欧盟共建医疗网络安全
发布时间:2025-01-24 17:08:18作者:韦佳荭 编译来源:医药经济报
近日,欧盟委员会提出了一项欧盟范围内的行动计划,以保护欧盟医疗保健行业的安全,其中包括与欧盟网络安全局(ENISA)共同创建一个网络安全支持中心,以保护医疗机构免受网络威胁。
据欧盟卫生专员Oliver Varhelyi称,欧洲每2家医院中就有1家是网络攻击的受害者。
加强针对性保护
本次行动计划旨在根据《欧洲网络团结法》(CSA)的欧盟网络安全储备机制,建立专门针对医疗行业的响应服务。该机制通过提供技术援助、协调支持和资金资源,帮助欧盟各国应对大规模网络安全事件。
针对中小医疗机构可能无法覆盖网络安全建设和维护成本的问题,该计划也要求欧盟国家提供财政支持,并建议发放对应的“网络安全代金券”,减轻这些机构的压力。这种代金券类似于欧盟“创新代金券”,后者曾为中小企业提供资金支持。
简而言之,该行动计划重点关注四个优先事项:
1.加强预防。该计划通过加强准备措施,如指导实施关键网络安全做法,帮助医疗保健部门增强预防网络安全事件的能力。
其次,成员国可推出“网络安全代金券”,欧盟还将为医疗保健专业人员开发网络安全学习资源。
2.更好地检测和识别威胁。到2026年,医院和医疗机构网络安全支持中心将在欧盟范围内开发预警服务,提供有关潜在网络威胁的实时警报。
3.应对网络攻击,将影响降至最低。该计划建议在欧盟网络安全储备机制下为卫生部门提供快速响应服务。该计划包括开展国家网络安全演习,同时开发战略手册,指导医疗机构应对包括勒索软件在内的特定网络安全威胁。鼓励成员国要求实体报告赎金支付情况,以便为其提供所需的支持,并允许执法机关采取后续行动。
4.威慑。通过阻止网络威胁行为者对欧洲医疗保健系统的攻击来保护这些系统。包括使用欧盟针对恶意网络活动的联合外交对策。
欧盟委员会呼吁各国要求医疗保健实体如实报告支付赎金的情况,但这是一个复杂的问题,实施存在困难。虽然各国政府建议公共机构不要支付赎金,但一些公共机构为了重新获得对系统的控制权还是支付了赎金。此举也会降低其上报事件的可能性。
实际效果有待检验
医疗保健行业因其高风险动态特性而成为最受网络攻击的行业之一。根据ENISA的最新数据,在2021年1月-2023年3月,针对卫生部门的攻击中有近54%是勒索软件,其中针对医院的攻击占42%。
与其他行业相比,医疗机构的网络成熟度普遍较低,高管往往优先考虑投资医疗工具,而不是IT系统和网络保护。此外,招聘网络安全专业人员也是该行业面临的一项挑战。
近年来,欧盟不断提升网络安全防护能力。2024年10月,欧盟委员会通过了《网络信息安全指令2》(NIS2)下的实施规则,帮助成员国和相关实体更好实施NIS2。
NIS2旨在保护关键实体免受重大网络事件的侵害,要求一旦发生导致严重运营中断的事故,公司需要在24小时内发出警告,并在72小时内提交事故报告。如果不遵守规定,公司将面临最高达1000万欧元或全球收入2%的罚款(以较高者为准)。
同年12月,为加强欧盟成员国在检测、准备和应对网络安全威胁及事件方面的团结程度与能力,欧洲理事会通过了网络安全立法“一揽子方案”中的两项新法律,即CSA,以及《关于欧洲网络安全法的修正案》。
不过,欧盟的一系列举措具体效果还有待观察。例如,虽然NIS2规定了重要和关键实体的网络安全和网络报告标准,且要求成员国在2024年10月17日前将指令转化为国内法,但在大多数欧盟成员国中,该指令的转换时间较晚。同年11月28日,欧盟委员会向23个成员国发送正式通知函,呼吁转换指令。
此内容为《医药经济报》融媒体平台原创。未经《医药经济报》授权,不得以任何方式加以使用, 包括转载、摘编、复制或建立镜像。如需获得授权请事前主动联系:020-37886610或020-37886753;yyjjb@21cn.com。
