La Comisión Europea ha dado a conocer este miércoles el plan de acción de la UE destinado a reforzar la ciberseguridad de los hospitales y los proveedores de asistencia sanitaria. Este plan de acción se anunció en las directrices políticas de la presidenta von der Leyen como una prioridad clave en los primeros 100 días del nuevo mandato.
La iniciativa es, según explican desde el Ejecutivo europeo “un paso importante para proteger al sector sanitario de las ciberamenazas, al mejorar la detección de amenazas, la preparación y las capacidades de respuesta de los hospitales y los proveedores de asistencia sanitaria, creará un entorno más seguro para los pacientes y los profesionales sanitarios”.
Olivér Várhelyi, comisario de Salud y Bienestar Animal, ha señalado que esta iniciativa “es un paso importante para asegurar esa confianza y salvaguardar un ecosistema sanitario más resiliente para el futuro” y por ello ha reclamado “confianza” a pacientes, proveedores y profesionales en que su información sensible “está segura”.
Según los datos de la Comisión, los Estados miembros notificaron 309 incidentes de ciberseguridad importantes que afectaron al sector sanitario en 2023. Esta cifra es superior a la que se genera en cualquier otro sector crítico.
El plan de acción propone, entre otras cosas, que ENISA, la agencia de la UE para la ciberseguridad, establezca un Centro paneuropeo de apoyo a la ciberseguridad para hospitales y proveedores de servicios sanitarios, proporcionándoles orientación, herramientas, servicios y formación personalizados. La iniciativa se basa en el marco más amplio de la UE para reforzar la ciberseguridad en las infraestructuras críticas y constituye la primera iniciativa sectorial específica para desplegar la gama completa de medidas de ciberseguridad de la UE. En ese sentido, el plan de acción se centra en cuatro prioridades.
En primer lugar defiende la prevención reforzada. El plan ayuda a desarrollar las capacidades del sector sanitario para prevenir incidentes de ciberseguridad mediante medidas de preparación mejoradas, como orientación sobre la aplicación de prácticas críticas de ciberseguridad. En segundo lugar, los Estados miembros también pueden introducir bonos de ciberseguridad para proporcionar asistencia financiera a hospitales y proveedores de atención sanitaria de tamaño micro, pequeño y mediano. Por último, la UE también desarrollará recursos de aprendizaje sobre ciberseguridad para los profesionales sanitarios.
Por otro lado, plantea una mejor detección e identificación de amenazas. El Centro de Apoyo a la Ciberseguridad para hospitales y proveedores de atención sanitaria desarrollará un servicio de alerta temprana a escala de la UE, que ofrecerá alertas casi en tiempo real sobre posibles ciberamenazas, de aquí a 2026.
Y finalmente establece una estrategia de respuesta a los ciberataques para minimizar el impacto. El plan propone un servicio de respuesta rápida para el sector sanitario en el marco de la Reserva de Ciberseguridad de la UE. Establecida en la Ley de Solidaridad Cibernética, la Reserva proporciona servicios de respuesta a incidentes de proveedores de servicios privados de confianza. Como parte del plan, pueden realizarse ejercicios nacionales de ciberseguridad junto con el desarrollo de manuales para orientar a las organizaciones sanitarias a la hora de responder a amenazas específicas de ciberseguridad, incluido el ransomware. Se anima a los Estados miembros a que soliciten a las entidades que notifiquen los pagos de rescates, para poder proporcionarles el apoyo que necesitan y permitir el seguimiento por parte de las autoridades policiales.
El plan de acción se implementará en colaboración con los proveedores de servicios sanitarios, los Estados miembros y la comunidad de ciberseguridad. Para perfeccionar las acciones de mayor impacto para que los pacientes y los proveedores de servicios sanitarios puedan beneficiarse de ellas, la Comisión pondrá en marcha en breve una consulta pública sobre este plan, abierta a todos los ciudadanos y partes interesadas.
El plan de acción es el inicio de un proceso para mejorar la ciberseguridad en el sector sanitario. Se pondrán en marcha acciones específicas de forma progresiva en 2025 y 2026. Los resultados de la consulta se incorporarán a otras recomendaciones antes de finales de año.
Juan José Pedreño, consejero de Salud de Murcia: 
Carmen Martínez, portavoz del Grupo Socialista en la Comisión de Sanidad del Congreso de los Diputados: 
Margarita de la Pisa, eurodiputada de Vox.: 
Ion Arocena, director general de la Asociación Española de Bioempresas (Asebio): 
Javier Padilla, secretario de Estado de Sanidad: