Segurança do serviço de saúde: O Plano de Ação da UE.

19/03/2025

Os ciberataques a hospitais e prestadores de cuidados de saúde aumentaram drasticamente em toda a Europa, tornando a cibersegurança uma questão crítica para a segurança dos pacientes. Em resposta, a Comissão Europeia anunciou o Plano de Ação Europeu para a Cibersegurança de Hospitais e Prestadores de Cuidados de Saúde em janeiro de 2025, introduzindo uma estratégia coordenada para reforçar a segurança dos cuidados de saúde em toda a UE. Essa iniciativa estratégica se baseia na estrutura de segurança cibernética existente da UE, principalmente na Diretiva NIS2, e se concentra em quatro pilares principais: Prevenir, Detectar, Responder e Recuperar, e Dissuadir. Somente em 2023, o setor de saúde registrou 309 incidentes cibernéticos significativos na UE, mais do que qualquer outro setor crítico.

O que o plano de ação abrange

O plano exige uma abordagem proativa e em camadas para a segurança cibernética. Os hospitais e as clínicas são instados a realizar avaliações de risco abrangentes, atualizar sistemas de TI antigos e treinar a equipe em higiene cibernética. Um sistema de alerta precoce em toda a UE para o setor de saúde, que deverá estar operacional até 2026, ajudará a detectar rapidamente as ameaças emergentes. Além disso, medidas robustas de resposta a incidentes, como uma "reserva" cibernética de equipes de resposta a emergências e exercícios aprimorados de gerenciamento de crises, são enfatizadas. Um elemento importante do plano é a exigência de notificação obrigatória de incidentes cibernéticos para promover a transparência e permitir uma intervenção imediata. Além disso, o plano exige a comunicação de qualquer intenção de pagar resgates no caso de um ataque, com o objetivo de deter os criminosos cibernéticos.

Impacto no setor médico

O plano de ação promove uma estratégia de cibersegurança em camadas, baseada em quatro capacidades essenciais: prevenção, deteção, resposta e dissuasão. As principais medidas incluem avaliações de risco abrangentes, melhoria da comunicação de incidentes, reforço da formação em cibersegurança para o pessoal de saúde e desenvolvimento de um sistema de alerta precoce à escala da UE, que deverá entrar em funcionamento em 2026.

Avaliações de risco e atualizações: as instituições devem revisar seus sistemas de TI, atualizar softwares legados e aprimorar a segurança da rede. A segurança cibernética não é mais apenas uma preocupação da TI; ela é essencial para garantir o atendimento ininterrupto aos pacientes e a resiliência operacional.
Treinamento da equipe: A ênfase no treinamento é clara. Todos os profissionais de saúde, de médicos a funcionários administrativos, devem ser instruídos sobre práticas cibernéticas seguras para reduzir o erro humano.
Preparação para resposta a incidentes: Com as novas diretrizes para uma resposta robusta a incidentes e simulações de segurança regulares, os hospitais precisarão investir em sistemas de backup e planos de recuperação abrangentes.

Os fornecedores de tecnologia médica, inclusive os fornecedores de software e hardware, bem como os provedores de serviços gerenciados de segurança (MSSPs), devem agora incorporar a segurança em seus produtos. Isso significa projetar soluções "seguras por design", implementar processos robustos de relatório de vulnerabilidades e oferecer suporte aos clientes do setor de saúde com serviços integrados de segurança cibernética. Os esforços de colaboração entre hospitais e provedores de tecnologia garantem que todos os elos da cadeia de saúde estejam protegidos.

Implementações nacionais na UE

Embora o plano de ação se aplique em toda a UE, a implementação irá variar significativamente entre os Estados-Membros, dependendo da sua maturidade em matéria de cibersegurança e dos seus quadros regulamentares.

Holanda: Os holandeses são pioneiros em segurança cibernética há muito tempo. Seu Centro Nacional de Segurança Cibernética (NCSC-NL) e a orientação específica do setor por meio do Zorg-CERT os posicionam bem para as próximas mudanças. Os hospitais holandeses já aderem a padrões rigorosos, incluindo avaliações de risco obrigatórias e compliance com a norma NEN 7510, adaptada para o setor de saúde. Espera-se que seus mecanismos proativos de compartilhamento de informações sobre ameaças se integrem perfeitamente à nova estrutura da UE.
Espanha: Alinhando-se rapidamente aos mandatos da UE, a Espanha aprovou um projeto de lei em janeiro de 2025 para fortalecer a governança nacional da segurança cibernética. O recém-criado Centro Nacional de Ciberseguridad (CNC) ou Centro Nacional de Segurança Cibernética servirá como autoridade principal, garantindo que os hospitais atendam aos novos requisitos de relatórios e passem por auditorias regulares. As organizações de saúde espanholas devem esperar uma supervisão mais rigorosa e relatórios centralizados de incidentes, além de subsídios que agora incluem atualizações de segurança cibernética.
Estônia: Conhecida como a líder digital da Europa, a digitalização quase completa dos serviços de saúde da Estônia exige medidas rigorosas de segurança cibernética. A Riigi Infosüsteemi Amet (RIA) ou Autoridade do Sistema de Informação da Estônia aplica algumas das políticas de segurança de dados mais rigorosas da região. A adoção antecipada pela Estônia da segurança baseada em blockchain para registros eletrônicos de saúde é um excelente exemplo de seu compromisso com a segurança da saúde digital. Essa base robusta significa que a Estônia está bem preparada para integrar e até mesmo superar os novos requisitos de segurança cibernética da UE.
França: Já líder em segurança cibernética na área de saúde, o programa CaRE da França, lançado em 2023, será expandido com o novo plano de ação. O programa, apoiado por um financiamento significativo, oferece aos hospitais um catálogo de ferramentas de segurança cibernética aprovadas e enfatiza a aquisição coordenada. Os hospitais franceses podem prever regulamentações aprimoradas, obrigações de relatórios mais rígidas e maior integração com agências nacionais de segurança cibernética, como a Agence nationale de la sécurité des systèmes d'information (ANSSI).
Alemanha: A abordagem da Alemanha envolve a atualização de suas proteções de infraestrutura crítica. Embora a transposição da Diretiva NIS2 tenha sido inicialmente lenta, a Alemanha pretende implementá-la totalmente até o início de 2025. As diretrizes existentes para hospitais de grande porte serão ampliadas para abranger mais prestadores de serviços de saúde, e o Bundesamt für Sicherheit in der Informationstechnik (BSI) ou Escritório Federal de Segurança da Informação provavelmente desempenhará um papel ainda mais ativo. Os hospitais alemães devem se preparar para requisitos mais rígidos de relatórios de incidentes e maior supervisão regulatória, juntamente com incentivos adicionais de financiamento para investimentos em segurança cibernética.

Cronograma e principais marcos

O plano está pronto para ser implementado rapidamente:

Janeiro de 2025: Anúncio oficial e início das consultas às partes interessadas.
Meados de 2025: Os Estados-Membros começam a transpor a NIS2 e são publicadas diretrizes específicas para o setor de saúde.
Final de 2025: Os principais resultados, como manuais de resposta a incidentes e protocolos obrigatórios de relatórios sobre ransomware são implementados.
Início até meados de 2026: Lançar o serviço de alerta precoce em toda a UE, fornecendo tais laertas quase em tempo real sobre possíveis ameaças cibernéticas. Implementar o serviço de resposta rápida no âmbito da Reserva de Cibersegurança da UE e distribuir vouchers de cibersegurança para prestadores de serviços de saúde elegíveis.
Depois de 2026: integração contínua das práticas de segurança cibernética nas operações diárias do setor de saúde, com revisões e atualizações periódicas.

Como a Getronics pode ajudar

A adaptação a essas regulamentações de segurança cibernética em evolução pode ser um desafio. A Getronics, com sua profunda experiência em serviços gerenciados de TI e tecnologia de saúde, está em uma posição única para ajudar as organizações durante essa transição. Nossos serviços abrangem desde avaliações de risco e consultoria de conformidade até monitoramento de ameaças 24 horas por dia, 7 dias por semana e resposta rápida a incidentes. Com a parceria com a Getronics, os provedores de serviços de saúde garantem que não apenas atendam aos novos requisitos regulamentares, mas também criem uma defesa cibernética robusta e resiliente que mantenha o atendimento ao paciente seguro e ininterrupto.

A Getronics já fez vários avanços no setor de saúde, apoiando o WI-FI 7 em hospitais e explorando o papel da IA na medicina.

Entre em contato com a Getronics hoje mesmo e deixe-nos ajudá-lo a navegar pelas complexidades da segurança cibernética no cenário em evolução do setor de saúde.

Escrito por Rob Nidschelm, diretor global de segurança operacional da Getronics.

Fale com um de nossos especialistas

Se estiver considerando uma nova experiência digital, seja qual for o estágio da sua jornada, adoraríamos conversar.

Segurança do serviço de saúde: O Plano de Ação da UE.

O que o plano de ação abrange

Impacto no setor médico

Implementações nacionais na UE

Cronograma e principais marcos

Como a Getronics pode ajudar

Equipe editorial da Getronics

Neste artigo:

Compartilhar esta publicação

Artigos relacionados

Perspectiva de ameaças cibernéticas para o setor industrial do Reino Unido em 2026

Blackouts & Biohacks: Por que o clima e a biotecnologia estão se tornando as próximas ameaças cibernéticas

Guerra cibernética, sanções e soberania - quando a geopolítica se torna uma lacuna de segurança

Hiperconectado = Hipervulnerável: Como o 6G e a IoT explodem nossas superfícies de ataque

Fale com um de nossos especialistas

Serviços

Sobre Nós

Insights

Indústrias

Carreiras

Contato