1 33 Table of Contents 35 132

Red Seguridad 106

34 red seguridad tercer trimestre 2024 monográfico salud 5.0 La reciente inclusión del sector sanitario en el ámbito de aplicación de la Directi- va NIS2 obliga a las entidades públicas y privadas que lo conforman a adaptar sus sistemas a los estrictos requisitos de ci- berseguridad europeos. Afortunadamen- te, en nuestro país la certificación en el Esquema Nacional de Seguridad (ENS) ofrece una base sólida para cumplir con estas exigencias. De hecho, el Centro Criptológico Nacional (CCN) ha ido de- sarrollando diversos Perfiles de Cumpli- miento Específicos para facilitar a las en- tidades de este sector el cumplimiento tanto del ENS como de la Directiva NIS2. Una de las novedades de la Directiva (UE) 2022/2555 del Parlamento Euro- peo y del Consejo, de 14 de diciembre de 2022, conocida como Directiva NIS2, ha sido la incorporación del sector sani- tario entre los sectores de alta criticidad y otros sectores críticos (Anexo I y II) a los que les afecta esta normativa, cuya trasposición a la legislación española debe realizarse antes del 17 de octubre de este año. Aunque su predecesora, la Directiva NIS1, ya incluía el sector salud como servicio esencial 1 , la nueva nor- mativa ha ampliado su ámbito de actua- ción al sector sanitario para incluir tanto a entidades prestadoras de asistencia sanitaria (públicas o privadas) como a laboratorios de referencia de la Unión Europea, entidades que realizan activi- dades de investigación y desarrollo de medicamentos, fabricantes de productos farmacéuticos de base y especialidades farmacéuticas, fabricantes de productos sanitarios esenciales en situaciones de emergencia de salud pública, y fabrican- tes de productos sanitarios y productos sanitarios para diagnóstico in vitro . En España, la respuesta a todas las exigencias de ciberseguridad dispuestas en la nueva directiva se encuentra ya recogida casi en su totalidad en el ENS, en el que se viene trabajando desde el año 2010 y cuya última actualización se publicó en el Real Decreto 311/2022, de 3 de mayo. De hecho, todas las enti- dades públicas, y una gran parte de las privadas, dentro del ámbito de aplica- ción del artículo 2 de la Directiva NIS, se encuentran dentro del alcance del ENS, entre ellas todas las relacionadas con el sector salud. Precisamente, para dar res- puesta a las disposiciones de la nueva normativa europea y para acompañar a las entidades involucradas en este pro- ceso, el CCN ha desarrollado un Perfil de Cumplimiento Específico para organiza- ciones en el ámbito de aplicación de la Directiva NIS2 (PCE-NIS2) 2 . Dicho perfil se encuentra recogido en la Guía CCN-STIC 892 e incluye en su ca- pítulo seis una Declaración de Aplicabili- Sector sanitario: de la certificación en el ENS al cumplimiento de la NIS2 C arlos A bad Jefe del Departamento de Ciberseguridad del Centro Criptológico Nacional

RkJQdWJsaXNoZXIy MTI4MzQz