La Comisión Europea presenta un plan de acción para reforzar la ciberseguridad del sector sanitario

La Comisión Europea ha presentado un plan de acción de la UE para reforzar la ciberseguridad de los hospitales y los proveedores de atención sanitaria con el objetivo de crear un entorno más seguro para los pacientes.

La digitalización está revolucionando la atención sanitaria, ya que permite ofrecer mejores servicios a los pacientes gracias a innovaciones como los historiales médicos electrónicos, la telemedicina y los diagnósticos basados en inteligencia artificial. Sin embargo, los ciberataques pueden retrasar los procedimientos médicos, crear atascos en las salas de urgencias e interrumpir servicios vitales que, en casos graves, podrían tener un impacto directo en la vida de los europeos. Los Estados miembros notificaron 309 incidentes de ciberseguridad importantes que afectaron al sector sanitario en 2023, más que en cualquier otro sector crítico.

El plan de acción propone, entre otras cosas, que Enisa, la agencia de la UE para la ciberseguridad, establezca un centro paneuropeo de apoyo en este ámbito para hospitales y proveedores de servicios sanitarios, proporcionándoles orientación, herramientas, servicios y formación personalizados. La iniciativa se basa en el marco más amplio de la UE para reforzar la ciberseguridad en las infraestructuras críticas y constituye la primera iniciativa sectorial específica para desplegar la gama completa de medidas de ciberseguridad de la UE.

El plan de acción se centra en cuatro prioridades: reforzar la prevención, mejorar la detección e identificación de amenazas, ofrecer respuesta inmediata a los ciberataques para minimizar el impacto y disuadir a los cibercriminales.

En el punto de la prevención reforzada, el plan contribuye a fortalecer las capacidades del sector sanitario para prevenir incidentes de ciberseguridad mediante medidas de preparación reforzadas, como orientaciones sobre la aplicación de prácticas críticas de ciberseguridad. En segundo lugar, los Estados miembros también podrán introducir bonos de ciberseguridad para proporcionar asistencia financiera a hospitales y proveedores de servicios sanitarios de tamaño micro, pequeño y mediano. Por último, la UE también desarrollará recursos de aprendizaje sobre este ámbito para los profesionales sanitarios.

Para mejorar la detección e identificación de amenazas, el Centro de Apoyo a la Ciberseguridad para hospitales y proveedores de atención sanitaria desarrollará un servicio de alerta temprana para toda la UE que ofrecerá alertas casi en tiempo real sobre posibles amenazas cibernéticas. La Comisión prevé habilitar este servicio de aquí a 2026.

En lo que se refiere a la tercera prioridad, el plan propone un servicio de respuesta rápida para el sector sanitario en el marco de la Reserva de Ciberseguridad de la UE. Establecida en la Ley de Solidaridad Cibernética, la Reserva proporciona servicios de respuesta a incidentes de proveedores de servicios privados de confianza. Como parte del plan, se pueden realizar ejercicios nacionales de ciberseguridad junto con el desarrollo de manuales para orientar a las organizaciones sanitarias a la hora de responder a amenazas específicas de ciberseguridad, incluido el ransomware. En este sendito, la Comisión anima a los Estados miembros a que soliciten a las entidades que informen sobre los pagos de rescates, para poder proporcionarles el apoyo que necesitan y permitir el seguimiento por parte de las autoridades policiales.

Por último, el programa propone la disuasión como medida clave para proteger los sistemas sanitarios europeos. Este punto incluye el uso de la Caja de Herramientas de Diplomacia Cibernética, una respuesta diplomática conjunta de la UE a las actividades cibernéticas maliciosas.

El plan de acción se aplicará en colaboración con los proveedores de servicios sanitarios, los Estados miembros y la comunidad de ciberseguridad. Para definir mejor las medidas de mayor impacto, de modo que los pacientes y los proveedores de servicios sanitarios puedan beneficiarse de ellas, la Comisión pondrá en marcha en breve una consulta pública sobre este plan, abierta a todos los ciudadanos y las partes interesadas.

Esta estrategia es el inicio de un proceso para mejorar la ciberseguridad en el sector sanitario. La Comisión ha anunciado que en 2025 y 2026 se pondrán en marcha acciones específicas de forma progresiva y los resultados de la consulta se incorporarán a otras recomendaciones antes de finales de año.