Annoncée comme priorité essentielle des 100 premiers jours de son mandat par Ursula Von der Leyen, cette publication intervient dans un contexte d’inquiétudes. Il s’agit en effet du secteur ayant subi le plus de menaces en 2023 :  309 incidents ont ainsi été remontés à l’Agence européenne pour la cybersécurité (ENISA). De plus, de nouvelles obligations sont entrées récemment en vigueur pour les hôpitaux avec l’application de la directive NIS 2. Cette dernière établit un cadre juridique unifié en matière de cybersécurité dans 18 secteurs critiques à travers l’Union européenne. Elle propose une feuille de route pour renforcer les dispositions en matière de sécurité, resserrer les obligations de signalement et améliorer les capacités de gestion de crise. Les objectifs sont variés et prennent en compte l’ensemble de la chaine de cybersécurité, de la formation des employés à la garantie de la continuité des services critiques, en passant par la mise en place de protocoles.

La Commission européenne a donc dévoilé un plan d’action pour garantir la résilience face aux cybermenaces, qui se découpe de la manière suivante : Prévention, Détection et identification des menaces, Réaction aux cyberattaques et Dissuasion. 

Les 2 premiers points de ces 4 priorités stratégiques seront assurés en partie par l’agence ENISA. Elle sera notamment chargée de mettre en place un centre paneuropéen d’appui en matière de cybersécurité effectif d’ici 2026. Il fournira des conseils, un service d’alertes précoces avec des alertes en temps quasi réel, des outils de cybersécurité ainsi que des formations et ressources d’apprentissages pour les professionnels de santé.

A cela s’ajoute la création de ‘chèques cybersécurité’ pour aider les structures de très petite, petite et moyenne taille du secteur de la santé. La réaction aux cybermenaces est quant à elle comprise dans le mécanisme d’urgence cybernétique déjà établi par le Cyber Solidarity Act, règlement entré en vigueur le 4 février 2025. Des exercices nationaux de cybersécurité pourront être développées pour faire face aux incidents de cybersécurité importants ou majeurs.

Une consultation publique ouverte à tous les citoyens et parties prenantes sera lancée prochainement par la Commission européenne. Elle permettra d’affiner les actions les plus efficaces pour que les citoyens et prestataires puissent bénéficier au mieux des mesures du plan d’action. A la suite de cette consultation seront publiées des recommandations détaillées fin 2025 ainsi que la mise en œuvre d’actions plus spécifiques courant 2025-2026.