27/08/2025
Os criminosos cibernéticos fizeram do setor de saúde da Europa um de seus alvos favoritos, com ataques de ransomware e à cadeia de suprimentos colocando hospitais e pacientes em sério risco.
No início deste ano, compartilhamos nossa primeira abordagem sobre a segurança na área de saúde: O Plano de Ação da UE.
Esta atualização sobre segurança na área da saúde analisa como o plano está sendo implementado gradualmente nos próximos dois anos e o que as organizações de saúde devem esperar para além de 2026. Esse plano não é apenas mais um documento de orientação. Trata-se de uma iniciativa coordenada em toda a UE, projetada para fortalecer a resiliência, desenvolver habilidades e fornecer suporte rápido no caso de um ataque.
O que o plano de ação inclui
Um centro europeu de suporte à segurança cibernética
Um centro dedicado fornecerá suporte direto a hospitais e outros provedores. Ele atuará como um centro de preparação, detecção e resposta a incidentes. Serão lançados projetos-piloto em todos os estados-membros para testar as melhores práticas de higiene cibernética, avaliação de riscos e monitoramento contínuo.
Mapeamento do cenário regulatório
As organizações do setor de saúde enfrentam uma legislação fragmentada. O Plano de Ação inclui uma ferramenta de mapeamento regulatório para ajudar os provedores a navegar pelo NIS2, pela LGPD, pela Lei de Resiliência Cibernética e por outras regras que se sobrepõem. Paralelamente, será realizada uma avaliação de risco coordenada com foco em dispositivos médicos e dados de pacientes baseados em nuvem.
Resposta a incidentes e a reserva de segurança cibernética
O Cyber Solidarity Act dá aos hospitais acesso a provedores privados confiáveis em tempos de crise. Será criado um manual cibernético específico para o setor de saúde, além de exercícios cibernéticos regulares pela UE. Com o ransomware sendo responsável por mais da metade dos incidentes na área da saúde nos últimos anos, a importância dessas medidas não pode ser exagerada. De acordo com o NIS2, todos os pagamentos de resgate também precisarão ser relatados.
Sistema de alerta antecipado
Um serviço de alerta antecipado em toda a UE fornecerá alertas quase em tempo real sobre ameaças específicas ao setor de saúde. Os hospitais compartilharão as notificações de incidentes com a ENISA por meio do Centro de Suporte, garantindo que a inteligência seja rapidamente distribuída.
Força de trabalho e governança
As equipes de segurança cibernética no setor de saúde são cronicamente carentes de pessoal. De acordo com o ISC2, três quartos dos profissionais destacam os gaps de pessoal como um dos principais riscos. Para resolver esse problema, a atualização sobre segurança na área da saúde apresenta uma Rede Europeia de CISOs da área da saúde para conectar líderes, compartilhar conhecimentos e criar resiliência coletiva.
Cronograma das principais ações
Fase 1: 2025-2026 (implementação inicial)
| Prazo | Principais ações |
| Janeiro de 2025 | Lançamento oficial do Plano de Ação; início das consultas com as partes interessadas. |
| Q2 2025 | Primeiros projetos-piloto sobre higiene cibernética hospitalar e prontidão para incidentes. |
| Meados de 2025 | Estabelecimento do Centro Europeu de Apoio à Segurança Cibernética. |
| Q3 2025 | Implantação do serviço de alerta antecipado na saúde e alertas de ameaças em toda a UE. |
| Q4 2025 | Primeira avaliação coordenada dos riscos da cadeia de suprimentos; emissão de recomendações refinadas. |
| Início de 2026 | Lançamento do manual de resposta a incidentes cibernéticos na área da saúde; início dos exercícios cibernéticos em toda a UE. |
| Durante todo o ano de 2026 | Implantação contínua de ferramentas de resposta e recuperação, incluindo serviços de resposta rápida e repositórios de descriptografia. |
Fase 2: depois de 2026 (expansão estratégica)
| Prazo | Principais ações |
| Final de 2026 - 2027 | Recomendações adicionais publicadas pela Comissão, com base nos resultados do piloto e nas consultas. |
| Pós-2026 Em andamento | Continuação do trabalho do Conselho Consultivo de Segurança Cibernética em Saúde e dos centros nacionais de suporte. |
| 2027 e além | Desenvolvimento de um mercado único europeu de segurança cibernética, com orçamentos mais claros, metas mensuráveis e exercícios cibernéticos ampliados em toda a UE. |
| 2030-2035 | Transição para a adoção da criptografia pós-quântica em sistemas críticos de saúde. |
| Contínuo | Integração da segurança da saúde em estruturas mais amplas da UE, incluindo a NIS2, a Lei de Resiliência Cibernética e a Lei de Solidariedade Cibernética, com mandatos em evolução, conforme necessário. |
Contexto legislativo mais amplo
O Plano de Ação complementa as recentes regulamentações da UE que estão remodelando o cenário da segurança:
- Diretiva NIS2 (em vigor desde dezembro de 2022): Expande os requisitos para setores essenciais, incluindo o setor de saúde, com regras harmonizadas para a comunicação de incidentes.
- Lei de Resiliência Cibernética (CRA) (adotada em outubro de 2024): Concentra-se em produtos com elementos digitais, como dispositivos médicos, exigindo gerenciamento de vulnerabilidades e atualizações de segurança.
- Lei de Resiliência Operacional Digital (DORA) (em vigor a partir de janeiro de 2025): Tem como alvo o setor financeiro, mas também afeta os provedores de serviços de TIC nos ecossistemas de saúde.
Por que isso é importante
Os hospitais não podem se dar ao luxo de ter tempo de inatividade. Um ataque de ransomware que coloca os registros dos pacientes off-line ou interrompe os dispositivos conectados pode colocar vidas em risco. O Plano de Ação da UE representa uma mudança das respostas reativas para o desenvolvimento estruturado da resiliência. Ao criar um centro de suporte, uma rede de CISO e um manual apoiado por inteligência em tempo real, a Europa está dando um passo importante para proteger a área da saúde.
Na Getronics, ajudamos os provedores de serviços de saúde a se alinharem com as diretrizes NIS2, DORA, ISO 27001 e demais diretrizes específicas do setor. Nossa experiência em serviços gerenciados de segurança, inteligência contra ameaças e resposta a incidentes pode ajudar as organizações a se prepararem para o novo cenário europeu. Levando a sério todas as atualizações de segurança do setor de saúde, para oferecer suporte consistente e atualizado.
