A Comissão Europeia apresentou um plano de ação à escala da UE para salvaguardar o setor da saúde da UE, incluindo a criação de um centro dedicado com a agência de cibersegurança da UE, ENISA, para proteger as organizações de saúde contra ameaças cibernéticas.
Com um em cada dois hospitais da Europa a ser vítima de um ataque cibernético, de acordo com o Comissário da Saúde, Oliver Varhelyi, e a Presidente da Comissão, Ursula von der Leyen, a comprometer-se a resolver a questão no prazo de 100 dias após o seu segundo mandato, a pressão era grande para que o resultado fosse alcançado.
O plano, anunciado na quarta-feira, espera abordar vários problemas cibernéticos que afetam o setor da saúde. Muitas destas questões são agravadas pela elevada probabilidade de pagamento de resgates, uma vez que o não cumprimento deste procedimento pode ser literalmente uma situação de vida ou morte.
O plano ajuda a resolver a situação através da criação de um Centro de Apoio à Cibersegurança no âmbito da Agência da União Europeia para a Cibersegurança (ENISA), proporcionando às organizações um apoio básico personalizado à cibersegurança.
Produziria também recursos de aprendizagem em cibersegurança para profissionais de saúde e, até 2026, desenvolveria um serviço de alerta à escala da UE quando fossem detectadas ameaças.
Embora o novo plano coloque mais pressão sobre a implementação da ENISA, não está previsto nenhum novo financiamento.
O plano de ação visa também estabelecer um serviço de resposta específico para os cuidados de saúde ao abrigo da Reserva de Cibersegurança da UE da Lei da Ciber Solidariedade (CSA). Esta reserva apoia os países da UE na resposta a incidentes cibernéticos de grande escala, fornecendo assistência técnica, coordenação e recursos financeiros.
A Comissão também planeia utilizar a caixa de ferramentas de ciberdiplomacia — um mecanismo de coordenação da UE para declarações e sanções diplomáticas — para dissuadir atividades cibernéticas prejudiciais, o que beneficiaria o setor da saúde.
No que diz respeito ao dinheiro, a Comissão pede aos países da UE que contribuam financeiramente e recomenda o desenvolvimento de “vouchers de cibersegurança” para apoiar o aumento dos gastos em segurança cibernética para pequenas organizações de saúde, semelhantes aos “vales de inovação”, que têm apoiado o financiamento para as PME.
A Comissão também incentivou os países a exigirem que as entidades de saúde comuniquem pagamentos de resgate, mas este é um ponto complexo, uma vez que, embora os governos nacionais instruam frequentemente as instituições públicas a não pagar, muitos o fazem para recuperar o controlo dos seus sistemas. Pagar um resgate também diminui a probabilidade de denunciá-lo.
Embora os cuidados de saúde estejam vinculados aos regulamentos cibernéticos da UE, incluindo a diretiva NIS2, que estabelece normas para a segurança cibernética e a comunicação de informações cibernéticas sobre entidades importantes e críticas, a sua transposição está atrasada na maioria dos Estados-Membros da UE.
O setor da saúde também é afetado pela Lei de Resiliência Cibernética (CRA), o regulamento de cibersegurança da UE que protege produtos, incluindo componentes de software.
Espera-se que a Comissão lance uma consulta pública sobre o plano de ação, que deverá resultar numa recomendação não vinculativa até ao final de 2025.
Um alvo principal dos cibercriminosos
A saúde está entre as indústrias mais visadas devido à sua dinâmica de alto risco.
De acordo com os dados mais recentes da ENISA, quase 54% dos ataques dirigidos ao sector da saúde entre Janeiro de 2021 e Março de 2023 foram ransomware, tendo os hospitais sido alvo de 42% dos casos.
As instituições de saúde são geralmente menos maduras cibernéticas do que outras indústrias, e os executivos muitas vezes priorizam o investimento em ferramentas médicas em vez de sistemas de TI e proteção cibernética. Além disso, a contratação de profissionais de cibersegurança também é um desafio para a indústria, uma vez que o setor privado normalmente oferece oportunidades mais atraentes.
O plano de ação foi apresentado pela vice-presidente executiva da Comissão responsável pela soberania tecnológica, Henna Virkkunen, e Várhelyi.
“Precisamos ter tudo pronto para detectar (ameaças cibernéticas) e responder e recuperar rapidamente”, disse Virkkunen.
