Las amenazas cibernéticas a los sistemas de salud están aumentando, tanto en frecuencia como en sofisticación. Los hospitales y los proveedores de atención médica, que son infraestructuras críticas de nuestros sistemas de salud, son particularmente vulnerables a los ciberataques, como el ransomware o las violaciones de datos. Estos incidentes pueden interrumpir los servicios médicos vitales y comprometer la seguridad de los pacientes y sus datos
La Comisión Europa está actuando con urgencia para abordar estos retos, garantizando que la transformación digital de la asistencia sanitaria sea segura y fiable.
¿Cómo fomenta el Plan de Acción la confianza entre los pacientes y los profesionales de la salud?
La confianza es una piedra angular de la atención médica digital. Al garantizar que los sistemas sean seguros y resilientes, el Plan de Acción asegura a los pacientes que sus datos están seguros y que su atención no se verá interrumpida.
Para los profesionales de la salud, el plan proporciona herramientas y capacitación para ayudarlos a navegar por las plataformas digitales con confianza. Este enfoque dual —que protege tanto a los pacientes como a los profesionales— crea un entorno sanitario en el que se adoptan y confían las herramientas digitales.
¿Cómo complementa este plan de acción la legislación vigente de la UE, como la Directiva SRI 2?
El Plan de Acción se basa en el marco legislativo existente en el ámbito de la ciberseguridad, en particular la Directiva SRI 2, la Ley de Cibersolidaridad (incluido el Mecanismo de Emergencia en Ciberseguridad), la Ley de Ciberseguridad (incluida la certificación europea de ciberseguridad), el Reglamento sobre productos sanitarios y la Ley de Ciberresiliencia. Estos proporcionan un elevado nivel común de ciberseguridad en toda la UE.
La Directiva SRI 2, que establece obligaciones para los sectores críticos, incluida la asistencia sanitaria, amplía el ámbito de aplicación de los requisitos de ciberseguridad a los servicios esenciales que abarcan los laboratorios de referencia de la UE, las entidades que llevan a cabo actividades de investigación y desarrollo de medicamentos, los fabricantes de productos y preparados farmacéuticos básicos (incluidas las vacunas) y los fabricantes de productos sanitarios considerados críticos durante una emergencia de salud pública.
Por el lado del Plan de Acción, la atención se centra específicamente en las vulnerabilidades y necesidades únicas de los hospitales y los sitios de atención médica.
El Plan de Acción consiste, ante todo, en apoyar al sector para que tome las medidas básicas de ciberseguridad que sabemos que cambiarán las probabilidades de un incidente cibernético. Garantiza que los sistemas sanitarios estén equipados para gestionar los riesgos específicos a los que se enfrentan. Presta especial atención al desarrollo de capacidades, a las inversiones y a ayudar a los hospitales y a los proveedores de asistencia sanitaria a adoptar las medidas necesarias de preparación en materia de ciberseguridad. También establece formas de ayudar a dichas entidades si ocurre un incidente, para asegurarse de que la respuesta y la recuperación sean lo más rápidas y eficientes posible, de modo que las operaciones normales puedan restablecerse rápidamente.
¿Cuál será el papel del nuevo Centro Europeo de Apoyo a la Ciberseguridad para hospitales y proveedores de asistencia sanitaria?
El Plan de Acción propone, entre otras cosas, establecer un Centro paneuropeo de apoyo a la ciberseguridad para hospitales y prestadores de asistencia sanitaria, a fin de proporcionarles orientación, herramientas y servicios adaptados. ENISA, la agencia de la UE para la Ciberseguridad, establecerá el Centro dentro de sus propias estructuras. Garantizará la aplicación del Plan de Acción de manera coherente y racionalizada, evitando al mismo tiempo la creación de nuevas estructuras administrativas.
El Centro de Apoyo desarrollará un amplio catálogo de servicios de soluciones concretas que refuercen la ciberseguridad del sector. Trabajará con los Estados miembros y se basará en las experiencias prácticas de las organizaciones sanitarias.
¿Cómo apoya este Plan de Acción el Espacio Europeo de Datos Sanitarios?
El Espacio Europeo de Datos Sanitarios (EEDS) es el proyecto emblemático de la UE para digitalizar la asistencia sanitaria, que establece normas claras para el uso de los datos sanitarios a fin de mejorar la prestación de asistencia sanitaria, la investigación, la innovación y la formulación de políticas.
Una infraestructura resiliente y segura es esencial para la aplicación del EEDS. Este plan de acción establece medidas concretas para garantizar el tratamiento de datos en los hospitales y los prestadores de asistencia sanitaria, que actúan como proveedores y usuarios de datos sanitarios en el EEDS.
Además de este Plan de Acción y de la legislación en materia de ciberseguridad, el próximo Reglamento del EEDS también establece salvaguardias específicas para el tratamiento de datos sanitarios personales. Por ejemplo, contiene salvaguardias en relación con la gestión del inicio de sesión y la identificación en los sistemas de historiales médicos electrónicos o la reutilización de datos en entornos de tratamiento seguros.
¿Cómo garantizará el Plan de Acción que la atención al paciente no se vea interrumpida por incidentes cibernéticos?
Uno de los pilares fundamentales del Plan de Acción es la respuesta rápida y la recuperación.
Esto incluye:
• Desarrollo de un servicio de suscripción de recuperación de ransomware y ampliación del repositorio de herramientas de descifrado de ransomware disponibles
• Alentar a los hospitales a adoptar sistemas de respaldo robustos para proteger los datos críticos.
• Mejorar las capacidades de respuesta a las crisis mediante la formación y la cooperación a escala de la UE.
Estas medidas tienen por objeto minimizar el impacto de los ciberincidentes en los servicios sanitarios, garantizando que los pacientes reciban atención ininterrumpida.
¿Qué papel desempeñan los Estados miembros en la aplicación de este plan de acción?
Los Estados miembros desempeñarán un papel fundamental en la aplicación del Plan de Acción:
• Coordinar las estrategias nacionales de ciberseguridad para la asistencia sanitaria.
• Compartir información sobre amenazas y mejores prácticas a través de las fronteras.
• Apoyar a los hospitales y a los prestadores de asistencia sanitaria en la adopción de las medidas necesarias.
Se anima a los Estados miembros a crear planes de acción nacionales centrados en la ciberseguridad en el sector sanitario. Estos planes describirían los riesgos específicos de ciberseguridad a los que se enfrentan los sistemas sanitarios y las medidas nacionales que se están adoptando para abordarlos, garantizando al mismo tiempo que se desplieguen eficazmente los recursos y las prácticas a escala europea.
¿Cómo se medirá el éxito del Plan de Acción?
Para medir el éxito de este plan, ENISA, en consulta con la Comisión, informará periódicamente sobre sus avances a los grupos y organizaciones pertinentes. Estos informes incluirán datos del Índice de Ciberseguridad de la UE, que ayudará a evaluar qué tan bien está funcionando el sector sanitario en términos de ciberseguridad. Esta información mostrará si el plan está funcionando y teniendo un impacto positivo.
¿Qué pueden hacer los pacientes para apoyar los objetivos del Plan de Acción?
Los pacientes pueden contribuir manteniéndose informados sobre la ciberseguridad y tomando medidas para proteger sus propios datos sanitarios digitales. Por ejemplo:
• Utilizar mecanismos de autenticación fiables (por ejemplo, la cartera de identidad digital de la UE) para los portales sanitarios en línea.
• Reportar actividades sospechosas, como intentos de phishing.
• Confiar en los prestadores de asistencia sanitaria que siguen las medidas de ciberseguridad recomendadas por la UE.
Un ecosistema sanitario seguro depende de la participación activa de todos.
¿Cuál es el calendario para la aplicación del Plan de Acción?
La presente Comunicación establece un plan claro para que el sector sanitario europeo esté más seguro frente a las ciberamenazas. El plan crea un centro central para el apoyo a la ciberseguridad, lo que facilita que los hospitales y los proveedores de atención médica trabajen juntos para mantenerse seguros en línea.
Este plan es solo el comienzo. La Comisión está iniciando una conversación más amplia con todas las partes interesadas, incluidos los proveedores de asistencia sanitaria, los gobiernos y los expertos, para escuchar sus ideas y comentarios. La Comisión utilizará esta aportación para que el plan sea más detallado y se oriente a las necesidades de los hospitales y otros prestadores de asistencia sanitaria. Estas recomendaciones se compartirán a finales de 2025.
Para lograr este objetivo, la Comisión pide a todos los Estados miembros y a las partes interesadas que colaboren para que el sector sanitario sea más ciberseguro.
Arriba, imagen cortesía de la CE
