Cibersecuritatea în sectorul sanitar

Cibersecuritatea în sectorul sanitar reprezintă, la nivelul anului 2026, una dintre cele mai sensibile și mai critice dimensiuni ale digitalizării sistemului medical românesc. Datele medicale, conform Regulamentului General privind Protecția Datelor (GDPR - Regulamentul UE 2016/679), reprezintă categorie specială cu cerințe stricte de protecție, fiind printre cele mai valoroase pe piața neagră (cu prețuri estimate la peste 250 dolari per dosar medical complet, comparativ cu 5-10 dolari per card de credit). Atacurile cibernetice împotriva sectorului sanitar european în ultimii ani (predominant atacul ransomware WannaCry din 2017 care a afectat NHS Marea Britanie, atacurile ulterioare împotriva spitalelor din Franța, Irlanda, Germania, plus incidentele românești periodice), demonstrează vulnerabilitățile sectorului. Cooperarea cu European Union Agency for Cybersecurity (ENISA) cu sediul la Atena și birouri la Bruxelles, cu Directoratul Național de Securitate Cibernetică (DNSC) românesc, cu Serviciul de Telecomunicații Speciale (STS), plus cu structurile NATO pentru aspectele strategice, oferă cadre comprehensive. Articolul de față oferă o trecere în revistă a acestor componente.

(a) AMENINȚĂRI CIBERNETICE

Valoare dosar medical pe piața neagră

Peste 250 dolari per dosar complet

GDPR articolul 9

Date medicale categorie specială

ENISA - sediu

Atena (cu birouri la Bruxelles)

DNSC - Directoratul Național Securitate Cibernetică

Reglementator român

CERT-RO

Centrul Național de Răspuns Incidente

STS - Serviciul Telecomunicații Speciale

Operator pentru sisteme securizate

NIS2 Directive UE

Directiva 2022/2555 (transpusă)

ANSPDCP

Autoritatea Națională Supraveghere Date

Atacuri principale tipice

Ransomware, phishing, breach DB

WannaCry 2017 (NHS UK)

Atac emblematic

Cooperare europeană principală

ENISA + agenții naționale

Investiții PNRR cibersecuritate

Componentă specifică

Standard tehnic

ISO 27001, NIST Cybersecurity Framework

Programe formare specifice

Pentru personalul sanitar

Sectorul sanitar este una dintre cele mai vulnerabile arii la atacurile cibernetice, datorită multiplor factori specifici. Volumul mare de date sensibile (cu informații medicale, financiare, plus de identitate pentru milioane de pacienți), atrage atacatori sofisticați. Complexitatea sistemelor informatice (cu zeci de sisteme diferite conectate, cu echipamente medicale învechite care utilizează software depășit), generează multiple suprafețe de atac. Presiunea operațională (cu necesitatea continuității serviciilor medicale care reduce posibilitatea opririlor pentru actualizări de securitate), limitează măsurile preventive standard. Cooperarea limitată cu echipe specializate de cibersecuritate (cu resurse umane și financiare frecvent insuficiente comparativ cu sectoarele financiare sau guvernamentale), agravează situația.

Tipurile principale de atacuri cibernetice împotriva sectorului sanitar cuprind multiple categorii. Atacurile ransomware (cu criptarea datelor și solicitarea răscumpărării în criptomonede), reprezintă categoria cu impact maxim. Pentru spitalele afectate, consecințele cuprind imposibilitatea accesării dosarelor medicale ale pacienților internați, întreruperea serviciilor planificate, plus deteriorarea încrederii pacienților. Atacurile prin phishing și prin inginerie socială, vizând personalul medical pentru obținerea credențialelor de acces, reprezintă categoria cu volum mare. Breach-urile bazelor de date (cu extragerea de informații medicale și de identitate ale pacienților), cu vânzarea ulterioară pe piața neagră, generează prejudicii pe termen lung.

Atacurile prin echipamente medicale conectate (Medical Device Cybersecurity), categorie emergentă cu îngrijorări specifice. Dispozitivele medicale moderne (pompe de perfuzie inteligente, defibrilatoare implantabile, pacemakers conectate, glucometre cu transmitere date, ventilatoare inteligente, plus alte echipamente), funcționează frecvent cu software învechit fără actualizări de securitate periodice. Vulnerabilitățile acestor echipamente pot fi exploatate cu consecințe care variază de la furtul de date la potențiale interferențe cu funcționarea (cu riscuri pentru viața pacienților). Cooperarea cu European Medicines Agency (EMA) prin Medical Device Coordination Group (MDCG), plus cu producătorii internaționali pentru aspectele de cibersecuritate a dispozitivelor medicale, oferă cadre regulatorii.

(b) CADRUL EUROPEAN

GDPR articolul 9

Cadrul european pentru cibersecuritatea sectorului sanitar cuprinde multiple componente reglementare. Regulamentul General privind Protecția Datelor (GDPR - Regulamentul UE 2016/679), aplicabil de la mai 2018, prevede cerințe stricte pentru protecția datelor cu caracter personal, plus reguli specifice pentru categoriile speciale (predominant datele medicale conform articolului 9). Sancțiunile potențiale pentru încălcările grave (până la 4 la sută din cifra de afaceri anuală globală a entității, sau 20 milioane euro, oricare valoare este mai mare), oferă stimulente pentru conformitate.

NIS2 Directive

Directiva 2022/2555 privind securitatea cibernetică (NIS2 Directive), adoptată în decembrie 2022 cu transpunere obligatorie de către statele membre până în octombrie 2024, extinde cadrul anterior NIS Directive din 2016. NIS2 include sectorul sanitar (spitalele publice și private, laboratoarele medicale mari, producătorii de medicamente, plus alte entități) printre sectoarele esențiale cu cerințe stricte de cibersecuritate. Pentru România, transpunerea NIS2 în legislația națională s-a realizat prin acte normative specifice (predominant prin Legea adoptată în 2024 cu modificările Legii 362/2018 privind securitatea cibernetică). Cooperarea cu Comisia Europeană prin DG CNECT pentru aspectele de implementare, asigură cadrul european.

Cyber Resilience Act

Pachetul Cyber Resilience Act, adoptat în 2024 cu intrare în vigoare etapizată din 2026-2027, prevede cerințe de cibersecuritate pentru toate produsele cu elemente digitale plasate pe piața UE. Pentru sectorul sanitar, acest cadru afectează producătorii de echipamente medicale conectate, plus producătorii de software medical, care trebuie să respecte standardele europene de cibersecuritate din faza de proiectare. Cooperarea cu producătorii internaționali (precum Philips Healthcare, GE HealthCare, Siemens Healthineers, Medtronic, Becton Dickinson, plus alți) pentru implementarea Cyber Resilience Act, oferă cadre tehnice. Cooperarea cu European Cyber Security Organisation (ECSO) cu sediul la Bruxelles, pentru aspectele industriale, completează cadrul european.

(c) ENISA

Cadrul european principal

European Union Agency for Cybersecurity (ENISA), agenția europeană dedicată cibersecurității, oferă cadrul european principal. Cu sediul principal la Atena, plus cu birouri la Bruxelles, ENISA coordonează cooperarea între statele membre, dezvoltă recomandări tehnice specifice, plus oferă cadre pentru certificările europene de cibersecuritate. Pentru sectorul sanitar, ENISA publică periodic rapoarte specifice (precum Threat Landscape for the Health Sector, plus rapoarte tematice pentru atacurile ransomware, pentru cibersecuritatea dispozitivelor medicale). Cooperarea cu Centrul European de Competențe în Cibersecuritate (European Cybersecurity Competence Centre - ECCC) cu sediul la București, plus cu Rețeaua Europeană de Cibersecuritate (NCC-Network), oferă cadre operaționale.

Programe pentru sectorul sanitar

Programele ENISA pentru sectorul sanitar cuprind multiple componente specifice. Exercitiile de simulare a atacurilor cibernetice (Cyber Europe), organizate periodic cu participarea statelor membre, oferă cadre pentru testarea capacităților de răspuns. Pentru România, participarea prin Directoratul Național de Securitate Cibernetică și prin Serviciul de Telecomunicații Speciale la Cyber Europe 2024 (exercitiu major derulat în lunile septembrie-octombrie 2024) a oferit oportunități semnificative pentru evaluarea capacităților naționale. Cooperarea cu European Reference Network for Computer Security Incident Response Teams (CSIRTs Network), care reunește echipele naționale de răspuns la incidente, asigură cadrul operațional european.

Certificări europene

Certificările europene de cibersecuritate prin ENISA Cybersecurity Certification Framework, oferă cadre pentru produsele și serviciile destinate sectorului sanitar. European Cybersecurity Scheme on Common Criteria (EUCC), schema principală pentru produsele tehnice, plus scheme specifice pentru serviciile cloud și pentru aspectele particulare, oferă cadre standardizate. Pentru România, organismele de certificare acreditate prin RENAR (Asociația de Acreditare din România) cu cooperarea ENISA, oferă serviciile de certificare. Cooperarea cu organismele similare din alte state membre prin Joint Action Cybersecurity Certification, asigură recunoașterea reciprocă a certificărilor.

(d) STRUCTURI NAȚIONALE

DNSC

Directoratul Național de Securitate Cibernetică (DNSC), structura națională română cu sediul la București, reprezintă autoritatea principală pentru cibersecuritate în România. Înființat prin Legea 362/2018 și reorganizat ulterior, DNSC coordonează strategia națională de cibersecuritate, supraveghează implementarea NIS2 în România, plus cooperează cu structurile europene similare. Pentru sectorul sanitar, DNSC oferă cadre specifice (predominant prin recomandările tehnice pentru spitale și pentru alte entități medicale, prin programele de audit și de testare a capacităților, plus prin programele de formare pentru personalul tehnic). Cooperarea cu Centrul Național de Răspuns la Incidente de Securitate Cibernetică (CERT-RO), oferă cadre operaționale.

CERT-RO

CERT-RO (Centrul Național de Răspuns la Incidente de Securitate Cibernetică), structura românească pentru gestionarea incidentelor cibernetice cu sediul la București, oferă servicii operaționale pentru sectorul sanitar. Atribuțiile principale cuprind recepționarea raportărilor despre incidente cibernetice (obligatorii pentru entitățile esențiale conform NIS2), coordonarea răspunsului la incidentele majore, analiza tehnică a atacurilor, plus diseminarea de informații despre amenințările emergente către sectoarele relevante. Pentru cazurile de atac împotriva spitalelor sau a altor entități medicale, CERT-RO oferă suport tehnic specializat, cu cooperarea cu echipele similare din alte state membre prin CSIRTs Network coordonat de ENISA.

STS

Serviciul de Telecomunicații Speciale (STS), instituția publică românească specializată în comunicațiile securizate guvernamentale, joacă rol important în cibersecuritatea sectorului sanitar. STS gestionează aspectele tehnice ale platformelor securizate (precum Sistemul Național de Sănătate Securizat, plus alte componente esențiale ale arhitecturii naționale), oferă servicii de hosting securizat pentru aplicațiile critice, plus coordonează aspectele de criptare pentru comunicațiile sensibile. Cooperarea cu Ministerul Sănătății pentru aspectele specifice sectoriale, cu Casa Națională de Asigurări de Sănătate (CNAS) pentru sistemele informatice ale acesteia (SIUI, SIPE, DES, plus PIAS din 2026), oferă cadrul instituțional.

(e) PROGRAME ȘI INCIDENTE

Programe cibersecuritate spitale

Programele de cibersecuritate pentru spitalele publice românești cuprind multiple componente strategice. Modernizarea infrastructurii IT prin componenta de transformare digitală a PNRR (cu o componentă specifică pentru cibersecuritate cumulând peste 50 milioane euro pentru perioada 2022-2026), oferă cadre semnificative. Investițiile cuprind echipamente moderne (firewall-uri, sisteme de detectare a intruziunilor, sisteme de prevenire a pierderii datelor, plus alte tehnologii), software de securitate (predominant pentru protecția împotriva malware-ului, pentru gestionarea identităților și a accesului, pentru criptarea datelor), plus formarea personalului tehnic.

Formare specializată

Programele de formare în cibersecuritate pentru personalul sanitar românesc, deși în extindere, rămân insuficiente comparativ cu nevoile. Cursurile organizate prin DNSC, prin universitățile cu specializări în cibersecuritate (precum Universitatea București, Universitatea Politehnica București, Universitatea Babeș-Bolyai Cluj-Napoca, Universitatea Alexandru Ioan Cuza Iași, plus alte), prin colegiile profesionale medicale, oferă cadre limitate. Pentru personalul medical generalist, cursurile de conștientizare a riscurilor cibernetice (predominant despre identificarea atacurilor de phishing, despre utilizarea sigură a aplicațiilor medicale, despre raportarea incidentelor suspecte), reprezintă obiectiv strategic. Cooperarea cu ENISA prin programele de formare europene, oferă cadre suplimentare.

ISO 27001 și NIST

Răspuns la incidente

Răspunsul la incidentele cibernetice în sectorul sanitar românesc urmează proceduri specifice. Pentru entitățile esențiale conform NIS2 (predominant spitalele publice mari, plus alte entități semnificative), notificarea incidentelor către DNSC este obligatorie în 24 ore pentru cazurile semnificative. Coordonarea răspunsului implică cooperarea între echipa internă de cibersecuritate a entității afectate, CERT-RO pentru suport tehnic, DNSC pentru aspectele strategice, plus eventual cooperarea cu autoritățile de cercetare penală pentru cazurile cu suspiciune de fraudă. Pentru cazurile cu impact transfrontalier (cu afectarea unor sisteme conectate cu rețele europene), cooperarea cu CSIRTs Network coordonat de ENISA, oferă cadre operaționale.

Studii de caz europene

Studii de caz emblematice ale atacurilor cibernetice împotriva sectorului sanitar european oferă cadre pentru învățare. Atacul WannaCry din mai 2017 împotriva NHS Marea Britanie, cu impact asupra peste 200 spitale și clinici, a generat pierderi cumulate de peste 92 milioane lire sterline plus a afectat semnificativ continuitatea îngrijirilor pentru pacienții britanici. Atacul ransomware împotriva Health Service Executive din Irlanda în mai 2021, cu impact asupra întregului sistem național sanitar (cu costuri cumulate de peste 100 milioane euro pentru remediere), a paralizat pentru săptămâni întregi sistemul sanitar irlandez. Atacurile împotriva spitalelor franceze (predominant atacul împotriva Spitalului Universitar Rouen în 2019), plus atacurile periodice împotriva spitalelor germane, demonstrează vulnerabilitățile europene.

Incidente românești

Pentru România, incidentele cibernetice cunoscute împotriva sectorului sanitar cuprind multiple cazuri în ultimii ani. Atacul ransomware din 2019 împotriva mai multor spitale (cu detalii limitate publicate oficial), atacul împotriva unor cabinete medicale private în 2021-2022, plus incidentele periodice raportate către DNSC fără a fi făcute publice complet, oferă cadre pentru îngrijorare. Cooperarea cu autoritățile de cercetare penală (Direcția de Investigare a Infracțiunilor de Criminalitate Organizată și Terorism - DIICOT pentru cazurile complexe), oferă cadre pentru investigarea și pentru tragerea la răspundere a atacatorilor. Cooperarea internațională prin EUROPOL European Cybercrime Centre (EC3) cu sediul la Haga, oferă cadre transfrontaliere.

(f) COOPERARE ȘI PERSPECTIVE

Comisia Europeană prin DG CNECT

Cooperarea cu Comisia Europeană prin Direcția Generală Rețele de Comunicații, Conținut și Tehnologie (DG CNECT), prin Direcția Generală pentru Migrație și Afaceri Interne (DG HOME), oferă cadrul european principal. Programul Digital Europe Programme (7,5 miliarde euro pentru 2021-2027), cu componenta specifică Cybersecurity (1,6 miliarde euro), finanțează proiectele de cibersecuritate inclusiv pentru sectorul sanitar. Connecting Europe Facility, cu componenta Digital pentru infrastructura europeană de cibersecuritate, oferă cadre complementare. Centrul European de Competențe în Cibersecuritate (ECCC) cu sediul la București, coordonează programele europene de finanțare a cercetării în cibersecuritate.

ECSO și NCC-Network

Cooperarea cu European Cybersecurity Organisation (ECSO), organizația europeană non-profit care reunește peste 250 membri din industria de cibersecuritate, oferă cadre pentru aspectele industriale. ECSO coordonează European Cybersecurity Industrial, Technology and Research Competence Centre (ECCC) cu sediul la București, plus organizează evenimente precum European Cybersecurity Forum. Cooperarea cu European Network of Cybersecurity Centres (NCC-Network), care reunește centrele naționale de coordonare ale statelor membre, asigură cadrul operațional. Pentru România, Centrul Național de Coordonare în Cibersecuritate (CNCC), parte a NCC-Network, oferă reprezentare în rețeaua europeană.

NATO CCDCOE Tallinn

Cooperarea cu structurile NATO pentru aspectele strategice de cibersecuritate oferă cadre suplimentare. NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE) cu sediul la Tallinn, Estonia, oferă cadre pentru cercetare aplicată și pentru formare în cibersecuritatea sectoarelor critice (inclusiv sănătatea). Pentru România, ca stat membru NATO, participarea la exercițiile NATO de cibersecuritate (precum Locked Shields, cel mai mare exercițiu mondial de cibersecuritate organizat anual de CCDCOE), oferă oportunități pentru consolidarea capacităților. Cooperarea bilaterală cu Statele Unite prin Cybersecurity and Infrastructure Security Agency (CISA), prin Federal Bureau of Investigation (FBI) pentru aspectele de combatere a infracțiunilor cibernetice, oferă cadre extinse.

OMS și cooperare globală

Cooperarea cu Organizația Mondială a Sănătății (OMS) prin Biroul Regional pentru Europa cu sediul la Copenhaga, oferă cadrul global pentru cibersecuritatea sectorului sanitar. Strategia Globală OMS pentru Sănătate Digitală 2020-2025, plus Strategia Europeană pentru Sănătate Digitală 2024-2029, include componente specifice de cibersecuritate. Cooperarea cu World Bank prin programele specifice de cibersecuritate pentru sectorul sanitar din statele membre, plus cu International Telecommunication Union (ITU) pentru standardele globale, oferă cadre complementare. Cooperarea cu organizații profesionale precum International Information System Security Certification Consortium ((ISC)²) și Information Systems Audit and Control Association (ISACA), oferă cadre pentru certificările profesionale ale specialiștilor.

90% spitale moderne 2030

Perspectiva pentru orizontul 2030 vizează consolidarea cibersecurității sectorului sanitar românesc prin reforme structurale și prin investiții semnificative. Atingerea unui nivel de peste 90 la sută din spitalele publice cu sisteme moderne de cibersecuritate (predominant cu firewall-uri moderne, sisteme de detectare a intruziunilor, programe formalizate de cibersecuritate, plus formare regulată a personalului), de la aproximativ 50 la sută în 2026, reprezintă obiectivul cuantificabil. Implementarea completă a Cyber Resilience Act pentru toate echipamentele medicale conectate, prin cooperarea cu producătorii internaționali, va consolida sectorul.

Formare extinsă

Extinderea programelor de formare în cibersecuritate pentru personalul sanitar, prin platformele de educație medicală continuă (EMC.cmr.ro, EMC.oamr.ro), prin universitățile medicale, prin cooperarea cu ENISA, va consolida cultura de cibersecuritate. Cooperarea cu European Cybersecurity Competence Centre (ECCC) cu sediul la București, oferind România rol strategic în arhitectura europeană a cibersecurității, va atrage finanțări semnificative pentru proiecte specifice. Investițiile prin componenta de transformare digitală a PNRR post-2026, plus prin programele Digital Europe Programme și Horizon Europe Cluster 3 Civil Security for Society, vor consolida cadrul resurselor.

Sistem european integrat

Pe orizontul lung, viziunea conturează un sector sanitar românesc cu cibersecuritate consolidată, bine integrat în arhitectura europeană, plus capabil să protejeze eficient datele medicale și continuitatea serviciilor. Către 2030, indicatorii principali (procentul de entități cu sisteme moderne de cibersecuritate, timpul mediu de răspuns la incidente, ponderea atacurilor reușite, satisfacția pacienților cu protecția datelor, conformitatea cu standardele europene), ar trebui să se apropie de mediile europene avansate. Cooperarea cu ENISA, cu DG CNECT, cu CCDCOE NATO, cu OMS prin Strategia Globală, cu ECSO și NCC-Network pentru aspectele industriale, cu producătorii internaționali pentru tehnologii moderne, va consolida poziția României. Această evoluție va proteja eficient sectorul sanitar românesc.

SURSE PRINCIPALE

● GDPR - Regulamentul UE 2016/679 (categorii speciale date).

● NIS2 Directive - Directiva UE 2022/2555 (transpusă România).

● Cyber Resilience Act (UE, adoptat 2024).

● ENISA - European Union Agency for Cybersecurity, Atena.

● DNSC - Directoratul Național Securitate Cibernetică.

● CERT-RO - Centrul Național Răspuns Incidente.

● STS - Serviciul de Telecomunicații Speciale.

● European Cybersecurity Competence Centre (ECCC), București.

● NATO CCDCOE Tallinn.

● ISO 27001 Information Security Management Systems.

● Digital Europe Programme Cybersecurity (1,6 mld euro).

● OMS - Strategia Globală Sănătate Digitală 2020-2025.