Health-ISAC Hacking Healthcare 3-5-2026
Denne uken, Health-ISAC®'s Hacking Healthcare® undersøker et lovforslag i det amerikanske senatet som kan ha kongressens støtte til å endre en rekke aspekter ved helsesektorens cybersikkerhet og robusthet betydelig. Bli med oss når vi vurderer hva lovforslaget vil gjøre, fremgangen det ser ut til å gjøre, og hva det kan bety for helsesektorens enheter i USA hvis det blir vedtatt.
Som en påminnelse er dette den offentlige versjonen av Hacking Healthcare-bloggen. For ytterligere dybdeanalyse og meninger, bli medlem av H-ISAC og motta TLP Amber-versjonen av denne bloggen (tilgjengelig i medlemsportalen.)
PDF-versjon:
Tekstversjon:
Velkommen tilbake til Hacking Healthcare® !
Lov om cybersikkerhet og robusthet i helsevesenet fra 2025 gjør fremskritt
Det har vært en vanlig klage i USA at kongressen har fastlåst situasjoner som hindrer vedtakelsen av nødvendig lovgivning. De siste kongressmøtene har tilsynelatende vært spesielt ineffektive. Manglende evne til å finne en vei videre med Cybersecurity Information Sharing Act av 2015 (CISA 2015) er et frustrerende eksempel på hvordan selv bredt støttet lovgivning kan kjøre seg fast. Imidlertid er den siste tidens fremgang med en konsekvens av et lovforslag om cybersikkerhet og robusthet i sektoren en grunn til en viss optimisme.
Hva er loven om cybersikkerhet og robusthet innen helsevesenet fra 2025?[I]?
Health Care Cybersecurity and Resiliency Act av 2025, som tidligere ble introdusert i forrige kongress i november 2024 og gjeninnført tidlig i desember 2025, ville føre til en rekke endringer i retningslinjer, prosesser og forskrifter for både offentlig og privat sektor. Pressemelding fra den amerikanske senatskomitéen for helse, utdanning, arbeid og pensjoner.[Ii] fra desember gir en kort oversikt over noen av de viktigste aspektene ved lovforslaget, inkludert dens intensjon om å:
- Styrk cybersikkerheten i helsesektoren ved å gi tilskudd til helseforetak for å forbedre forebygging og respons på cyberangrep.
- Gi opplæring til helseforetak i beste praksis for cybersikkerhet.
- Støtt bygdesamfunn ved å tilby beste praksis til helseklinikker og andre leverandører på landsbygda innen forebygging av nettsikkerhetsbrudd, robusthet og koordinering med føderale etater.
- Forbedre koordineringen mellom Department of Health and Human Services (HHS) og Cybersecurity and Infrastructure Security Agency (CISA) for å bedre kunne reagere på cyberangrep i helsesektoren.
- Moderniser gjeldende regelverk slik at enheter som dekkes av Health Insurance Portability and Accountability Act (HIPAA) bruker de beste praksisene for nettsikkerhet.
- Krev at HHS-sekretæren utvikler og implementerer en responsplan for cybersikkerhetshendelser
Hva er katalysatoren for å innføre lovforslaget?
Lovgivningen har sine røtter i den tverrpolitiske arbeidsgruppen for cybersikkerhet i helsevesenet, som kom sammen på slutten av 2023 for å finne måter å håndtere det «rekordstore» antallet cybersikkerhetsangrep som plager helsesektoren.[Iii] De tverrpolitiske forslagsstillerne som gjeninnførte lovforslaget, nevnte de samme problemstillingene som de gjorde for over to år siden, inkludert de ødeleggende konsekvensene av tjenesteforstyrrelser for pasientbehandlingen og behovet for å styrke tilliten til sikkerheten til sensitive helsedata.
I delen om handling og analyse nedenfor skal vi gå dypere inn i detaljene til noen av lovforslagets mest innflytelsesrike bestemmelser og diskutere hva vi skal gjøre med den nylige lovgivningsmessige endringen som førte til at lovforslaget ble sendt ut av komiteen forrige uke.
Handling og analyse
**Inkludert med Health-ISAC-medlemskap**
[I] https://www.congress.gov/bill/119th-congress/senate-bill/3315/text
[Ii] https://www.help.senate.gov/rep/newsroom/press/chair-cassidy-colleagues-reintroduce-legislation-to-strengthen-cybersecurity-in-health-care
[Iii] https://www.help.senate.gov/rep/newsroom/press/ranking-member-cassidy-warner-colleagues-launch-bipartisan-senate-health-care-cybersecurity-working-group
[Iv] Mot slutten av Biden-administrasjonen publiserte HHS en omfattende melding om foreslått regelverk for å håndtere HIPAA-sikkerhetsregelen, som nærmet seg 400 sider. Overgangen til Trump-administrasjonen, den påfølgende frysingen av regulatorisk utvikling i påvente av administrasjonens gjennomgang, og en nedgang i HHS' åpenhet om politikkutforming satte skjebnen til denne innsatsen i tvil, gitt at det ikke er noe juridisk krav om at HHS skal forfølge en oppdatering. Imidlertid lister Spring Unified Agenda for 2025, den nyeste agendaen som viser regulatorisk planlegging for avdelinger og etater, fortsatt opp en endelig regel planlagt for mai 2025.
[V] https://www.congress.gov/bill/119th-congress/senate-bill/3315/text
[Vi] https://www.congress.gov/bill/119th-congress/senate-bill/3315/text
[Vii] https://www.congress.gov/bill/119th-congress/senate-bill/3315/text
[Viii] https://www.congress.gov/bill/119th-congress/senate-bill/3315/text
[Ix] https://www.help.senate.gov/imo/media/doc/health_care_cybersecurity_and_resiliency_act_of_2025_section-by-section.pdf
[X] Lovforslaget gikk videre med 22 mot 1 stemmer, og den eneste som holdt igjen var senator Rand Paul [R-KY], som også står sentralt i forsinkingen av CISA-godkjenningen i 2015.
- Relaterte ressurser og nyheter
- Sykehus i Massachusetts avviser ambulanser etter cyberangrep
- Podkast: Phil Englert om nettsikkerhet for medisinsk utstyr
- Trusselen fra innsiden øker igjen
- «Tapt mulighet»: Den amerikanske regjeringens fravær fra RSAC-konferansen etterlater et stort tomrom
- Health-ISAC Hacking Healthcare 3-26-2026
- Health-ISAC Hacking Healthcare 3-19-2026
- Helse-ISAC Månedlig nyhetsbrev – april 2026
- Etterrapport: Helse-ISAC Resiliensøvelser 2025
- Hvorfor Microsoft Intunes rolle i Stryker-cyberangrepet er en skremmende mulighet
- Texas-guvernøren beordrer statlig gjennomgang av kinesiskprodusert medisinsk teknologi