La Comisión de la UE presenta un plan para proteger el sector sanitario de los ciberataques

En un mundo cada vez más digital, la ciberseguridad es una prioridad clave, especialmente para el sector sanitario, donde las ciberamenazas pueden tener consecuencias directas en la vida de las personas.

La Comisión Europea ha puesto en marcha un plan de acción para reforzar la ciberseguridad de los hospitales y los proveedores de asistencia sanitaria. Anunciada como prioridad en los primeros 100 días del nuevo mandato de la Presidenta Ursula von der Leyen, la iniciativa supone un gran paso adelante en la creación de un entorno digital seguro y resistente. La digitalización ha transformado el sector sanitario, mejorando los servicios a los pacientes gracias a innovaciones como la historia clínica electrónica, la telemedicina y la inteligencia artificial. Sin embargo, estos avances también han expuesto al sector a crecientes ciberamenazas. En 2023, los Estados miembros notificaron 309 incidentes significativos de ciberseguridad que afectaron a hospitales y proveedores de asistencia sanitaria, más que ningún otro sector crítico. Los ciberataques pueden poner en peligro la continuidad de los servicios médicos, retrasar procedimientos que salvan vidas e interrumpir operaciones vitales de salud pública. El plan de acción de la Comisión Europea se estructura en torno a cuatro prioridades clave:

1. Prevención reforzada

Para prevenir los ciberataques, el plan pretende mejorar la capacidad del sector sanitario para prepararse y protegerse. Las medidas propuestas incluyen Orientaciones específicas sobre la adopción de prácticas críticas de ciberseguridad. Bonos de ciberseguridad, destinados a proporcionar ayuda financiera a los hospitales y proveedores sanitarios pequeños y medianos. Programas de formación para concienciar al personal sanitario sobre los riesgos cibernéticos y cómo mitigarlos.

2. Mejorar la identificación de amenazas

Un elemento central del plan es la creación de un Centro de Apoyo a la Ciberseguridad para el Sector Sanitario, gestionado por ENISA, la agencia de la UE para la ciberseguridad. Este centro desarrollará un servicio paneuropeo de alerta rápida, capaz de avisar en tiempo real sobre posibles amenazas, que estará operativo en 2026.

3. Respuesta rápida a los ciberataques

Para limitar los daños de los ciberataques, el plan propone la creación de una reserva de ciberseguridad de la UE, que incluirá servicios de respuesta rápida prestados por socios privados de confianza. Además, se organizarán ejercicios nacionales de ciberseguridad y se elaborarán manuales operativos para ayudar a las organizaciones sanitarias a responder a amenazas específicas, como el ransomware. Se animará a los Estados miembros a que informen de los pagos de rescates, facilitando así el apoyo y la intervención de las autoridades policiales.

4. Disuasión de atentados

Para disuadir a los actores de las ciberamenazas, el plan prevé el uso de herramientas conjuntas de ciberdiplomacia, una respuesta coordinada de la UE para contrarrestar las actividades maliciosas en el ciberespacio. El plan se aplicará en estrecha cooperación con los Estados miembros, los proveedores de asistencia sanitaria y la comunidad de ciberseguridad. La Comisión lanzará en breve una consulta pública para recabar aportaciones y perfeccionar las medidas propuestas. Las primeras medidas se aplicarán progresivamente en 2025 y 2026. El Plan de Acción se basa en un marco legislativo existente para reforzar la ciberseguridad en la UE, que incluye la Directiva NIS2 y la Ley de Ciberresiliencia. Estas leyes introducen obligaciones estrictas para las organizaciones sanitarias, garantizando que tomen las medidas adecuadas para proteger sus sistemas. Además, la Ley de Cibersolidaridad, que entró en vigor en diciembre de 2024, estableció un mecanismo de emergencia para mejorar la cooperación entre los Estados miembros y reforzar la capacidad de respuesta de la UE ante las ciberamenazas. El objetivo último del Plan es garantizar que la sanidad digital sea segura, resistente y digna de confianza. La creación de una infraestructura digital segura es esencial para la plena implantación del Espacio Europeo de Datos Sanitarios, que pretende situar a los ciudadanos en el centro de su asistencia sanitaria dándoles pleno control sobre sus datos. En un momento en que la ciberseguridad es un reto mundial, la iniciativa de la Comisión Europea supone un importante paso adelante en la protección de uno de los sectores más críticos para el bienestar de los ciudadanos europeos. Mediante la prevención, la identificación de amenazas, la respuesta rápida y la disuasión, el plan de acción pretende salvaguardar no sólo las infraestructuras digitales, sino también la confianza de los ciudadanos en una asistencia sanitaria moderna e innovadora.

Alessandro Fiorentino