Red Seguridad 106

red seguridad tercer trimestre 2024 35 salud 5.0 monográfico dad que detalla los controles, dimensio- nes y niveles de seguridad que aplican a las entidades esenciales e importantes, para garantizar un nivel mínimo de segu- ridad en organizaciones en el ámbito de aplicación del ENS y de la Directiva NIS2. En este documento, se asocian los re- quisitos de la Directiva NIS2 en relación con los requisitos vigentes en materia de ciberseguridad del ENS, con el fin de identificar las medidas de seguridad ne- cesarias del Anexo II, así como aquellas en las que se requieren determinados refuerzos y establece también una me- todología para alinear otros marcos de Seguridad con la Directiva NIS2. No obs- tante, una vez concluya la transposición al ordenamiento jurídico español de la NIS2, el CCN determinará en su caso si se requiere realizar algún ajuste en esta Guía PCE-NIS2. Ciberseguridad en el sector El sector sanitario se encuentra entre los sectores e industrias más afectados por el negocio del cibercrimen en todo el mundo. Por la información que este sector almacena y por los servicios que presta, es fundamental garantizar la máxima seguridad de sus sistemas de información. Por este motivo, desde el CCN se im- pulsó la creación de un grupo de traba- jo, en colaboración con la Conselleria de Sanidad de la Comunitat Valenciana, para elaborar un Perfil de Cumplimiento Específico (PCE-SALUD) recogido en la guía CCN-STIC 891. Dentro de estos tra- bajos conjuntos, también se desarrolló una propuesta de Declaración de Apli- cabilidad común para todos los centros de atención sanitaria junto con una Po- lítica de Seguridad adaptada, y se esta- blecieron directrices para la realización del preceptivo análisis de riesgos con el fin de facilitar la adecuación al ENS por parte de estas entidades. Estas iniciativas no quedaron solo en el plano teórico. Tras la publicación del PCE-Salud, la Conselleria de Sanidad de la Comunitat Valenciana, en coordi- nación con el CCN, puso en marcha un proyecto piloto en la Fundación para la Investigación del Hospital Politécnico de La Fe, uno de los centros de inves- tigación biomédica más destacados de España. Al cabo de unos meses, este centro logró certificarse en el Perfil de Cumplimiento de Requisitos Esenciales de Seguridad (CCN-STIC 890C), lo que representó el primer escalón hacia la plena adecuación a las medidas exigi- das en el perfil sectorial de salud, más estricto. Este proyecto piloto no solo de- mostró la viabilidad de la certificación, sino que también sirvió como modelo para futuras implementaciones en otras entidades sanitarias. En estos momentos, más de una dece- na de hospitales han logrado certificar- se en el ENS, incluyendo tanto grandes centros hospitalarios como instituciones de atención primaria y de investigación sanitaria especializada. Además, varios servicios de salud autonómicos que prestan servicio a hospitales públicos también han obtenido la certificación, lo que refuerza a su vez la ciberseguridad en el ámbito público del sector sanitario. No obstante, queda todavía trabajo por hacer en este ámbito y es preciso dispo- ner de mayores recursos para fortalecer la ciberseguridad de este sector. ENS y Directiva NIS2 En la Unión Europa, la Directiva NIS2 establece a alto nivel las medidas de ciberseguridad que se deben implan- tar. A nivel nacional, el ENS es un mar- co normativo estandarizado, que se ha ido actualizando desde su entrada en vigor hace ya 14 años, para reforzar las capacidades de defensa frente a las ci- beramenazas sobre el sector público y las entidades colaboradoras que sumi- nistran tecnologías y servicios al mismo. Los Perfiles de Cumplimiento Específico desarrollados por el CCN ofrecen la ade- cuada proporcionalidad para adecuar las exigencias de la Directiva europea. Por este motivo, el CCN ya está tra- bajando en la actualización de la guía CCN-STIC 891 Perfil de Cumplimiento Especifico para Salud con el objetivo de alinearla más estrechamente con los re- quisitos de la Directiva NIS2, pendiente aún de su trasposición al ordenamiento jurídico español. El cumplimiento del ENS aporta a las organizaciones una só- lida y continúa protección de la informa- ción que manejan y de los servicios que prestan, facilitando y racionalizando la implantación de un conjunto de medidas de seguridad. En este punto, es impor- tante resaltar que el Esquema Nacional de Seguridad ha posicionado a España como un referente en la materia en la Unión Europea. Referencias 1 El artículo 2 de la directiva señalaba que “los servicios esenciales depen- dientes de las redes y sistemas de infor- mación comprendidos en los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protec- ción de las infraestructuras críticas. La citada Ley describe un servicio esencial como “aquel necesario para el mante- nimiento de las funciones sociales bási- cas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Insti- tuciones del Estado y las Administracio- nes Públicas”. 2 Para facilitar la conformidad con el ENS a determinadas entidades, el CCN tiene facultad para desarrollar un conjunto de medidas de seguridad recogidas en un perfil de cumplimiento específico.