TransformacióDigital

La continua evolución de las amenazas cibernéticas ha dado origen a nuevos desafíos, poniendo de manifiesto ciertas limitaciones que dificultan abordar de manera eficaz los retos actuales y emergentes en el ámbito de la ciberseguridad. En este contexto, la Directiva NIS2 surge como respuesta a esa necesidad de actualización y fortalecimiento de las medidas establecidas en la Directiva NIS1, erigiéndose como un marco normativo estratégico para abordar los retos actuales en materia de ciberseguridad en el marco de la Unión Europea. La Directiva NIS 2 entró en vigor el 16 de enero de 2023, y su transposición en España se hará a través del anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad aprobado el pasado 14 de enero de 2025 por el Consejo de Ministros.

La NIS2 amplía el ámbito de aplicación, dotando así de una mayor cobertura a los sectores y servicios de más relevancia social y económica, considerándolos como entidades esenciales o importantes, en función del grado de criticidad de sus sectores, de su tamaño o del tipo de servicio prestado. El sector sanitario forma parte de los sectores de alta criticidad, y en él se incluye: laboratorios de referencia de la UE, entidades que realizan actividades de investigación y desarrollo de medicamentos, entidades que fabrican productos farmacéuticos de base y especialidades farmacéuticas y entidades que fabrican productos sanitarios que se consideran esenciales en situaciones de emergencia de salud pública.

Además, la NIS2 refuerza los requisitos de seguridad que han de cumplir las entidades afectadas, precisa el proceso de notificación de incidentes, aborda la seguridad en la cadena de suministro y las relaciones con proveedores, refuerza el intercambio de información sobre incidentes y la divulgación de vulnerabilidades y establece una red europea de soporte de crisis (EU-CYCLONe). Todas las medidas deben, por un lado, ser proporcionadas al riesgo, tamaño, coste e impacto y gravedad de los incidentes; y, por otro lado, tener en cuenta el estado de la técnica, y cuando proceda, las normas europeas e internacionales.

En cuanto a la notificación de incidentes, solo en 2023, los países de la UE notificaron 309 incidentes de ciberseguridad graves contra sector sanitario, más que en cualquier otro sector crucial. Además, hay que considerar que el 54% de los ciberataques en el sector de la salud implican ransomware.

Tal y como se indica en el Informe de prospectivas de ciberseguridad para el 2024 de la Agencia de Ciberseguridad de Cataluña  “Se identifica, en primer lugar, que el sector salud emerge como un objetivo principal, ya que se enfronta a amenazas que pueden paralizar los sistemas críticos de salud pública y comprometer datos sensibles de pacientes. (…) El reto de implementar un entorno de ciberseguridad robusto y avanzado en Cataluña también exige adquirir y desplegar de forma efectiva nuevas capacidades. La aplicación de inteligencia artificial, para automatizar y escalar las defensas cibernéticas, junto con la incorporación de otras tecnologías punteras, es imprescindible para hacer frente a la evolución de las ciberamenazas. Además, hay que adoptar una estrategia de ciberseguridad proactiva, flexible y adaptable ágilmente a los cambios dinámicos y a la evolución de las amenazas cibernéticas.”

Los ciberataques también tienen consecuencias en la normativa de protección de datos. Por ello, es importante que el responsable sea consciente de cómo ha evolucionado el contexto de brechas de datos personales en el ámbito de la salud y, en particular, de los ciberincidentes de tipo ransomware que se han multiplicado en los últimos años, y que afectan a todo tipo de organizaciones asistenciales. Son varias las resoluciones sancionadoras de la Agencia Española de Protección de Datos que se han publicado en los últimos tiempos derivadas de ransomware, por ejemplo, el PS/00529/2022 contra Institut Marquès Obstetrícia i Ginecología SLP, en que se imputan infracciones de los arts. 5.1.f), 32 y 34 del Reglamento General de Protección de Datos (RGPD); o los procedimientos de la Autoridad Catalana de Protección de Datos PS 1/2024 y PS 4/2024, referentes al Hospital Clínic de Barcelona y Fundació de Recerca Clínic Barcelona-Institut d’Investigacions Biomèdiques August Pi i Sunyer, en los que se declara una infracción del art. 83.4.a en relación con el art. 32.1 RGPD e infracción del art. 83.4.a en relación con el art. 32.2 RGPD.

En definitiva, de todo lo expuesto se desprende que la ciberseguridad seguirá marcando la agenda de las organizaciones del sector salud durante los próximos ejercicios, así como también de la política comunitaria. El pasado 15 de enero de 2025 la Comisión Europea presentó un plan de acción de la UE destinado a reforzar la ciberseguridad de los hospitales y los prestadores de asistencia sanitaria, que tiene como objetivo crear un entorno más seguro y protegido para los pacientes.  Esta iniciativa marca la primera iniciativa sectorial específica para desplegar toda la gama de medidas de ciberseguridad de la UE. El Plan se basa en las cuatro prioridades siguientes:

1. Prevención mejorada.  El plan ayuda a desarrollar las capacidades del sector sanitario para prevenir incidentes de ciberseguridad a través de medidas de preparación mejoradas, como orientaciones sobre la aplicación de prácticas críticas de ciberseguridad.
2. Mejor detección e identificación de amenazas. Se desarrollará un servicio de alerta temprana a escala de la UE, que ofrecerá alertas casi en tiempo real sobre posibles ciberamenazas, de aquí a 2026.
3. Respuesta a los ciberataques para minimizar el impacto. El plan propone un servicio de respuesta rápida para el sector sanitario en el marco de la Reserva de Ciberseguridad de la UE.
4. Disuasión. Proteger los sistemas sanitarios europeos disuadiendo a los agentes de ciberamenazas de atacarlos. Esto incluye una respuesta diplomática conjunta de la UE a las actividades informáticas malintencionadas.

Seguiremos con interés los pasos previstos para 2025-2026 definidos en el Plan y analizaremos si con ello dejan de aumentar año tras año los ciberataques a hospitales y otros prestadores de asistencia sanitaria.