaten, der die Bürgerinnen und Bürger in den Mittelpunkt ihrer Gesundheitsversorgung stellen und ihnen die volle Kontrolle über ihre Daten gewähren wird.
EU