Akcijski načrt EU za okrepitev kibernetske varnosti v zdravstvu – Slovenija podpira strateški preboj

16. 5. 2025

• Urad Vlade Republike Slovenije za informacijsko varnost
• Ministrstvo za zdravje

Vlada Republike Slovenije je na predlog Urada Vlade RS za informacijsko varnost (URSIV) sprejela stališče do Sporočila Evropske komisije o Akcijskem načrtu za kibernetsko varnost bolnišnic in izvajalcev zdravstvenih dejavnosti. Gre za nezavezujoč dokument, ki kljub nepravni naravi predstavlja pomemben strateški okvir za obvladovanje naraščajočih kibernetskih groženj v zdravstvu.

Zdravstveni sektor je eden najbolj izpostavljenih področij kibernetskim napadom, zlasti izsiljevalski programski opremi (ransomware). Akcijski načrt naslavlja te izzive s predlogi za izboljšanje preprečevanja, zaznavanja, odzivanja in odvračanja tovrstnih incidentov.

Ključne vsebine Akcijskega načrta

Med ukrepi Akcijskega načrta je predvidena vzpostavitev:

• Evropskega podpornega centra za kibernetsko varnost v zdravstvu, ki bo v okviru Agencije Evropske unije za kibernetsko varnost (ENISA) nudil strokovno, tehnično in operativno pomoč izvajalcem zdravstvenih storitev. Center bo med drugim razvijal katalog storitev, izvajal ocene zrelosti, oblikoval smernice in sodeloval pri odzivih na incidente.
• Osnovnih varnostnih ukrepov, vključno z večfaktorsko avtentikacijo, rednim izdelovanjem varnostnih kopij ter vzpostavitvijo postopkov za hitro obnovo sistemov po incidentih.
• Krepitve varnosti dobavnih verig, še posebej pri nabavi medicinske in informacijske opreme - torej vključevanje varnostnih zahtev že v fazi načrtovanja in javnega naročanja.
• Evropskih storitev za zgodnje opozarjanje, ki bo temeljila na povezovanju nacionalnih centrov za izmenjavo informacij in analizo ISAC (angleško Information Sharing and Analysis Centers), skupin za odzivanje na incidente na področju računalniške varnosti (CSIRT) in evropskih informacijskih virov. Ta sistem bo zdravstvenim ustanovam omogočil pravočasno obveščanje o potencialnih grožnjah ter omogočil skupno ukrepanje v primeru napadov.
• Mreže direktorjev informacijske varnosti (angleško Health CISOs Network), ki bo omogočila boljšo izmenjavo znanja, izkušenj in koordinirano ukrepanje v primeru kibernetskih incidentov.
• Standardiziranih odzivnih protokolov in organizacija vaj ter simulacij, da bodo zdravstveni sistemi pripravljeni tudi na najbolj zahtevne varnostne izzive. Delovala bo storitev hitrega odzivanja za pomoč zdravstvenim ustanovam pri večjih napadih. Ta mehanizem, ki se razvija v okviru kibernetskovarnostne rezerve EU (angleško EU Cyber Reserve), bo omogočil hitro napotitev strokovnjakov in tehnične podpore na teren.

Posebna pozornost je namenjena tudi manjšim izvajalcem, ki pogosto nimajo zadostnih zmogljivosti za samostojno zagotavljanje celovite zaščite. Zato Akcijski načrt vključuje uvedbo t. i. kibernetskih vavčerjev - finančnih spodbud, s katerimi bodo lahko ti izvajalci lažje izpolnili minimalne standarde varnosti. Vavčerski mehanizmi naj bi bili po modelu programa za digitalno Evropo (angleško Digital Europe Programme) tudi v Sloveniji koordinirani z ustreznimi resorji, zlasti Ministrstvom za zdravje.

Za uspešno uveljavitev vseh ukrepov je bistvenega pomena krepitev človeških virov. Akcijski načrt poudarja pomen rednega usposabljanja in ozaveščanja zaposlenih v zdravstvu. V sodelovanju z evropskimi pobudami, kot je Akademija znanj in spretnosti za kibernetsko varnost v EU (angleško Cybersecurity Skills Academy), bodo razviti digitalni učni moduli za osnovno kibernetsko higieno, prilagojeni različnim profilom zdravstvenih delavcev.

Načrt vključuje še pobudo za krepitev mednarodnega sodelovanja, zlasti na področju boja proti izsiljevalskemu programju in zaščiti pacientovih podatkov. EU bo okrepila sodelovanje z organizacijami, kot so Europol, delovna skupina G7 za kibernetsko varnost (angleško G7 Cybersecurity Working Group) in pobuda za boj proti izsiljevalski programski opremi (angleško Counter Ransomware Initiative - CRI), ter uporabila orodja, kot je zbirka orodij za kibernetsko diplomacijo (angleško Cyber Diplomacy Toolbox), za odvračanje in pregon zlonamernih akterjev.

Stališče Slovenije: podpora, a z jasnimi pogoji

Republika Slovenija pozdravlja predlog Komisije in v njem prepoznava strateški potencial za dvig odpornosti slovenskega zdravstva. Ob tem pa izpostavlja nujnost:

• ustreznega financiranja izvajanja ukrepov,
• vzpostavitve minimalnih standardov kibernetske varnosti v zdravstvu,
• boljšega usposabljanja osebja in kadrovskih okrepitev,
• standardiziranega pristopa k minimalnim varnostnim zahtevam,
• učinkovite koordinacije med vsemi evropskimi in nacionalnimi akterji,
• usklajenosti z obstoječimi zakonodajnimi okviri, kot sta ZInfV-1 in direktiva NIS2.

Poudarja tudi potrebo po dodatni podpori malim in srednje velikim izvajalcem preko vavčerskih shem in drugih finančnih mehanizmov.

Finančne potrebe in priložnosti

Zaradi obsežnosti prilagoditev Slovenija podpira evropske podporne mehanizme, kot so program Digitalna Evropa in Kohezijski sklad. Ti bi omogočili lažjo implementacijo načrta in prispevali k digitalni preobrazbi slovenskega zdravstvenega sistema ter njegovi večji kibernetski odpornosti.

Slovenija kot zagovornica sistemskega pristopa

Vlada RS se bo v razpravah na ravni EU zavzemala za vključitev Akcijskega načrta kot referenčnega modela tudi za druge sektorje kritične infrastrukture (npr. energetika, promet, oskrba z vodo). Po ocenah URSIV lahko tovrsten modularni pristop postane temelj za širšo implementacijo ZInfV-1 na sektorski ravni.