A Comissão apresentou hoje um plano de ação da UE destinado a reforçar a cibersegurança dos hospitais e dos prestadores de cuidados de saúde. Este plano de ação foi anunciado nas orientações políticas da presidente Ursula von der Leyencomo uma prioridade fundamental nos primeiros 100 dias do novo mandato. A iniciativa é um passo importante para proteger o setor da saúde das ciberameaças. Ao reforçar as capacidades de deteção, preparação e resposta a ameaças dos hospitais e dos prestadores de cuidados de saúde, criará um ambiente mais seguro para os doentes e os profissionais de saúde.

A digitalização está a trazer uma revolução aos cuidados de saúde, permitindo melhores serviços aos doentes através de inovações como os registos de saúde eletrónicos, a telemedicina e os diagnósticos baseados na IA. No entanto, os ciberataques podem atrasar os procedimentos médicos, criar bloqueios nas salas de emergência e perturbar serviços vitais que, em casos graves, podem ter um impacto direto na vida dos europeus. Os Estados-Membros comunicaram 309 incidentes de cibersegurança significativos que afetaram o setor dos cuidados de saúde em 2023, mais do que em qualquer outro setor crítico.

O plano de ação propõe, nomeadamente, que a ENISA, a agência da UE para a cibersegurança, crie um centro pan-europeu de apoio à cibersegurança para hospitais e prestadores de cuidados de saúde, fornecendo-lhes orientações, ferramentas, serviços e formação adaptados. A iniciativa baseia-se no quadro mais vasto da UE para reforçar a cibersegurança em todas as infraestruturas críticas e marca a primeira iniciativa setorial específica para implementar toda a gama de medidas de cibersegurança da UE.

Em suma, o plano de ação centra-se em quatro prioridades:

• Reforço da prevenção. O plano ajuda a reforçar as capacidades do setor dos cuidados de saúde para prevenir incidentes de cibersegurança através de medidas de preparação reforçadas, como orientações sobre a aplicação de práticas críticas de cibersegurança. Em segundo lugar, os Estados-Membros podem também introduzir vales de cibersegurança para prestar assistência financeira aos micro, pequenos e médios hospitais e prestadores de cuidados de saúde. Por último, a UE desenvolverá também recursos de aprendizagem em matéria de cibersegurança para os profissionais de saúde.
• Melhor deteção e identificação de ameaças. O Centro de Apoio à Cibersegurança para hospitais e prestadores de cuidados de saúde desenvolverá, até 2026, um serviço de alerta precoce à escala da UE, que emitirá alertas quase em tempo real sobre potenciais ciberameaças.
• Resposta a ciberataques para minimizar o impacto. O plano propõe um serviço de resposta rápida para o setor da saúde no âmbito da Reserva de Cibersegurança da UE. Criada no Regulamento Cibersolidariedade, a Reserva presta serviços de resposta a incidentes de prestadores de serviços privados de confiança. Como parte do plano, os exercícios nacionais de cibersegurança podem ser realizados juntamente com o desenvolvimento de manuais para orientar as organizações de saúde a responder a ameaças específicas de cibersegurança, incluindo ransomware. Os Estados-Membros são incentivados a solicitar a comunicação dos pagamentos de resgates às entidades, a fim de lhes poder prestar o apoio de que necessitam e permitir o acompanhamento pelas autoridades responsáveis pela aplicação da lei.
• Dissuasão: Proteger os sistemas de saúde europeus, dissuadindo os intervenientes em ciberameaças de os atacarem. Tal inclui a utilização do conjunto de instrumentos de ciberdiplomacia, uma resposta diplomática conjunta da UE a ciberatividades maliciosas.

O plano de ação será executado em conjunto com os prestadores de cuidados de saúde, os Estados-Membros e a comunidade de cibersegurança. A fim de aperfeiçoar as ações com maior impacto para que os doentes e os prestadores de cuidados de saúde possam delas beneficiar, a Comissão lançará em breve uma consulta pública sobre este plano, aberta a todos os cidadãos e partes interessadas.

Próximas etapas

O plano de ação é o início de um processo para melhorar a cibersegurança no setor dos cuidados de saúde. As ações específicas serão implementadas progressivamente em 2025 e 2026. Os resultados da consulta contribuirão para a formulação de novas recomendações até ao final do ano.

Antecedentes

A UE trabalha em várias frentes para promover a ciber-resiliência e proteger os seus cidadãos e empresas das ciberameaças numa Europa cada vez mais digital e conectada. Este plano de ação responde à urgência da situação e às ameaças únicas que o setor enfrenta. Baseia-se no quadro legislativo existente no domínio da cibersegurança. Os hospitais e outros prestadores de cuidados de saúde são estabelecidos como um setor de elevada importância ao abrigo da Diretiva SRI 2. O quadro de cibersegurança da SRI 2 funciona em paralelo com o Regulamento Ciber-Resiliência, a primeira legislação da UE que estabelece requisitos obrigatórios de cibersegurança para produtos que incluem elementos digitais, que entrou em vigor em 10 de dezembro de 2024. A Comissão criou igualmente um mecanismo de ciberemergência ao abrigo do Regulamento Cibersolidariedade, que reforça a solidariedade da UE e as ações coordenadas para detetar, preparar e responder eficazmente às crescentes ameaças e incidentes de cibersegurança.

Garantir uma infraestrutura digital resiliente e segura é essencial para a plena implantação do Espaço Europeu de Dados de Saúde, que colocará os cidadãos no centro dos seus cuidados de saúde, concedendo-lhes pleno controlo sobre os seus dados.

Para mais informações

Plano de ação sobre a cibersegurança dos hospitais e dos prestadores de cuidados de saúde

Perguntas e respostas

Ficha informativa