La Comisión Europea ha presentado, el 15 de enero, un plan de acción destinado a reforzar la ciberseguridad de los hospitales y los prestadores de asistencia sanitaria. Este plan de acción se anunció en las orientaciones políticas de la presidenta Von der Leyen como prioridad clave en los primeros cien días del nuevo mandato. La iniciativa es un paso importante para proteger al sector de la salud de las amenazas cibernéticas. Al mejorar la detección de amenazas, la preparación y las capacidades de respuesta de los hospitales y los proveedores de salud, se creará un entorno más seguro para los pacientes y los profesionales de la salud, tal y como aseguran desde la propia Comisión.
La digitalización está trayendo una revolución a la asistencia sanitaria, permitiendo mejores servicios a los pacientes a través de innovaciones como los historiales médicos electrónicos, la telemedicina y los diagnósticos impulsados por la inteligencia artificial. Sin embargo, los ciberataques pueden retrasar los procedimientos médicos, crear bloqueos en las salas de emergencia e interrumpir los servicios vitales que, en casos graves, podrían tener un impacto directo en la vida de los europeos. De hecho, los Estados miembros notificaron 309 incidentes significativos de ciberseguridad que afectaron al sector sanitario en 2023, más que en cualquier otro sector crítico.
El plan de acción propone, entre otras cosas, que ENISA, la Agencia de la UE para la Ciberseguridad, establezca un Centro paneuropeo de apoyo a la ciberseguridad para hospitales y proveedores de asistencia sanitaria, proporcionándoles orientación, herramientas, servicios y formación a medida. La iniciativa se basa en el marco más amplio de la UE para reforzar la ciberseguridad en todas las infraestructuras críticas y marca la primera iniciativa sectorial específica para desplegar toda la gama de medidas de ciberseguridad de dicho territorio.
Mejora de la prevención, detección e identificación
En concreto, el plan de acción se basa en cuatro prioridades. La primera se centra en mejorar la prevención. Para ello, ayuda a desarrollar las capacidades del sector sanitario para prevenir incidentes de ciberseguridad a través de medidas de preparación mejoradas, como orientaciones sobre la aplicación de prácticas críticas de ciberseguridad. Además, los Estados miembros también podrán introducir bonos de ciberseguridad para proporcionar asistencia financiera a los micro, pequeños y medianos hospitales y proveedores de asistencia sanitaria. Por último, la UE también desarrollará recursos de aprendizaje sobre ciberseguridad para los profesionales sanitarios.
En cuanto a la segunda prioridad, mejorar detección e identificación de amenazas, el Centro de apoyo a la ciberseguridad para hospitales y proveedores de asistencia sanitaria desarrollará un servicio de alerta temprana a escala de la UE que ofrecerá alertas casi en tiempo real sobre posibles ciberamenazas, de aquí a 2026.
Mayor ciberseguridad en hospitales a través de la Reserva
Otra de las prioridades es la respuesta a los ciberataques para minimizar el impacto. En este sentido, el plan propone un servicio de respuesta rápida para el sector sanitario en el marco de la Reserva de Ciberseguridad de la UE.
Establecida en la Ley de Cibersolidaridad, la Reserva proporciona servicios de respuesta a incidentes de proveedores de servicios privados de confianza. Como parte del plan, los ejercicios nacionales de ciberseguridad pueden llevarse a cabo junto con el desarrollo de libros de jugadas para guiar a las organizaciones de atención médica a responder a amenazas específicas de ciberseguridad, incluido el ransomware. Se anima a los Estados miembros a que soliciten a las entidades la notificación de los pagos de rescate para poder proporcionarles el apoyo que necesitan y permitir el seguimiento por parte de las autoridades policiales.
Y finalmente, la última prioridad es de disuasión de los agentes de ciberamenazas. Esto incluye el uso del conjunto de instrumentos de ciberdiplomacia, una respuesta diplomática conjunta de la UE a las actividades informáticas malintencionadas.
En definitiva, el plan de acción se aplicará de la mano de los prestadores de asistencia sanitaria, los Estados miembros y la comunidad de la ciberseguridad. No obstante, para afinar aún más las acciones más impactantes para que los pacientes y los proveedores de asistencia sanitaria puedan beneficiarse de ellas, la Comisión pondrá en marcha en breve una consulta pública sobre este plan, abierta a todos los ciudadanos y partes interesadas.
Archivado en:
