欧州の医療セクターがサイバー攻撃に対応できるよう十分に備えることは、新たに選出された欧州委員会の最優先事項となる。
EU委員会のDG Connect(通信ネットワーク・コンテンツ・技術総局)でデジタルセキュリティ、トラスト、サイバーセキュリティ担当の代理ディレクターを務めるクリスティアーネ・キルケタープ・デ・ヴィロン氏は、11月27日にロンドンで開催されたフィナンシャル・タイムズ主催「Cyber Resilience Summit Europe」で、ウルズラ・フォン・デア・ライエン氏の最初の100日間にこの目標達成に向けた作業を開始すると述べた。
デ・ヴィロン氏は、最初のフォン・デア・ライエン委員会が、改正されたネットワークおよび情報セキュリティ指令 (NIS2)、サイバー・レジリエンス法(CRA)、デジタル運用レジリエンス法(DORA)、およびAI法といったサイバー規制基準の整備に注力してきた一方で、新たな委員会の取り組みは実装に置かれるべきだと述べた。
デ・ヴィロン氏は次のように説明した。「病院がますます標的にされているうえ、医療セクターは非常に多様な産業です。そこで私たちは、特に病院と医療提供者に焦点を当てていきます。大多数の病院は、これまでセキュリティリスク評価を一度も実施したことがありません。」
フォン・デア・ライエン氏が率いる次期欧州委員会は、2024年12月1日に発足し、5年間の立法サイクルを開始する予定だ。
デ・ヴィロン氏は、新たな任期の最初の100日以内に、病院および医療提供者向けのサイバーセキュリティに関する新たな行動計画が提示されると確認した。これは、フォン・デア・ライエン氏がEU行政府の委員長に再任される前に公表されたPolitical Guidelines 2024-2029(政治指針2024-2029)文書で当初提案されていたものだ。
11月のNIS Investments 2024(NIS投資2024)報告書で、EUサイバーセキュリティ機関(ENISA)は、医療セクターがデータ侵害のコストが最も高い産業であることを明らかにした。医療データ侵害の平均コストは約840万ユーロ(890万ドル)で、全セクター平均の440万ユーロ(465万ドル)と比べて高い。
医療セキュリティのガイドラインとデータ共有
デ・ヴィロン氏も、フォン・デア・ライエン氏のPolitical Guidelines 2024-2029も、この医療分野のサイバー行動計画がどのようなものになるのかについて、具体的な詳細は示していない。
しかし、ビューローベリタスでサイバーセキュリティサービス担当VPを務めるマイケル・ニコルズ氏はInfosecurityに対し、おそらく新たな規制に置き換えられることはないだろうと語った。
ロンドンのEU大使館のアルバロ・ガルシア=デルガド氏も同意した。「多くの立法枠組みを確立した今、それらを実践に移す時です」と同氏はInfosecurityに語った。
ガルシア=デルガド氏はさらに、「欧州全域の医療制度は大きく異なり、完全に公的な組織から完全に民間の組織まで、ハイブリッドな官民パートナーシップを含む幅広い組織が存在します。そして忘れてはならないのは、医療はEUの権限ではなく加盟国の責任だということです。EUが関与を控えめに始めたのはCOVID-19以降にすぎません」と付け加えた。
同氏は、この行動計画はおそらく「医療関連の政府機関から病院、医療提供者、患者に至るまで、医療分野の関係者に対して、基本的なセキュリティのベストプラクティスや採用すべき対策を説明することを目的とする」だろうと述べた。
具体的には、ニコルズ氏は、欧州全域の医療サイバーセキュリティに特化したENISAのツールキットやガイドラインの形を取る可能性があると考えている。
フィナンシャル・タイムズのイベントで、インペリアル・カレッジ・ロンドンのグローバル・ヘルス・イノベーション研究所でデジタルヘルス・リードを務めるサイラ・ガフール氏は次のように述べた。「病院は非常に魅力的な標的ですが、幸いなことに、サイバー脅威アクターは、医療分野が大きく依存している多くのIT、モノのインターネット(IoT)、運用技術(OT)システムが実際にどのように動作しているのかを理解していません。もし理解していたら、影響ははるかに深刻になっていたでしょう。」
今後の行動計画は、EUが医療セクターのサイバー・レジリエンスを強化するための重要な機会となる。強固な実践の実装に焦点を当て、域内全体で国境を越えた協力と知識共有を促進することが期待される。
翻訳元: https://www.infosecurity-magazine.com/news/eu-commission-healthcare-cyber-plan/
