Mot en säkrare hälso- och sjukvård (sammanfattning)

Hälso- och sjukvården blir allt sårbarare för cyberhot på grund av föråldrade system, varierande rutiner och mänskliga misstag. Trots att man gjort framsteg i fråga om regleringsåtgärder och tekniska lösningar genomförs åtgärder fortfarande inte genomgripande. Nya tekniker såsom artificiell intelligens och kvantberäkning kräver snabba åtgärder för att säkra hälso- och sjukvårdssystemen, samtidigt som komplexiteten i verksamhetsmiljön ökar.

Ökad reglering av cybersäkerhet inom EU påverkar olika sektorer i grunden, även hälso- och sjukvården. Regleringens viktigaste syfte är att harmonisera rutiner och förbättra kritiska aktörers, produkters och infrastrukturers resiliens mot cyberhot. Nya rättsakter såsom Europeiska unionens cybersäkerhetsdirektiv (NIS2), cyberresiliensförordningen och förordningen om artificiell intelligens breddar antalet aktörer och ställer strängare krav, vilket understryker behovet av stark informationssäkerhet i den digitala miljön.

Europa har vaknat upp och insett behovet av att skydda hälso- och sjukvården och vidta ytterligare åtgärder. Handlingsplanen för att stärka cybersäkerheten hos sjukhus och vårdgivare som Europeiska kommissionen lanserade i januari 2025 innehåller långsiktiga förslag för att förbättra säkerheten.

Sitra föreslår sju rekommendationer för att förbättra beredskapen på cyberhot i EU och medlemsländerna. Till exempel bör den inre marknaden för cybersäkerhet stimuleras för att förenkla den gränsöverskridande försäljningen av säkerhetstjänster. Ett närmare samarbete ska uppnås genom att man ordnar övningar i cybersäkerhet som omfattar hela Europa.

För att man ska kunna mäta hur effektiva cybersäkerhetsåtgärderna är ska tydliga mål ställas upp. Detta gäller de förslag till handlingsplaner för EU och medlemsländerna som kommissionen lagt fram samt mätning och förbättring av cybersäkerheten inom vårdorganisationerna.

Vårdorganisationerna ska förbättra cybersäkerhetens resiliens mot störningar genom att förebygga cyberattacker, fungera effektivt under attackerna och utveckla verksamheten efter attackerna. Cybersäkerheten ska utgöra en del av den totala säkerheten, och vårdorganisationerna ska tilldelas tillräckliga resurser för ändamålet.

Finland föregår som exempel på hur cybersäkerheten inom vården har ordnats i ett av EU:s medlemsländer. Enligt Finlands modell för den totala säkerheten är ansvaret för cybersäkerheten fördelad mellan flera myndigheter. Det huvudsakliga ansvaret ligger hos vårdorganisationerna som stöds och styrs av flera myndigheter. Rollerna och ansvarsområdena är tydligt fastställda under normala förhållanden. De huvudsakliga åtgärderna anges i den nationella strategin för cybersäkerhet.