Segurança na área da saúde: o plano de ação da UE.

O que o Plano de Ação prevê
O plano prevê uma abordagem proativa e em camadas para a segurança cibernética. Hospitais e clínicas são instados a realizar avaliações abrangentes de risco, atualizar sistemas de TI legados e treinar a equipe em práticas de higiene cibernética. Um sistema de alerta precoce para a área da saúde em toda a UE, com previsão de entrar em operação até 2026, ajudará a detectar rapidamente ameaças emergentes. Além disso, são enfatizadas medidas robustas de resposta a incidentes, como uma “reserva” cibernética de equipes de resposta a emergências e exercícios aprimorados de gestão de crises. Um elemento-chave do plano é a exigência de notificação obrigatória de incidentes cibernéticos para promover a transparência e permitir uma intervenção imediata. Adicionalmente, o plano exige a notificação de qualquer intenção de pagar resgates em caso de ataque, com o objetivo de dissuadir os cibercriminosos.
 

Impacto no setor médico
O plano de ação promove uma estratégia de segurança cibernética em camadas, baseada em quatro capacidades essenciais: prevenção, detecção, resposta e dissuasão. As principais medidas incluem avaliações abrangentes de risco, melhoria no sistema de notificação de incidentes, capacitação aprimorada em segurança cibernética para profissionais de saúde e o desenvolvimento de um sistema de alerta precoce em toda a UE, que deverá entrar em operação até 2026.

• Avaliações de risco e atualizações: As instituições devem revisar seus sistemas de TI, atualizar softwares legados e reforçar a segurança da rede. A segurança cibernética não é mais apenas uma preocupação da área de TI; ela é essencial para garantir o atendimento ininterrupto aos pacientes e a resiliência operacional.
• Treinamento de funcionários: A ênfase no treinamento é clara. Todos os profissionais da área da saúde, desde médicos até funcionários administrativos, devem receber orientação sobre práticas seguras de segurança cibernética para reduzir erros humanos.
• Preparação para resposta a incidentes: Com novas diretrizes para uma resposta robusta a incidentes e simulados de segurança regulares, os hospitais precisarão investir em sistemas de backup e planos de recuperação abrangentes.

Os fornecedores de tecnologia médica, incluindo fornecedores de software e hardware, bem como os Provedores de Serviços Gerenciados de Segurança (MSSPs), devem agora incorporar a segurança em seus produtos. Isso significa projetar soluções “seguras desde a concepção”, implementar processos robustos de notificação de vulnerabilidades e oferecer suporte aos clientes do setor de saúde por meio de serviços integrados de cibersegurança. Os esforços colaborativos entre hospitais e fornecedores de tecnologia garantem que todos os elos da cadeia de saúde estejam protegidos.
 

Implementações nacionais na UE
Embora o plano de ação se aplique em toda a UE, sua implementação variará significativamente entre os Estados-Membros, dependendo do nível de maturidade em cibersegurança e dos marcos regulatórios existentes em cada um deles.

• Países Baixos: Os holandeses são, há muito tempo, pioneiros em segurança cibernética. Seu Centro Nacional de Segurança Cibernética (NCSC-NL) e as orientações setoriais específicas fornecidas pelo Zorg-CERT os colocam em boa posição para as mudanças que se aproximam. Os hospitais holandeses já seguem padrões rigorosos, incluindo avaliações de risco obrigatórias e conformidade com a norma NEN 7510 — elaborada especificamente para o setor de saúde. Espera-se que seus mecanismos proativos de compartilhamento de inteligência sobre ameaças se integrem perfeitamente ao novo marco da UE.
• Espanha: Alinhando-se rapidamente às determinações da UE, a Espanha aprovou, em janeiro de 2025, um projeto de lei para fortalecer a governança nacional em matéria de segurança cibernética. O recém-criado Centro Nacional de Cibersegurança (CNC) atuará como autoridade principal, garantindo que os hospitais cumpram os novos requisitos de notificação e sejam submetidos a auditorias regulares. As instituições de saúde espanholas devem esperar uma fiscalização mais rigorosa e um sistema centralizado de notificação de incidentes, além de subsídios que agora incluem melhorias na segurança cibernética.
• Estônia: Conhecida como pioneira digital da Europa, a digitalização quase total dos serviços de saúde da Estônia exige medidas rigorosas de segurança cibernética. A Autoridade de Sistemas de Informação da Estônia (Riigi Infosüsteemi Amet, ou RIA) aplica algumas das políticas de segurança de dados mais rigorosas da região. A adoção precoce pela Estônia de segurança baseada em blockchain para prontuários eletrônicos é um excelente exemplo de seu compromisso com a segurança da saúde digital. Essa base robusta significa que a Estônia está bem preparada para integrar e até mesmo superar os novos requisitos de segurança cibernética da UE.
• França: Já líder em cibersegurança na área da saúde, o programa francês CaRE, lançado em 2023, passará por uma expansão no âmbito do novo plano de ação. O programa, que conta com um financiamento significativo, oferece aos hospitais um catálogo de ferramentas de cibersegurança previamente avaliadas e enfatiza a aquisição coordenada. Os hospitais franceses podem esperar regulamentações mais rigorosas, obrigações de prestação de contas mais exigentes e uma integração mais forte com agências nacionais de cibersegurança, como a Agence nationale de la sécurité des systèmes d’information (ANSSI).
• Alemanha: A abordagem da Alemanha envolve a atualização das medidas de proteção de suas infraestruturas críticas. Embora a transposição da Diretiva NIS2 tenha sido inicialmente lenta, a Alemanha pretende implementá-la integralmente até o início de 2025. As diretrizes existentes para grandes hospitais serão ampliadas para abranger mais prestadores de serviços de saúde, e o Bundesamt für Sicherheit in der Informationstechnik (BSI), ou Escritório Federal de Segurança da Informação, provavelmente desempenhará um papel ainda mais ativo. Os hospitais alemães devem se preparar para requisitos mais rigorosos de notificação de incidentes e maior supervisão regulatória, aliados a incentivos financeiros adicionais para investimentos em segurança cibernética.
   

Cronograma e principais marcos
O plano está programado para ser implementado rapidamente:

• Janeiro de 2025: Começam o anúncio oficial e as consultas às partes interessadas.
• Meados de 2025: Os Estados-Membros começam a transpor a NIS2, e são publicadas diretrizes específicas para o setor de saúde.
• Final de 2025: São implementadas as principais medidas, como manuais de resposta a incidentes e protocolos obrigatórios de notificação de ransomware.
• Início a meados de 2026: Lançar o serviço de alerta precoce em toda a UE, fornecendo alertas quase em tempo real sobre possíveis ameaças cibernéticas. Implementar o serviço de resposta rápida no âmbito da Reserva de Cibersegurança da UE e disponibilizar os Vouchers de Cibersegurança aos prestadores de serviços de saúde qualificados.
• Além de 2026: Integração contínua das práticas de segurança cibernética nas operações diárias da área da saúde, com revisões e atualizações periódicas.
   

Como a Getronics pode ajudar a
A adaptação a essas regulamentações de segurança cibernética em constante evolução pode ser um desafio. A Getronics, com sua profunda experiência em serviços gerenciados de TI e tecnologia na área da saúde, está em uma posição única para auxiliar as organizações durante essa transição. Nossos serviços abrangem desde avaliações de risco e consultoria em conformidade até monitoramento de ameaças 24 horas por dia, 7 dias por semana, e resposta rápida a incidentes. Ao estabelecer uma parceria com a Getronics, os prestadores de serviços de saúde garantem não apenas o cumprimento dos novos requisitos regulatórios, mas também a construção de uma defesa cibernética robusta e resiliente que mantém o atendimento ao paciente seguro e ininterrupto.

A Getronics já deu vários passos importantes no setor de saúde. A empresa oferece suporte ao Wi-Fi 7 em hospitais e está explorando o papel da IA na medicina.

Entre em contato com a Getronics hoje mesmo e deixe-nos ajudá-lo a lidar com as complexidades da segurança cibernética no cenário em constante evolução da área da saúde.

Escrito por Rob Nidschelm, diretor global de segurança operacional da Getronics.

ATUALIZAÇÃO 27/08/2025:
Os criminosos cibernéticos transformaram o setor de saúde da Europa em um de seus alvos preferidos, com ataques de ransomware e à cadeia de suprimentos colocando hospitais e pacientes em sério risco.

No início deste ano, compartilhamos nossa primeira análise sobre “Segurança na área da saúde: o plano de ação da UE”.

Esta atualização sobre segurança na área da saúde analisa como o plano está sendo implementado gradualmente ao longo dos próximos dois anos e o que as organizações de saúde devem esperar após 2026. Este plano não é apenas mais uma orientação. Trata-se de uma iniciativa coordenada em toda a União Europeia, destinada a fortalecer a resiliência, desenvolver competências e fornecer apoio rápido em caso de um ataque.

O que o Plano de Ação inclui
Um Centro Europeu de Apoio à Cibersegurança

Um centro especializado prestará apoio direto a hospitais e outros prestadores de serviços. Ele atuará como um centro de coordenação para a preparação, detecção e resposta a incidentes. Serão lançados projetos-piloto nos Estados-membros para testar as melhores práticas em matéria de higiene cibernética, avaliação de riscos e monitoramento contínuo.

Mapeamento do Cenário Regulatório

As organizações da área da saúde enfrentam um emaranhado de legislações. O Plano de Ação inclui uma ferramenta de mapeamento regulatório para ajudar os prestadores de serviços a se orientarem no NIS2, no GDPR, na Lei de Resiliência Cibernética e em outras normas que se sobrepõem. Paralelamente, será realizada uma avaliação coordenada de riscos com foco em dispositivos médicos e dados de pacientes armazenados na nuvem.

Resposta a Incidentes e a Reserva de Segurança Cibernética

A Lei de Solidariedade Cibernética concede aos hospitais acesso a prestadores privados confiáveis em momentos de crise. Será elaborado um manual de ações cibernéticas específico para o setor de saúde, juntamente com exercícios cibernéticos regulares em nível da União Europeia. Considerando que o ransomware tem sido responsável por mais da metade dos incidentes no setor de saúde nos últimos anos, a importância dessas medidas não pode ser subestimada. De acordo com a NIS2, qualquer pagamento de resgate também deverá ser comunicado.

Sistema de Alerta Precoce

Um serviço de alerta precoce em toda a UE fornecerá alertas quase em tempo real sobre ameaças específicas ao setor de saúde. Os hospitais compartilharão notificações de incidentes com a ENISA por meio do Centro de Apoio, garantindo que as informações sejam distribuídas rapidamente.

Força de trabalho e governança

As equipes de segurança cibernética no setor de saúde sofrem de falta crônica de pessoal. De acordo com o ISC2, três quartos dos profissionais apontam as lacunas de pessoal como um risco significativo. Para resolver essa questão, a atualização sobre segurança na área da saúde apresenta a Rede Europeia de CISOs da Saúde, com o objetivo de conectar líderes, compartilhar conhecimentos e fortalecer a resiliência coletiva.

Cronograma das principais ações
Fase 1: 2025–2026 (Implementação inicial)

Cronograma Ações-chave
Janeiro de 2025: Lançamentooficial do Plano de Ação; início das consultas com as partes interessadas.
2º trimestre de 2025: Primeiros projetos-piloto sobre higiene cibernética hospitalar e preparação para incidentes.
Meados de 2025: Criação do Centro Europeu de Apoio à Cibersegurança.
3º trimestre de 2025: Implantação do serviço de alerta precoce e alertas de ameaças no setor de saúde em toda a UE.
4º trimestre de 2025:Primeira avaliação coordenada de riscos da cadeia de suprimentos; emissão de recomendações aprimoradas.
Início de 2026:Divulgação do manual de resposta a incidentes cibernéticos no setor de saúde; início dos exercícios cibernéticos em toda a UE.
Ao longo de 2026:Implantação contínua de ferramentas de resposta e recuperação, incluindo serviços de resposta rápida e repositórios de descriptografia.
 

Fase 2: Após 2026 (Expansão Estratégica)

Cronograma — Ações-chave
Final de 2026 – 2027:Publicação de recomendaçõesadicionaispela Comissão, com base nos resultados dos projetos-piloto e nas consultas.
Após 2026 (em andamento):Continuação dos trabalhos do Conselho Consultivo de Cibersegurança na Saúde e dos centros nacionais de apoio.
2027 e além:Desenvolvimento de um mercado único europeu de segurança cibernética, com orçamentos mais claros, metas mensuráveis e exercícios cibernéticos ampliados em toda a UE.
2030–2035:Transição para a adoção da criptografia pós-quântica em todos os sistemas críticos de saúde.
Contínuo:Integração da segurança na área da saúde em estruturas mais amplas da UE, incluindo a NIS2, a Lei de Resiliência Cibernética e a Lei de Solidariedade Cibernética, com mandatos em constante evolução, conforme necessário.
 

Contexto legislativo mais amplo
O Plano de Ação complementa regulamentações recentes da UE que estão redefinindo o panorama da segurança:

• Diretiva NIS2 ( em vigor desde dezembro de 2022): amplia os requisitos para setores essenciais, incluindo a área da saúde, com regras harmonizadas para a notificação de incidentes.
• Lei de Resiliência Cibernética (CRA) (aprovada em outubro de 2024): concentra-se em produtos com elementos digitais, como dispositivos médicos, exigindo o gerenciamento de vulnerabilidades e atualizações de segurança.
• Lei de Resiliência Operacional Digital ( DORA) (em vigor a partir de janeiro de 2025): destina-se ao setor financeiro, mas também afeta os prestadores de serviços de TIC nos ecossistemas da área da saúde.
   

Por que isso é importante
Os hospitais não podem se dar ao luxo de ficar fora do ar. Um ataque de ransomware que deixe os registros dos pacientes inacessíveis ou interrompa o funcionamento de dispositivos conectados pode colocar vidas em risco. O Plano de Ação da UE representa uma mudança das respostas reativas para a construção estruturada de resiliência. Ao criar um centro de apoio, uma rede de CISOs e um manual de procedimentos apoiado por inteligência em tempo real, a Europa está dando um passo importante para proteger a área da saúde.

Na Getronics, ajudamos os prestadores de serviços de saúde a se adequarem às normas NIS2, DORA, ISO 27001 e às diretrizes específicas do setor. Nossos Serviços Gerenciados de Segurança, inteligência contra ameaças e experiência em resposta a incidentes podem apoiar as organizações em sua preparação para o novo cenário europeu. Levamos a sério todas as atualizações de segurança na área da saúde, a fim de oferecer um suporte consistente e atualizado.