La Comisión ha presentado hoy un plan de acción de la UE destinado a reforzar la ciberseguridad de los hospitales y los prestadores de asistencia sanitaria. Este plan de acción se anunció en las orientaciones políticas de la presidenta Von der Leyen como prioridad clave en los cien primeros días del nuevo mandato. La iniciativa es un paso importante para proteger el sector sanitario contra las ciberamenazas. Al mejorar las capacidades de detección, preparación y respuesta de los hospitales y los proveedores de asistencia sanitaria en caso de amenazas, propiciará un entorno más seguro y protegido para los pacientes y los profesionales de la salud.
La digitalización está revolucionando la asistencia sanitaria, al permitir prestar mejores servicios a los pacientes gracias a innovaciones como los historiales médicos electrónicos, la telemedicina y los diagnósticos basados en la inteligencia artificial. Sin embargo, los ciberataques pueden retrasar los procedimientos médicos, crear bloqueos en las salas de urgencias y perturbar servicios vitales, lo cual podría tener, en casos graves, repercusiones directas en la vida de los europeos. En 2023, los Estados miembros notificaron 309 incidentes de ciberseguridad graves que afectaron al sector sanitario, más que en cualquier otro sector crucial.
El plan de acción propone, entre otras cosas, que ENISA, la Agencia de la Unión Europea para la Ciberseguridad, cree un centro paneuropeo de apoyo a la ciberseguridad para hospitales y prestadores de asistencia sanitaria que les proporcione orientaciones, herramientas, servicios y formación adaptados. La iniciativa se basa en el marco más amplio de la UE destinado a reforzar la ciberseguridad en todas las infraestructuras cruciales y supone la primera iniciativa sectorial en la que se empleará la serie completa de medidas de la UE en materia de ciberseguridad.
Resumiendo, el plan de acción se centra en cuatro prioridades:
El plan de acción se aplicará en estrecha colaboración con los prestadores de asistencia sanitaria, los Estados miembros y la comunidad de ciberseguridad. Para optimizar las medidas de mayor efecto en beneficio de los pacientes y los prestadores de asistencia sanitaria, la Comisión pondrá en marcha en breve una consulta pública sobre este plan, que estará abierta a todos los ciudadanos y partes interesadas.
El plan de acción es el inicio de un proceso para mejorar la ciberseguridad en el sector sanitario. En 2025 y 2026 se irán llevando a la práctica progresivamente medidas específicas. Las conclusiones de la consulta se incorporarán a recomendaciones ulteriores a finales de año.
La UE trabaja en varios frentes para promover la ciberresiliencia y proteger a sus ciudadanos y empresas contra las ciberamenazas en una Europa cada vez más digital y conectada. Este plan de acción responde a la urgencia de la situación y a las singulares amenazas a las que se enfrenta el sector. Se basa en el marco legislativo vigente en el ámbito de la ciberseguridad. Los hospitales y otros prestadores de asistencia sanitaria se definen como sector de alta criticidad en virtud de la Directiva SRI 2. El marco de ciberseguridad de la Directiva SRI 2 funciona de forma conjunta con el Reglamento de Ciberresiliencia, la primera de las legislaciones de la UE en establecer requisitos de ciberseguridad obligatorios para los productos que incluyen elementos digitales, que entró en vigor el 10 de diciembre de 2024. La Comisión también ha puesto en marcha un Mecanismo de Ciberemergencia en el marco del Reglamento de Cibersolidaridad, el cual refuerza la solidaridad y las actuaciones coordinadas de la UE para detectar, anticipar y afrontar eficazmente los crecientes incidentes y amenazas en materia de ciberseguridad.
Garantizar una infraestructura digital resiliente y segura es esencial para la implantación plena del Espacio Europeo de Datos de Salud, que concederá protagonismo a los ciudadanos en el proceso asistencial al otorgarles completo control sobre sus datos.
La asistencia sanitaria moderna ha logrado avances increíbles gracias a la transformación digital, gracias a la cual los ciudadanos disfrutan de una mejor asistencia sanitaria. Por desgracia, los sistemas sanitarios también están sujetos a incidentes y amenazas de ciberseguridad. Por eso ponemos en marcha un plan de acción para garantizar la resiliencia de los sistemas sanitarios, las instituciones y los dispositivos sanitarios conectados. Como más vale prevenir que curar, debemos evitar que se produzcan ciberataques. No obstante, si se producen, debemos tenerlo todo listo para detectarlos y defendernos y recuperarnos cuanto antes.
Las tecnologías digitales y las soluciones basadas en datos sanitarios brindan oportunidades sin precedentes en el ámbito de la asistencia sanitaria, pues facilitan la medicina de precisión, el seguimiento en tiempo real de los pacientes y la comunicación sin soluciones de continuidad entre los prestadores de asistencia sanitaria más allá de las fronteras. Sin embargo, la fuerza de la digitalización depende de la confianza que inspire y de su resiliencia frente a los ciberataques. Los pacientes deben sentirse seguros de que su información más delicada está segura. Los profesionales sanitarios han de confiar en los sistemas que utilizan diariamente para salvar vidas. El plan de acción anunciado hoy representa un paso importante para ganar esa confianza y salvaguardar un ecosistema sanitario más resiliente de cara al futuro.
