Seguridad sanitaria: Plan de acción de la UE.

19/03/2025

En enero de 2025, la Comisión Europea anunció oficialmente su nuevo Plan de acción europeo sobre la ciberseguridad de los hospitales y los proveedores de asistencia sanitaria, cuyo objetivo es reforzar la seguridad de la asistencia sanitaria en Europa. Esta iniciativa estratégica se basa en el actual marco de ciberseguridad de la UE, en particular la Directiva NIS2, y se centra en cuatro pilares fundamentales: Prevenir, Detectar, Responder y Recuperar, y Disuadir. Responde directamente al alarmante aumento de los ciberataques dirigidos al sector sanitario, que solo en 2023 registró 309 incidentes significativos, superando a todos los demás sectores críticos.

En qué consiste el Plan de Acción

El plan aboga por un planteamiento proactivo y estratificado de la ciberseguridad. Se insta a hospitales y clínicas a realizar evaluaciones exhaustivas de riesgos, actualizar los sistemas informáticos heredados y formar al personal en ciberhigiene. Un sistema de alerta precoz para la sanidad en toda la UE, que estará operativo en 2026, ayudará a detectar rápidamente las amenazas emergentes. Además, se hace hincapié en medidas contundentes de respuesta a incidentes, como una "reserva" cibernética de equipos de respuesta a emergencias y ejercicios reforzados de gestión de crisis. Un elemento clave del plan es la obligación de notificar los incidentes cibernéticos para fomentar la transparencia y permitir una intervención rápida. Además, el plan exige informar de cualquier intención de pagar rescates en caso de ataque, con el fin de disuadir a los ciberdelincuentes.

Impacto en el sector médico

La sanidad es cada vez más blanco de ciberataques, y el plan de acción de la UE se presenta como una medida necesaria para mitigar este riesgo. Para los hospitales, el plan se traduce en cambios inmediatos y a largo plazo:

  • Evaluaciones de riesgos y actualizaciones: Las instituciones deben revisar sus sistemas informáticos, actualizar el software heredado y mejorar la seguridad de la red. La ciberseguridad no es solo un problema informático, es esencial para garantizar una atención continua al paciente.
  • Formación del personal: El énfasis en la formación está claro. Todo el personal sanitario, desde los médicos al personal administrativo, debe recibir formación sobre prácticas cibernéticas seguras para reducir los errores humanos.
  • Preparación para la respuesta a incidentes: Con las nuevas directrices para una respuesta sólida ante incidentes y simulacros de seguridad periódicos, los hospitales tendrán que invertir en sistemas de copia de seguridad y planes de recuperación integrales.

Los proveedores de tecnología médica, incluidos los proveedores de software y hardware, así como los proveedores de servicios de seguridad gestionados (MSSP), deben incorporar ahora la seguridad en sus productos. Esto significa diseñar soluciones "seguras desde el diseño", implantar procesos sólidos de notificación de vulnerabilidades y apoyar a los clientes sanitarios con servicios integrados de ciberseguridad. La colaboración entre hospitales y proveedores de tecnología garantiza la protección de todos los eslabones de la cadena sanitaria.

Implantación nacional en la UE

Aunque el plan de acción es un mandato de toda la UE, su aplicación varía según los países:

  • Países Bajos: Los Países Bajos llevan mucho tiempo siendo pioneros en ciberseguridad. Su Centro Nacional de Ciberseguridad (NCSC-NL) y las orientaciones específicas del sector a través de Zorg-CERT los sitúan en una buena posición para los cambios que se avecinan. Los hospitales holandeses ya se adhieren a normas rigurosas, incluidas las evaluaciones de riesgo obligatorias y el cumplimiento de la norma NEN 7510, adaptada al sector sanitario. Se espera que sus mecanismos proactivos de intercambio de información sobre amenazas se integren perfectamente en el nuevo marco de la UE.
  • España: Alineándose rápidamente con los mandatos de la UE, España aprobó en enero de 2025 un proyecto de ley para reforzar la gobernanza nacional en materia de ciberseguridad. El Centro Nacional de Ciberseguridad (CNC), de reciente creación, será la autoridad clave para garantizar que los hospitales cumplan los nuevos requisitos de información y se sometan a auditorías periódicas. Las organizaciones sanitarias españolas deben esperar una supervisión más estricta y una notificación centralizada de incidentes, además de subvenciones que ahora incluyen mejoras de ciberseguridad.
  • Estonia: Conocida como la avanzadilla digital de Europa, la casi completa digitalización de los servicios sanitarios de Estonia exige estrictas medidas de ciberseguridad. La Riigi Infosüsteemi Amet (RIA) o Autoridad de Sistemas de Información estonia aplica algunas de las políticas de seguridad de datos más estrictas de la región. La temprana adopción por parte de Estonia de la seguridad basada en blockchain para los historiales médicos electrónicos es un excelente ejemplo de su compromiso con una sanidad digital segura. Esta sólida base significa que Estonia está bien preparada para integrar e incluso superar los nuevos requisitos de ciberseguridad de la UE.
  • Francia: Líder en ciberseguridad sanitaria, el programa francés CaRE, lanzado en 2023, se ampliará con el nuevo plan de acción. El programa, respaldado por una importante financiación, proporciona a los hospitales un catálogo de herramientas de ciberseguridad y hace hincapié en la adquisición coordinada. Los hospitales franceses pueden anticipar una normativa reforzada, obligaciones de información más estrictas y una mayor integración con agencias nacionales de ciberseguridad como la Agence nationale de la sécurité des systèmes d'information (ANSSI).
  • Alemania: El planteamiento de Alemania implica la actualización de sus protecciones de infraestructuras críticas. Aunque la transposición de la Directiva NIS2 fue lenta al principio, Alemania pretende aplicarla plenamente a principios de 2025. Las directrices existentes para grandes hospitales se ampliarán para abarcar a más proveedores sanitarios, y la Bundesamt für Sicherheit in der Informationstechnik (BSI) u Oficina Federal de Seguridad de la Información desempeñará probablemente un papel aún más activo. Los hospitales alemanes deben prepararse para unos requisitos de notificación de incidentes más estrictos y una mayor supervisión normativa, junto con incentivos de financiación adicionales para las inversiones en ciberseguridad.

Calendario e hitos clave

El plan se pondrá en marcha rápidamente:

  • Enero de 2025: Anuncio oficial e inicio de las consultas con las partes interesadas.
  • Mediados de 2025: Los Estados miembros empiezan a transponer la NIS2 y se publican directrices específicas sobre asistencia sanitaria.
  • Finales de 2025: Se implementan entregables clave como manuales de respuesta a incidentes y protocolos obligatorios de notificación de ransomware.
  • De principios a mediados de 2026: Poner en marcha el servicio de alerta rápida en toda la UE, que proporcionará alertas casi en tiempo real sobre posibles ciberamenazas. Puesta en marcha del servicio de respuesta rápida de la Reserva de Ciberseguridad de la UE e implantación de vales de ciberseguridad para los proveedores de asistencia sanitaria que cumplan los requisitos.
  • Más allá de 2026: Integración continua de las prácticas de ciberseguridad en las operaciones sanitarias cotidianas, con revisiones y actualizaciones periódicas.

Cómo puede ayudar Getronics

Adaptarse a estas normativas de ciberseguridad en constante evolución puede ser todo un reto. Getronics, con su amplia experiencia en servicios gestionados de TI y tecnología sanitaria, se encuentra en una posición única para ayudar a las organizaciones durante esta transición. Nuestros servicios abarcan desde la evaluación de riesgos y la consultoría de cumplimiento hasta la supervisión de amenazas 24 horas al día, 7 días a la semana, y la respuesta rápida ante incidentes. Al asociarse con Getronics, los proveedores sanitarios se aseguran no sólo de cumplir los nuevos requisitos normativos, sino también de construir una ciberdefensa sólida y resistente que mantenga la atención al paciente segura e ininterrumpida.

Getronics ya ha dado varios pasos en el sector sanitario. Apoya el WI-FI 7 en los hospitales y explora el papel de la IA en la medicina.

Ponte en contacto con Getronics hoy mismo y permítenos ayudarte a navegar por las complejidades de la ciberseguridad en el cambiante panorama sanitario.

Escrito por Rob Nidschelm, responsable global de seguridad operativa de Getronics.

Equipo editorial de Getronics

En este artículo:

Compartir este contenido

Artículos relacionados

Ver todos los artículos
Imagen aleatoria

Habla con uno de nuestros expertos

Si estás pensando en una nueva experiencia digital, sea cual sea la fase en la que te encuentres, nos encantaría hablar contigo.

SOLICITA QUE TE LLAMEMOS