Red Seguridad 87

Primer aniversario del PES del sector Salud E n un abrir y cerrar de ojos hemos visto cómo el Plan Estratégico Sectorial (PES) del ámbito de la Salud, aproba- do por la Comisión Nacional para la Protección de las Infraestructuras Críticas el 30 de octubre de 2018, alcanzaba su primer año de vida. Tras su aprobación, el primer hito fue la comunicación a las entidades designadas, con el nombramiento como operadores críticos. A partir de ahí, las cartas estaban repartidas y las obligaciones como operador debían satisfacerse. Para que esto ocurriera, el punto de partida radica- ba en definir los roles y responsabili- dades que garantizaran la consecu- ción de las acciones a realizar. Por tanto, comenzaron los nombramien- tos del responsable de Seguridad y Enlace y del delegado de Seguridad por cada infraestructura crítica de las organizaciones designadas. El segundo hito concernía a la elaboración del Plan de Seguridad del Operador (PSO), en el cual era necesario definir la política general para garantizar la seguridad integral del conjunto de instalaciones o sis- temas, así como detallar el marco de gobierno, la relación de servicios esenciales prestados por el operador, la metodología de análisis de riesgos a utilizar y los criterios de aplicación de las salvaguardas. Hasta este momento, la finalidad de las acciones a realizar por los ope- radores del sector de la Salud podía ser de índole similar a la del resto de operadores designados en otros sectores estratégicos, pero nada más lejos de la realidad. Y es que existían –y existen– diversos factores que implicaban un esfuerzo adicional para adaptar el PSO a la realidad del contexto en el que se desarrolla la actividad del sector sanitario, como a continuación detallo. Líneas de acción A diferencia de los anteriores PES, que se regían por la Estrategia de Seguridad Nacional de 2013, el del sector de la Salud se sustenta sobre los principios definidos en un entor- no de amenazas y desafíos más cercano, como es el marco de refe- rencia desarrollado en la Estrategia de Seguridad Nacional de 2017. De facto, la primera línea de acción que encontramos afirma: "adaptar ser- vicios de salud pública del Estado y comunidades autónomas para ase- gurar una adecuada capacidad de respuesta operativa". En paralelo, observábamos con la cautela necesaria que precisa la publicación de nuevos aspectos jurí- dicos relacionados con la seguridad de la información y cómo se incre- mentaban los requerimientos para los operadores de servicios esen- ciales mediante la Directiva NIS (UE 2016/1148) y su transposición a tra- vés del Real Decreto-Ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. En concreto, esta última normativa tiene por objeto regular la seguridad de las redes y sistemas de informa- ción utilizados para la provisión de los servicios esenciales y de los servicios digitales, así como establecer un sis- tema de notificación de incidentes. En este sentido, nos encontrábamos ante un reto complejo, con multitud de aspectos a contemplar y que requería de la colaboración tanto de entidades públicas como privadas. Esto es debi- do a que el objetivo de proteger los ser- vicios esenciales que son necesarios para el mantenimiento de las funciones sociales básicas (la salud, la seguridad, 70 red seguridad cuarto trimestre 2019 Raúl Prieto Pozo Responsable del Departamento de Gobierno de Seguridad de la Información de Sothis opinión servicios esenciales monográfico