El pasado 15 de enero de 2025, la Comisión Europea puso en marcha un Plan de acción europeo para reforzar la ciberseguridad de hospitales y proveedores de asistencia sanitaria.
La digitalización sanitaria, la cual supone un avance, permite prestar mejores servicios a los pacientes gracias a las innovaciones, como hospitales médicos electrónicos, la telemedicina y los diagnósticos basados en la inteligencia artificial, lo que supone grandes riesgos, como son los ciberataques, los cuales pueden retrasar los procedimientos médicos, crear bloqueos en las salas de urgencias, alterar tratamientos y perturbar los servicios que se prestan.
Dicho plan plantea un paso importante para proteger el sector sanitario contra las ciberamenazas y se centra en cuatro prioridades:
- Mejor prevención:
El plan refuerza la capacidad del sector sanitario para prevenir incidentes de ciberseguridad mediante medidas avanzadas de preparación.
Los Estados miembros también pueden introducir bonos de ciberseguridad para aumentar la inversión en ciberseguridad a los hospitales y a los pequeños prestadores de asistencia sanitaria.
Y por último, se crearán recursos de aprendizaje en materia de ciberseguridad para los profesionales sanitarios.
- Mejor detección y determinación de amenazas:
El Centro de Apoyo a la Ciberseguridad para hospitales y prestadores de asistencia sanitaria establecerá de aquí a 2026 un servicio de alerta temprana a escala de la Unión Europea para avisos casi en tiempo real sobre posibles ciberamenazas.
- Respuesta a los ciberataques para reducir al mínimo su incidencia:
El Plan propone un servicio de respuesta rápida para el sector sanitario en el marco de la Reserva de Ciberseguridad de la Unión Europea, establecida en el Reglamento de Cibersolidaridad, con apoyo de proveedores de servicios confiables. También propone ejercicios nacionales de ciberseguridad y la elaboración de manuales de actuación para guiar a las organizaciones sanitarias frente a las amenazas específicas, como el ramsomware. Además, se anima a los Estados miembros a requerir la notificación de pagos de rescates para ofrecer apoyo y facilitar investigaciones policiales.
- Disuasión:
Protección de los sistemas sanitarios europeos, disuadiendo a los ciberdelincuentes que pretendan atacarlos, con el uso de herramientas de ciberdiplomacia, como respuesta diplomática común de todos los estados miembros a las actividades informáticas malintencionadas.
El plan de acción se aplicará entrelazando las acciones de los prestadores de servicios sanitarios, los Estados miembros y los proveedores de ciberseguridad, con la finalidad de maximizar el beneficio de este con el objetivo de garantizar la asistencia sanitaria a pacientes.
Próximas etapas
El Plan de acción es el inicio de un proceso para mejorar la ciberseguridad en el sector sanitario de los Estados miembros. Durante este 2025 y 2026 se irán llevando a la práctica progresivamente medidas específicas.
Se llevará a cabo una consulta pública sobre este plan, que estará abierta a todos los ciudadanos y partes interesadas. Las conclusiones de la consulta se incorporarán a futuras recomendaciones a finales de este 2025.