27/08/2025
Los ciberdelincuentes han hecho del sector sanitario europeo uno de sus objetivos favoritos, con ataques de ransomware y a la cadena de suministro que ponen en grave peligro a hospitales y pacientes.
A principios de este año, compartimos nuestra primera opinión sobre la seguridad de la asistencia sanitaria: Plan de acción de la UE.
Esta actualización de la seguridad sanitaria examina cómo se está aplicando el plan en los próximos dos años y qué deben esperar las organizaciones sanitarias después de 2026. Este plan no es una guía más. Es una iniciativa coordinada a escala de la UE concebida para reforzar la resiliencia, desarrollar las capacidades y prestar apoyo rápido en caso de ataque.
Qué incluye el Plan de Acción
Un Centro Europeo de Apoyo a la Ciberseguridad
Un centro especializado prestará apoyo directo a hospitales y otros proveedores. Actuará como centro de preparación, detección y respuesta ante incidentes. Se pondrán en marcha proyectos piloto en todos los Estados miembros para probar las mejores prácticas de ciberhigiene, evaluación de riesgos y supervisión continua.
Panorama normativo
Las organizaciones sanitarias se enfrentan a un mosaico de legislación. El Plan de Acción incluye una herramienta de cartografía normativa para ayudar a los proveedores a navegar por la NIS2, el GDPR, la Ley de Ciberresiliencia y otras normas que se solapan. Paralelamente, se llevará a cabo una evaluación coordinada de riesgos centrada en los dispositivos médicos y los datos de pacientes basados en la nube.
Respuesta a incidentes y reserva de ciberseguridad
La Ley de Cibersolidaridad da a los hospitales acceso a proveedores privados de confianza en tiempos de crisis. Se creará un manual de ciberseguridad específico para el sector sanitario y se realizarán ejercicios cibernéticos periódicos a escala de la UE. El ransomware ha sido responsable de más de la mitad de los incidentes sanitarios de los últimos años, por lo que no se puede exagerar la importancia de estas medidas. En virtud del NIS2, también habrá que notificar cualquier pago de rescate.
Sistema de alerta rápida
Un servicio de alerta rápida a escala de la UE alertará casi en tiempo real de las amenazas específicas del sector sanitario. Los hospitales compartirán las notificaciones de incidentes con la ENISA a través del Centro de Apoyo, garantizando así la rápida distribución de la información.
Personal y gobernanza
Los equipos de ciberseguridad de la sanidad carecen crónicamente de personal suficiente. Según el ISC2, tres cuartas partes de los profesionales señalan las carencias de personal como un riesgo importante. Para hacer frente a esta situación, la actualización de la seguridad sanitaria introduce una Red Europea de CISO de Sanidad para poner en contacto a los líderes, compartir conocimientos y crear resiliencia colectiva.
Calendario de acciones clave
Fase 1: 2025-2026 (despliegue inicial)
| Marco temporal | Acciones clave |
| Enero de 2025 | Lanzamiento oficial del Plan de Acción; comienzan las consultas con las partes interesadas. |
| Q2 2025 | Primeros proyectos piloto sobre ciberhigiene hospitalaria y preparación ante incidentes. |
| Mediados de 2025 | Creación del Centro Europeo de Apoyo a la Ciberseguridad. |
| Q3 2025 | Puesta en marcha del servicio de alerta precoz sanitaria y alertas de amenazas en toda la UE. |
| Q4 2025 | Primera evaluación coordinada de los riesgos de la cadena de suministro; se publican recomendaciones perfeccionadas. |
| Principios de 2026 | Publicación del manual de respuesta a los ciberincidentes sanitarios; comienzan los cibersimulacros en toda la UE. |
| A lo largo de 2026 | Despliegue continuo de herramientas de respuesta y recuperación, incluidos servicios de respuesta rápida y repositorios de descifrado. |
Fase 2: Más allá de 2026 (Expansión estratégica)
| Marco temporal | Acciones clave |
| Finales de 2026 - 2027 | Recomendaciones adicionales publicadas por la Comisión, basadas en los resultados de los proyectos piloto y las consultas. |
| Post-2026 En curso | Continuación del trabajo del Consejo Asesor de Ciberseguridad Sanitaria y de los centros nacionales de apoyo. |
| 2027 y más allá | Desarrollo de un mercado único europeo de la ciberseguridad, con presupuestos más claros, objetivos mensurables y ejercicios cibernéticos ampliados a toda la UE. |
| 2030-2035 | Transición hacia la adopción de la criptografía poscuántica en los sistemas sanitarios críticos. |
| Continuo | Integración de la seguridad sanitaria en marcos más amplios de la UE, como NIS2, la Ley de Ciberresiliencia y la Ley de Cibersolidaridad, con mandatos evolutivos según sea necesario. |
Contexto legislativo más amplio
El Plan de Acción complementa la reciente normativa de la UE que está remodelando el panorama de la seguridad:
- Directiva NIS2 (en vigor desde diciembre de 2022): Amplía los requisitos para los sectores esenciales, incluida la sanidad, con normas armonizadas para la notificación de incidentes.
- Ley de Ciberresiliencia (CRA) (adoptada en octubre de 2024): Se centra en productos con elementos digitales, como dispositivos médicos, y exige gestión de vulnerabilidades y actualizaciones de seguridad.
- Digital Operational Resilience Act (DORA) (en vigor desde enero de 2025): Se dirige al sector financiero, pero también afecta a los proveedores de servicios TIC en los ecosistemas sanitarios.
Por qué es importante
Los hospitales no pueden permitirse tiempos de inactividad. Un ataque de ransomware que desconecte los historiales de los pacientes o interrumpa los dispositivos conectados puede poner vidas en peligro. El Plan de Acción de la UE representa un cambio de las respuestas reactivas al desarrollo estructurado de la resiliencia. Con la creación de un centro de apoyo, una red de CISO y un manual de actuación respaldado por inteligencia en tiempo real, Europa está dando un gran paso hacia la protección de la asistencia sanitaria.
En Getronics, ayudamos a los proveedores de asistencia sanitaria a alinearse con NIS2, DORA, ISO 27001 y las directrices específicas del sector. Nuestros servicios de seguridad gestionados, inteligencia de amenazas y experiencia en respuesta a incidentes pueden ayudar a las organizaciones a prepararse para el nuevo panorama europeo. Nos tomamos en serio todas las actualizaciones de seguridad sanitaria para ofrecer un soporte coherente y actualizado.
