La reciente inclusión del sector sanitario en el ámbito de aplicación de la Directiva NIS2 obliga a las entidades públicas y privadas que lo conforman a adaptar sus sistemas a los estrictos requisitos de ciberseguridad europeos. Afortunadamente, en nuestro país la certificación en el Esquema Nacional de Seguridad (ENS) ofrece una base sólida para cumplir con estas exigencias. De hecho, el Centro Criptológico Nacional (CCN) ha ido desarrollando diversos Perfiles de Cumplimiento Específicos para facilitar a las entidades de este sector el cumplimiento tanto del ENS como de la Directiva NIS2.
Una de las novedades de la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, conocida como Directiva NIS2, ha sido la incorporación del sector sanitario entre los sectores de alta criticidad y otros sectores críticos (Anexo I y II) a los que les afecta esta normativa, cuya trasposición a la legislación española debe realizarse antes del 17 de octubre de este año. Aunque su predecesora, la Directiva NIS, ya incluía el sector salud como servicio esencial1 , la nueva normativa ha ampliado su ámbito de actuación al sector sanitario para incluir tanto a entidades prestadoras de asistencia sanitaria (públicas o privadas) como a laboratorios de referencia de la Unión Europea, entidades que realizan actividades de investigación y desarrollo de medicamentos, fabricantes de productos farmacéuticos de base y especialidades farmacéuticas, fabricantes de productos sanitarios esenciales en situaciones de emergencia de salud pública, y fabricantes de productos sanitarios y productos sanitarios para diagnóstico in vitro.
En España, la respuesta a todas las exigencias de ciberseguridad dispuestas en la nueva directiva se encuentra ya recogida casi en su totalidad en el ENS, en el que se viene trabajando desde el año 2010 y cuya última actualización se publicó en el Real Decreto 311/2022, de 3 de mayo. De hecho, todas las entidades públicas, y una gran parte de las privadas, dentro del ámbito de aplicación del artículo 2 de la Directiva NIS, se encuentran dentro del alcance del ENS, entre ellas todas las relacionadas con el sector salud. Precisamente, para dar respuesta a las disposiciones de la nueva normativa europea y para acompañar a las entidades involucradas en este proceso, el CCN ha desarrollado un Perfil de Cumplimiento Específico para organizaciones en el ámbito de aplicación de la Directiva NIS2 (PCE-NIS2)2.
Dicho perfil se encuentra recogido en la Guía CCN-STIC 892 e incluye en su capítulo seis una Declaración de Aplicabilidad que detalla los controles, dimensiones y niveles de seguridad que aplican a las entidades esenciales e importantes, para garantizar un nivel mínimo de seguridad en organizaciones en el ámbito de aplicación del ENS y de la Directiva NIS2.
En este documento, se asocian los requisitos de la Directiva NIS2 en relación con los requisitos vigentes en materia de ciberseguridad del ENS, con el fin de identificar las medidas de seguridad necesarias del Anexo II, así como aquellas en las que se requieren determinados refuerzos y establece también una metodología para alinear otros marcos de Seguridad con la Directiva NIS2. No obstante, una vez concluya la transposición al ordenamiento jurídico español de la NIS2, el CCN determinará en su caso si se requiere realizar algún ajuste en esta Guía PCE-NIS2.
Ciberseguridad en el sector sanitario
El sector sanitario se encuentra entre los sectores e industrias más afectados por el negocio del cibercrimen en todo el mundo. Por la información que este sector almacena y por los servicios que presta, es fundamental garantizar la máxima seguridad de sus sistemas de información.
Por este motivo, desde el CCN se impulsó la creación de un grupo de trabajo, en colaboración con la Conselleria de Sanidad de la Comunitat Valenciana, para elaborar un Perfil de Cumplimiento Específico (PCE-SALUD) recogido en la guía CCN-STIC 891. Dentro de estos trabajos conjuntos, también se desarrolló una propuesta de Declaración de Aplicabilidad común para todos los centros de atención sanitaria junto con una Política de Seguridad adaptada, y se establecieron directrices para la realización del preceptivo análisis de riesgos con el fin de facilitar la adecuación al ENS por parte de estas entidades.
Estas iniciativas no quedaron solo en el plano teórico. Tras la publicación del PCE-Salud, la Conselleria de Sanidad de la Comunitat Valenciana, en coordinación con el CCN, puso en marcha un proyecto piloto en la Fundación para la Investigación del Hospital Politécnico de La Fe, uno de los centros de investigación biomédica más destacados de España. Al cabo de unos meses, este centro logró certificarse en el Perfil de Cumplimiento de Requisitos Esenciales de Seguridad (CCN-STIC 890C), lo que representó el primer escalón hacia la plena adecuación a las medidas exigidas en el perfil sectorial de salud, más estricto. Este proyecto piloto no solo demostró la viabilidad de la certificación, sino que también sirvió como modelo para futuras implementaciones en otras entidades sanitarias.
En estos momentos, más de una decena de hospitales han logrado certificarse en el ENS, incluyendo tanto grandes centros hospitalarios como instituciones de atención primaria y de investigación sanitaria especializada. Además, varios servicios de salud autonómicos que prestan servicio a hospitales públicos también han obtenido la certificación, lo que refuerza a su vez la ciberseguridad en el ámbito público del sector sanitario. No obstante, queda todavía trabajo por hacer en este ámbito y es preciso disponer de mayores recursos para fortalecer la ciberseguridad de este sector.
ENS y Directiva NIS2 en el sector salud
En la Unión Europa, la Directiva NIS2 establece a alto nivel las medidas de ciberseguridad que se deben implantar. A nivel nacional, el ENS es un marco normativo estandarizado, que se ha ido actualizando desde su entrada en vigor hace ya 14 años, para reforzar las capacidades de defensa frente a las ciberamenazas sobre el sector público y las entidades colaboradoras que suministran tecnologías y servicios al mismo. Los Perfiles de Cumplimiento Específico desarrollados por el CCN ofrecen la adecuada proporcionalidad para adecuar las exigencias de la Directiva europea.
Por este motivo, el CCN ya está trabajando en la actualización de la guía CCN-STIC 891 Perfil de Cumplimiento Especifico para Salud con el objetivo de alinearla más estrechamente con los requisitos de la Directiva NIS2, pendiente aún de su trasposición al ordenamiento jurídico español. El cumplimiento del ENS aporta a las organizaciones una sólida y continúa protección de la información que manejan y de los servicios que prestan, facilitando y racionalizando la implantación de un conjunto de medidas de seguridad. En este punto, es importante resaltar que el Esquema Nacional de Seguridad ha posicionado a España como un referente en la materia en la Unión Europea.
Referencias
1 El artículo 2 de la directiva señalaba que «los servicios esenciales dependientes de las redes y sistemas de información comprendidos en los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas. La citada Ley describe un servicio esencial como «aquel necesario para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas».
2 Para facilitar la conformidad con el ENS a determinadas entidades, el CCN tiene facultad para desarrollar un conjunto de medidas de seguridad recogidas en un perfil de cumplimiento específico.