加入我们的每月风险会议
但首先,提醒一下,Health-ISAC 的每月威胁信息是周二和周三。加入您的 Health-ISAC 成员行列,让 Health-ISAC 工作人员和合作伙伴组织提供有关威胁情况的概述。演示内容包括对新兴恶意软件、APT 趋势、法律和监管问题、企业安全问题等的评估。我们鼓励所有 Health-ISAC 成员利用这项服务。
欧洲医院和医疗保健提供者网络安全行动计划
早在去年 8 月, 《Hacking Health Care》 就回顾了最近再次当选欧盟委员会主席的乌苏拉·冯德莱恩 (Ursula von der Leyen) 所描述的即将召开的欧盟委员会会议的政策重点。 在其长达 31 页的政策立场文件《 欧洲选择:2024-2029 年下一届欧盟委员会的政治指导方针》中,[ii] 提出了一项关于“2024-2029 年期间医院和医疗保健提供者网络安全的欧洲行动计划”的提案。任务授权的前 100 天。 ” [三]
1 月 15 日,冯德莱恩发表了该提案并发布了《 欧洲医院和医疗保健提供者网络安全行动计划》。[四]
行动计划是什么?
在较高层面上,该行动计划建议欧盟层面进行协调,并建议欧盟委员会、ENISA 和成员国采取措施,以改善医院和医疗保健提供者的网络安全。工作范围将包括向医院和医疗保健提供者提供专门的指导、工具、服务和培训,这些活动主要分为四个优先类别:预防、检测、响应和恢复以及阻止。
制定该行动计划的理由是什么?
欧盟委员会列举了该行动计划的几个理由,其中包括针对卫生部门的网络威胁活动的频率和复杂性的增加;医疗保健提供者服务的重要性以及减轻患者伤害的必要性;对卫生部门遭受攻击而削弱公众信任的担忧;渴望在数字化转型和不断扩大的攻击面期间提高安全性和弹性;以及为欧洲健康数据空间等关键政策做出贡献的潜力。
该行动计划适用于谁?
该行动计划的范围被广泛描述为“主要[关注]医院和医疗保健提供者的网络安全”。[V] 不过,他也承认应该考虑更广泛的生态系统和供应链。
行动计划有何建议?
该行动计划包括一长串拟议行动,需要由欧盟委员 突尼斯电子消费者电子费者电子邮件列表表 会本身、欧洲网络安全机构 ENISA、欧洲成员国政府以及私营部门的各个部门执行。一些最重要的建议包括:
ENISA - 为医院和医疗保健提供者创建专门的欧洲网络安全支持中心。
ENISA - 为医疗设备、电子健康记录系统以及健康领域的 ICT 设备和软件提供商创建欧洲已知漏洞目录 (KEV)。
ENISA - 开发专为医疗保健设计的网络事件响应手册。
欧盟委员会 - 制定试点计划,以开发网络卫生和安全风险评估的最佳实践,并满足持续网络安全监控、威胁情报和事件响应的需求。
成员国 ——鼓励卫生服务提供者之间共享资源,可能通过联合采购或汇集资源来增加与网络安全服务提供商的议价能力。
成员国 ——我鼓励为医疗保健行业的组织制定非约束性的资助标准并监控资助目标。
行业 - 将鼓励网络安全公司、基金会、教育机构和企业利益相关者致力于采取行动应对该行业的挑战(例如增加网络安全培训、开展意识活动、以较低成本提供托管安全服务以及与 ENISA 共享威胁) 。 。
拟议的行动太多,无法在此全部涵盖,但行动计划的附件提供了按负责机构分类的概述。
现在会发生什么?
预计欧盟委员会将很快启动公众咨询。欧盟委员会表示,在磋商的同时,与成员国和“相关网络”的讨论将继续“收集更多意见”。反馈结果旨在指导年底前对《行动计划》的进一步建议和修订。