Die EU-Kommission hat einen weitreichenden Aktionsplan vorgestellt, der die Cybersicherheit von Krankenhäusern und Gesundheitseinrichtungen deutlich verbessern soll. Kernstück der Initiative ist ein gesamteuropäisches Kompetenzzentrum für Cybersicherheit, das bis 2026 seine Arbeit aufnehmen und maßgeschneiderte Unterstützung anbieten wird.
Der vorgestellte Plan wurde bereits in den politischen Leitlinien der EU-Kommission für 2024-2029 im Juli 2024 angekündigt. Hintergrund sind die stark gestiegenen Cyberbedrohungen im Gesundheitssektor. Eine Studie des IT-Sicherheitsanbieters Sophos hatte kürzlich gezeigt, dass international die Zahl der Ransomware-Angriffe auf Organisationen im Gesundheitswesen seit 2021 ein Vier-Jahres-Hoch erreicht hat.
„Die Digitalisierung hat zu enormen Fortschritten in der modernen Gesundheitsversorgung geführt“, erklärte Henna Virkkunen, EU-Kommissions-Vizepräsidentin für technologische Souveränität, Sicherheit und Demokratie. „Allerdings sind Gesundheitssysteme dadurch auch verstärkt Cybersicherheitsrisiken ausgesetzt.“
Vier-Säulen-Strategie
Der Aktionsplan setzt auf vier zentrale Handlungsfelder:
- Prävention: Hierzu gehören konkrete Leitlinien für kritische Cybersicherheitspraktiken sowie Cybersecurity-Voucher als finanzielle Unterstützung für kleine und mittlere Gesundheitseinrichtungen. Zudem sollen Schulungsressourcen für medizinisches Personal bereitgestellt werden.
- Frühwarnsystem: Das neue, von der EU-Cybersicherheitsagentur ENISA betriebene Kompetenzzentrum wird ab 2026 einen EU-weiten Frühwarndienst einrichten, der Cyber-Bedrohungen nahezu in Echtzeit erkennt und meldet.
- Incident Response: Ein spezieller Notfalldienst für den Gesundheitssektor soll im Rahmen der EU Cybersecurity Reserve eingerichtet werden, um die Auswirkungen von Cyberangriffen zu minimieren.
- Abschreckung: Die EU setzt hier auf ihre „Cyber Diplomacy Toolbox“ – ein koordiniertes diplomatisches Vorgehen gegen böswillige Cyberaktivitäten.
„Prävention ist besser als Heilung – das gilt auch für die Cybersicherheit“, betonte Virkkunen. „Aber wenn es doch zu Angriffen kommt, müssen wir optimal auf Erkennung, schnelle Reaktion und Wiederherstellung vorbereitet sein.“
„Die Patienten müssen darauf vertrauen können, dass ihre sensiblen Daten sicher sind. Die Angehörigen der Gesundheitsberufe müssen Vertrauen in die Systeme haben, die sie täglich nutzen, um Leben zu retten“, sagte Olivér Várhelyi, Kommissar für Gesundheit und Tierschutz. „Der heutige Aktionsplan ist ein wichtiger Schritt zur Sicherung dieses Vertrauens und zur Gewährleistung eines widerstandsfähigeren Gesundheitsökosystems für die Zukunft.“
Die einzelnen Maßnahmen sollen schrittweise in den Jahren 2025 und 2026 umgesetzt werden. Die EU-Kommission plant zudem eine öffentliche Konsultation, deren Ergebnisse bis Ende 2025 in weitere Empfehlungen einfließen sollen.