Porquê um action plan específico para a saúde

O setor da saúde é o mais visado por ciberataques na UE por razões que combinam elevado impacto (risco de vida direto), pressão máxima para pagamento de resgates e sistemas frequentemente desatualizados com equipamentos médicos que não suportam patches de segurança modernos.

O relatório ENISA Health Sector Threat Landscape documenta:

  • 45% dos incidentes no setor são ransomware (vs. 81% para o cybercrime em geral).
  • 28% envolvem violações de dados incluindo registos de saúde eletrónicos (EHR).
  • Tempo médio de recuperação: 9 semanas para hospitais após ataque de ransomware com impacto em sistemas clínicos críticos.
  • Custo médio: 2,3 milhões de euros por incidente maior em hospitais da UE.

Ataque ao Synnovis (NHS, jun 2024): O grupo Qilin atacou o Synnovis, fornecedor de análises clínicas de vários hospitais londrinos. Resultado: cancelamento de 1.134 operações e 2.194 consultas, suspensão de transfusões sanguíneas em King's College Hospital e Guy's Hospital. Demonstração extrema do impacto físico real dos ciberataques à saúde.

As 15 ações do Action Plan (2025–2028)

  1. Centro europeu de apoio à cibersegurança na saúde: Hub de expertise, resposta a incidentes dedicada e partilha de threat intelligence específica do setor.
  2. Cyber vouchers para hospitais de menor dimensão: Apoio financeiro direto para implementação de controlos básicos em hospitais com recursos limitados.
  3. Exercícios obrigatórios de cibersegurança: Tabletop exercises e simulações de incidentes pelo menos anualmente, com ENISA e autoridades nacionais.
  4. Sharing obrigatório de indicadores de comprometimento (IOC): Hospitais obrigados a partilhar IOCs com o CERT-EU e ISACs de saúde.
  5. Equipas de resposta a incidentes dedicadas para saúde: CSIRTs nacionais com equipas especializadas no setor.
  6. Formação de CISOs hospitalares: Programa europeu de certificação e capacitação de responsáveis de cibersegurança em hospitais.
  7. Avaliações de segurança por pares: Programa voluntário de revisão entre hospitais (peer review) com financiamento europeu.
  8. Requisitos de segurança para dispositivos médicos conectados (IoMT): Articulação com o EU Cyber Resilience Act para equipamentos médicos.
  9. Normas mínimas de segurança para EHR: Baseline de segurança para sistemas de registos de saúde eletrónicos, incluindo criptografia e controlo de acessos.
  10. Planos de continuidade de negócio testados: BCP com cenários específicos de ransomware, incluindo operações manuais de emergência.
  11. Segurança da cadeia de fornecimento: Avaliação de fornecedores críticos (PACS, LIMS, EHR vendors, equipamentos IoMT).
  12. Mecanismo de alerta rápido: Sistema de alerta precoce transfronteiriço para ataques ao setor da saúde.
  13. Investigação e inovação em cibersegurança da saúde: Financiamento Horizonte Europa para soluções específicas do setor.
  14. Capacitação de pequenos prestadores e clínicas: Guias simplificados e ferramentas gratuitas para prestadores de menor dimensão.
  15. Relatório anual de incidentes de saúde: Publicação anual agregada pelo ENISA sobre incidentes no setor, para benchmarking.

Implicações para Portugal: hospitais como entidades essenciais NIS2

Nos termos do Anexo I do DL 125/2025, os prestadores de cuidados de saúde, incluindo hospitais, são entidades de alta criticidade abrangidas como entidades essenciais (OE). Em Portugal, isso inclui:

  • Hospitais do SNS (EPE e SPA) com capacidade de internamento.
  • Unidades de saúde do setor privado de dimensão relevante (50+ trabalhadores ou 10M€+ receitas).
  • Fornecedores de tecnologia para saúde (PACS, LIMS, EHR, telemedicina).
  • Laboratórios de análises clínicas de grande dimensão.

A articulação com o Action Plan europeu implica que:

  • O CNCS deverá coordenar com a ACSS e a DGS para implementação das ações relevantes em Portugal.
  • Os hospitais SNS deverão desenvolver e testar planos de continuidade de negócio com cenários de ransomware até finais de 2025.
  • A partilha de IOCs com o CERT.PT deverá ser formalizada e sistematizada.

Controlos prioritários para o setor de saúde

ControloPrioridadeReferência
EHR hardening (access control, audit logs, encriptação)CríticaArt. 21.º alíneas h), i), j)
Isolamento de redes IoMT (dispositivos médicos conectados)CríticaArt. 21.º alínea a)
Backups imutáveis por hospital (3-2-1-1-0)CríticaArt. 21.º alínea c)
Tabletop com cenários Qilin/ransomware saúdeAltaArt. 21.º alínea b)
MFA phishing-resistant em acesso a EHR/PACSAltaArt. 21.º alínea i)
Avaliação de fornecedores críticos (PACS, LIMS)AltaArt. 21.º alínea d)

Recurso disponível: A NIS2 Portugal disponibiliza um pacote de templates setoriais específico para saúde, incluindo checklist de conformidade, matriz de risco e plano de resposta a incidentes adaptados ao contexto hospitalar.