La contínua evolució de les amenaces cibernètiques ha donat origen a nous desafiaments, posant de manifest certes limitacions que dificulten abordar de manera eficaç els reptes actuals i emergents en l’àmbit de la ciberseguretat. En aquest context, la Directiva NIS2 sorgeix com a resposta a aquesta necessitat d’actualització i enfortiment de les mesures establertes en la Directiva NIS1, erigint-se com un marc normatiu estratègic per a abordar els reptes actuals en matèria de ciberseguretat en el marc de la Unió Europea. La Directiva NIS2 va entrar en vigor el 16 de gener de 2023, i la seva transposició a Espanya es farà a través de l’avantprojecte de Llei de Coordinació i Governança de la Ciberseguretat aprovat el passat 14 de gener de 2025 pel Consell de Ministres.
La NIS2 amplia l’àmbit d’aplicació, dotant així d’una major cobertura als sectors i serveis de més rellevància social i econòmica, considerant-los com a entitats essencials o importants, en funció del grau de criticitat dels seus sectors, de la seva mida o del tipus de servei prestat. El sector sanitari forma part dels sectors d’alta criticitat, i en ell s’hi inclou: laboratoris de referència de la UE, entitats que realitzen activitats d’investigació i desenvolupament de medicaments, entitats que fabriquen productes farmacèutics de base i especialitats farmacèutiques i entitats que fabriquen productes sanitaris que es consideren essencials en situacions d’emergència de salut pública.
A més, la NIS2 reforça els requisits de seguretat que han de complir les entitats afectades, precisa el procés de notificació d’incidents, aborda la seguretat en la cadena de subministrament i les relacions amb proveïdors, reforça l’intercanvi d’informació sobre incidents i la divulgació de vulnerabilitats i estableix una xarxa europea de suport de crisis (EU-CYCLONe). Totes les mesures han de ser proporcionades al risc, tamany, cost i impacte i gravetat dels incidents; i, per altra banda, tenir en compte l’estat de la tècnica, i quan procedeixi, les normes europees i internacionals.
Quant a la notificació d’incidents, només el 2023, els països de la UE notificaren 309 incidents de ciberseguretat greus contra el sector sanitari, més que en qualsevol altre sector crucial. A més, cal considerar que el 54% dels ciberatacs en aquest sector impliquen ransomware.
Tal com s’indica en l’Informe de prospectives de ciberseguretat per al 2024 de l’Agència de Ciberseguretat de Catalunya “S’identifica, en primer lloc, que el sector salut emergeix com un objectiu principal, ja que s’enfronta a amenaces que poden paralitzar els sistemes crítics de salut pública i comprometre dades sensibles de pacients. (…) El repte d’implementar un entorn de ciberseguretat robust i avançat a Cavàriestalunya també exigeix adquirir i desplegar de forma efectiva noves capacitats. L’aplicació d’intel·ligència artificial, per a automatitzar i escalar les defenses cibernètiques, junt amb la incorporació d’altres tecnologies punteres, és imprescindible per a fer front a l’evolució de les ciberamenaces. A més, s’ha d’adoptar una estratègia de ciberseguretat proactiva, flexible i adaptable àgilment als canvis dinàmics i a l’evolució de les amenaces cibernètiques.”
Els ciberatacs també tenen conseqüències en la normativa de protecció de dades. Per això és important que el responsable sigui conscient de com ha evolucionat el context de bretxes de dades personals en l’àmbit de la salut i, en particular, dels ciberincidents de tipus ransomware que s’han multiplicat en els últims anys, i que afecten a tot tipus d’organitzacions assistencials. Són diverses les resolucions sancionadores de l’Agència Espanyola de Protecció de Dades que s’han publicat en els últims temps derivades de ransomware, per exemple, el PS/00529/2022 contra Institut Marquès Obstetrícia i Ginecologia SLP, en què s’imputen infraccions dels arts. 5.1.f), 32 i 34 del Reglament General de Protecció de Dades (RGPD); o els procediments de l’Autoritat Catalana de Protecció de Dades PS 1/2024 i PS 4/2024, referents a l’Hospital Clínic de Barcelona i Fundació de Recerca Clínic Barcelona-Institut d’Investigacions Biomèdiques August Pi i Sunyer, en els que es declara una infracció de l’art. 83.4.a en relació amb l’art. 32.1 RGPD i infracció de l’art. 83.4.a en relació amb l’art. 32.2 RGPD.
En definitiva, de l’exposat es desprèn que la ciberseguretat seguirà marcant l’agenda de les organitzacions del sector salut durant els pròxims exercicis, així com també de la política comunitària. El passat 15 de gener de 2025 la Comissió Europea presentà un pla d’acció de la UE destinat a reforçar la ciberseguretat dels hospitals i els prestadors d’assistència sanitària, que té com a objectiu crear un entorn més segur i protegit per als pacients. Aquesta iniciativa marca la primera iniciativa sectorial específica per a desplegar tota la gamma de mesures de ciberseguretat de la UE. El Pla es basa en les quatre prioritats següents:
Seguirem amb interès els passos previstos pel 2025-2026 definits en el Pla i analitzarem si aquests eviten que segueixi augmentant any rere any el nombre de ciberatacs a hospitals i altres prestadors d’assistència sanitària.