Europa diseña un "bono" para financiar la ciberseguridad en los hospitales

La ciberseguridad en el sector sanitario se ha convertido en una prioridad global. La creciente digitalización ha mejorado la atención médica, pero también ha expuesto a hospitales y centros de salud a un número creciente de ataques informáticos. Para reforzar la protección de estas infraestructuras críticas, la Comisión Europea ha lanzado un plan de acción con medidas específicas, entre las que destaca la creación de un “bono de ciberseguridad”, que permitirá a los hospitales acceder a financiación para fortalecer su defensa digital.

No cabe duda de que la llegada de las nuevas tecnologías a los entornos sanitarios ha trasformado la atención con herramientas como los historiales médicos electrónicos, la telemedicina y los diagnósticos basados en inteligencia artificial. Sin embargo, este progreso ha traído consigo un aumento de los ciberataques, que en 2023 fueron más frecuentes en el ámbito sanitario que en cualquier otro sector crítico, con un total de 309 incidentes graves notificados por los Estados pertenecientes a la Comisión Europea.

Plan de ciberseguridad para proteger hospitales europeos

El nuevo plan de acción de la UE es una de las responsabilidades de la Comisión de Salud y Bienestar Animal de la Comisión Europea. Busca fortalecer la detección de amenazas, la preparación y la capacidad de respuesta ante ciberataques, con el objetivo de garantizar un entorno más seguro tanto para pacientes como para profesionales sanitarios. La propuesta incluye la creación de un Centro paneuropeo de apoyo a la ciberseguridad para hospitales y proveedores de servicios sanitarios, bajo la dirección de ENISA, la agencia de ciberseguridad de la UE. Este centro proporcionará orientación, herramientas y formación personalizada para reforzar la resiliencia digital del sector.

Según indica la propia Comisión Europea, la iniciativa forma parte de “un marco más amplio” de la UE para proteger infraestructuras críticas y constituye la “primera iniciativa sectorial específica” en este ámbito. La implementación del plan se desarrollará “en colaboración con los proveedores de servicios sanitarios, los Estados miembro y la comunidad de ciberseguridad”.

Cuatro prioridades para la seguridad digital sanitaria

El plan de acción se articula en torno a cuatro áreas clave. La primera es el refuerzo de la prevención, dotando a los hospitales de mejores prácticas de ciberseguridad “mediante medidas de preparación reforzadas” y desarrollando recursos de aprendizaje para los profesionales sanitarios. En este marco, la Comisión Europea establece que los Estados miembro podrán conceder “bonos de ciberseguridad” para apoyar financieramente a hospitales y proveedores sanitarios de menor tamaño en la implementación de medidas de protección.

La segunda prioridad es la mejora en la detección de amenazas. Para ello, el Centro de Apoyo a la Ciberseguridad desarrollará un servicio de alerta temprana a nivel europeo, que proporcionará notificaciones “casi en tiempo real” sobre posibles ciberataques, tal y como detalla este organismo. Este sistema estará operativo a partir de 2026 y permitirá una respuesta más ágil ante amenazas emergentes.

En tercer lugar, el plan fortalece la capacidad de respuesta a los ciberataques con la creación de un servicio de intervención rápida dentro de la Reserva de Ciberseguridad de la UE. Esta reserva, establecida en la Ley de Solidaridad Cibernética, permitirá a hospitales y otros centros sanitarios contar con asistencia inmediata de proveedores especializados en ciberseguridad. También propone desarrollar “manuales” para que las organizaciones sanitarias sepan cómo actuar ante incidentes como los ataques de “ransomware”.

Por último, la UE quiere disuadir a los ciberdelincuentes mediante herramientas diplomáticas como la Caja de Herramientas de Diplomacia Cibernética, que permite a los Estados miembro coordinar una respuesta conjunta a actividades cibernéticas maliciosas dirigidas contra la sanidad.

España refuerza su estrategia en ciberseguridad sanitaria

El lanzamiento del plan europeo coincide con los esfuerzos de España por fortalecer la ciberseguridad en su propio sistema sanitario. El Ministerio del Interior ya trabaja en el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, que reconoce al sector sanitario como una infraestructura crítica que requiere medidas específicas de protección ante ciberataques.

Esta normativa, aprobada en primera vuelta por el Consejo de Ministros, establece que hospitales, centros de salud y laboratorios de referencia de la UE deberán adoptar medidas avanzadas de seguridad y notificar cualquier incidente significativo que afecte a su operativa. Además, el anteproyecto contempla la creación del Centro Nacional de Ciberseguridad, un organismo que se encargará de coordinar las estrategias de protección digital en sectores esenciales como la sanidad, la energía o el transporte.

Según el Ministerio del Interior, esta nueva legislación permitirá elevar los estándares de ciberseguridad en el país y alinear la estrategia nacional con las directrices de la Unión Europea. En este sentido, el Gobierno español también ha señalado que la sanidad es uno de los sectores más vulnerables a los ciberataques y que se establecerán protocolos específicos para reforzar su seguridad digital.

Futuro del plan de ciberseguridad europeo

El plan de acción de la Comisión Europea marca el inicio de un proceso progresivo que se desplegará entre 2025 y 2026. Por el momento, este organismo prevé poner en marcha “en breve” una consulta pública sobre este esta propuesta, que estará abierta a todos los ciudadanos y partes interesadas.

Esta iniciativa se apoya en un marco legislativo sólido, que incluye la Directiva NIS2, que clasifica a los hospitales como infraestructuras de alta criticidad, y la Ley de Ciberresiliencia, la primera legislación de la UE que impone requisitos obligatorios de ciberseguridad para productos con componentes digitales.