EU will Krankenhäuser besser vor Cyberattacken schützen

Präsidentin von der Leyen hatte diesen Aktionsplan in ihren politischen Leitlinien als eine der wichtigsten Prioritäten der ersten 100 Tage ihrer neuen Amtszeit angekündigt. Die Initiative ist ein wichtiger Schritt, um das Gesundheitswesen besser vor Cyberbedrohungen zu schützen. Durch die Verbesserung der Kapazitäten von Krankenhäusern und Gesundheitsdienstleistern in Bezug auf die Erkennung von Bedrohungen, die entsprechende Abwehrbereitschaft und die Reaktionsfähigkeit wird sie dazu beitragen, ein sichereres und weniger gefährdetes Umfeld für Patienten und Angehörige der Gesundheitsberufe zu schaffen. 

Der Aktionsplan steht auf der Webseite der Europäischen Kommission zum Download bereit.

Die Digitalisierung revolutioniert die Gesundheitsversorgung und ermöglicht bessere Dienstleistungen für die Patienten durch Innovationen wie elektronische Patientenakten, Telemedizin und KI-gestützte Diagnostik. Jedoch können Cyberangriffe medizinische Eingriffe verzögern, Notaufnahmen zum Stillstand bringen und lebenswichtige Dienste stören, was sich in schweren Fällen unmittelbar auf das Leben der Europäer auswirken könnte. 2023 meldeten die Mitgliedstaaten 309 schwerwiegende Cybersicherheitsvorfälle im Gesundheitswesen – mehr als in jedem anderen kritischen Sektor. 

In dem Aktionsplan wird unter anderem vorgeschlagen, dass die EU-Cybersicherheitsagentur ENISA ein europaweites Unterstützungszentrum für Cybersicherheit für Krankenhäuser und Gesundheitsdienstleister einrichtet, um ihnen maßgeschneiderte Anleitungen, Instrumente, Dienste und Schulungen zur Verfügung zu stellen. Die Initiative baut auf dem umfassenderen EU-Rahmen zur Stärkung der Cybersicherheit in allen kritischen Infrastrukturen auf und ist die erste sektorspezifische Initiative, mit der das gesamte Spektrum der EU-Cybersicherheitsmaßnahmen umgesetzt werden soll.

Zusammengefasst dreht sich der Aktionsplan um vier Prioritäten: 

1. Bessere Prävention: Der Plan trägt dazu bei, die Kapazitäten des Gesundheitswesens zur Prävention von Cybersicherheitsvorfällen durch verbesserte Vorsorgemaßnahmen wie Leitlinien für die Umsetzung kritischer Verfahren im Bereich der Cybersicherheit aufzubauen. Ferner können die Mitgliedstaaten Cybersicherheitsgutscheine einführen, um kleinste, kleine und mittlere Krankenhäuser und Gesundheitsdienstleister finanziell zu unterstützen. Die EU wird darüber hinaus Lernressourcen im Bereich der Cybersicherheit für Angehörige der Gesundheitsberufe entwickeln. 
2. Bessere Erkennung und Ermittlung von Bedrohungen: Das Unterstützungszentrum für Cybersicherheit für Krankenhäuser und Gesundheitsdienstleister wird bis 2026 einen EU-weiten Frühwarndienst aufbauen, der echtzeitnahe Warnmeldungen zu potenziellen Cyberbedrohungen bereitstellen soll. 
3. Reaktion auf Cyberangriffe zur weitestmöglichen Verringerung der Auswirkungen: In dem Plan wird ein Schnellreaktionsdienst für das Gesundheitswesen im Rahmen der EU-Cybersicherheitsreserve vorgeschlagen. Diese mit der Cybersolidaritätsverordnung eingerichtete Reserve bietet Dienste von privaten Anbietern vertrauenswürdiger Sicherheitsdienste für die Reaktion auf Sicherheitsvorfälle. Im Rahmen des Plans können nationale Cybersicherheitsübungen durchgeführt und Leitfäden aufgestellt werden, um Gesundheitseinrichtungen bei der Reaktion auf spezifische Cybersicherheitsbedrohungen, auch Ransomware-Angriffe, zu unterstützen. Die Mitgliedstaaten werden aufgefordert, von solchen Einrichtungen die Meldung von Lösegeldzahlungen zu verlangen, um ihnen die benötigte Unterstützung zukommen lassen zu können und damit die Strafverfolgungsbehörden geeignete Folgemaßnahmen ergreifen können. 
4. Abschreckung: Schutz der europäischen Gesundheitssysteme durch Abschreckung der Akteure, von denen eine Cyberbedrohung ausgeht, vor solchen Angriffen. Dazu gehört auch der Einsatz des Instrumentariums für Cyberdiplomatie, um eine gemeinsame diplomatische Reaktion der EU auf böswillige Cyberaktivitäten zu gewährleisten. 

Die Umsetzung des Aktionsplans wird Hand in Hand mit Gesundheitsdienstleistern, Mitgliedstaaten und Cybersicherheitskreisen erfolgen. Um die wirksamsten Maßnahmen weiter zu verfeinern, damit sie Patienten und Gesundheitsdienstleister zugutekommen können, wird die Kommission in Kürze eine öffentliche Konsultation zu diesem Plan einleiten, die allen Bürgern und Interessenträgern offensteht.

Der Aktionsplan stellt den Beginn eines Prozesses zur Verbesserung der Cybersicherheit im Gesundheitswesen dar. Konkrete Maßnahmen werden in den Jahren 2025 und 2026 schrittweise umgesetzt. Die Ergebnisse der Konsultation werden bis zum Ende des Jahres in weitere Empfehlungen einfließen. 

Die EU arbeitet an verschiedenen Fronten, um die Cyberresilienz zu fördern und ihre Bürger sowie Unternehmen in einem zunehmend digitalen und vernetzten Europa vor Cyberbedrohungen zu schützen. Mit diesem Aktionsplan wird der Dringlichkeit der Lage und den einzigartigen Bedrohungen, denen der Sektor ausgesetzt ist, Rechnung getragen. Er baut auf dem bestehenden Rechtsrahmen im Bereich der Cybersicherheit auf. Krankenhäuser und andere Gesundheitsdienstleister gehören gemäß der NIS-2-Richtlinie zu den Sektoren mit hoher Kritikalität. Der NIS-2-Rahmen für Cybersicherheit geht Hand in Hand mit der Cyberresilienzverordnung, dem ersten EU-Rechtsakt zur Festlegung verbindlicher Cybersicherheitsanforderungen für Produkte mit digitalen Elementen, der am 10. Dezember 2024 in Kraft getreten ist. Darüber hinaus hat die Kommission im Rahmen der Cybersolidaritätsverordnung einen Cybernotfallmechanismus eingerichtet, der die Solidarität der EU und koordinierte Maßnahmen zur Erkennung, Vorsorge und wirksamen Bewältigung zunehmender Cybersicherheitsbedrohungen und -vorfälle stärkt. 

Die Gewährleistung resilienter und sicherer digitaler Infrastrukturen ist unerlässlich für die vollständige Einführung des europäischen Raums für Gesundheitsdaten, der die Bürger in den Mittelpunkt ihrer Gesundheitsversorgung rücken und ihnen die uneingeschränkte Kontrolle über ihre Daten verschaffen wird. 

„Die moderne Gesundheitsversorgung hat durch den digitalen Wandel unglaubliche Fortschritte gemacht, sodass die Bürger von einer besseren Gesundheitsversorgung profitieren“, sagte dazu Henna Virkkunen, Exekutiv-Vizepräsidentin der Europäischen Kommission für technologische Souveränität, Sicherheit und Demokratie. „Leider sind die Gesundheitssysteme aber auch Cybersicherheitsvorfällen und -bedrohungen ausgesetzt. Deshalb starten wir einen Aktionsplan, um sicherzustellen, dass Systeme und Einrichtungen des Gesundheitswesens sowie vernetzte Medizinprodukte widerstandsfähig sind. Vorsorge ist besser als Nachsorge, deshalb müssen wir Cyberangriffen vorbeugen. Wenn sie aber doch passieren, müssen wir alles in unserer Macht Stehende tun, um die Angriffe zu erkennen, rasch darauf zu reagieren und ihre Folgen zu bewältigen.“

Olivér Várhelyi, Mitglied der Kommission für Gesundheit und Tierwohl, ergänzte: „Digitale Technologien und durch Gesundheitsdaten getriebene Lösungen haben im Gesundheitswesen beispiellose Möglichkeiten eröffnet. Sie ermöglichen Präzisionsmedizin, Patientenbeobachtung in Echtzeit und eine nahtlose grenzüberschreitende Kommunikation zwischen Gesundheitsdienstleistern. Die Digitalisierung ist jedoch nur so stark wie das Vertrauen, das sie einflößt, und die Resilienz, die sie gegen Cyberangriffe bietet. Die Patienten müssen zuversichtlich sein, dass ihre sensibelsten Informationen sicher sind. Angehörige der Gesundheitsberufe müssen Vertrauen in die Systeme haben, die sie täglich nutzen, um Leben zu retten. Der heutige Aktionsplan ist ein wichtiger Schritt zur Sicherung dieses Vertrauens und zur Sicherung eines resilienten Gesundheitsökosystems für die Zukunft.“ 

Quelle: Europäische Kommission

16.01.2025

• Digitalisierung (218)
• Gesundheitspolitik (314)
• IT (724)
• Krankenhaus (388)
• Management (199)
• Sicherheit (239)