Moncloa blinda al SNS de ataques informáticos en su Ley de Ciberseguridad

El Consejo de Ministros ha aprobado, en primera vuelta, un anteproyecto de Ley para mejorar la coordinación y gobernanza en materia de ciberseguridad. La estrategia, en la han participado los departamentos de Defensa, Función Pública e Interior, está orientada a blindar de amenazas informáticas al sector de la sanidad y otros considerados esenciales. Según ha informado Fernando Grande-Marlaska, ministro de Interior, el paso será recabar información, de manera individualizada, de los “ciberriesgos” que afrontan estas entidades para “elevar sus niveles de seguridad y prevenir cualquier incidente”. "El anteproyecto crea el Centro Nacional de Ciberseguridad, que se encargará de la dirección, impulso y coordinación de todo este mecanismo", ha anunciado.

El Gobierno ha informado de que la norma está dirigida a trasponer al ordenamiento nacional la Directiva 2022/2555 del Parlamento europeo y del Consejo (NIS-2).

El anteproyecto aprobado este martes precisa las “entidades públicas o privadas afectadas por las normas de ciberseguridad que establece” y crea el Centro Nacional de Ciberseguridad, que se encargará de la dirección, impulso y coordinación en la materia, garantizará la cooperación intersectorial y transfronteriza con otras autoridades competentes y será autoridad de gestión de crisis en caso de incidentes de entidad.

En este sentido, subraya que el objetivo de la norma “es reforzar la protección de las redes y sistemas de información que son ya cruciales para el desarrollo de la inmensa mayoría de las actividades sociales y económicas actuales”.

Las citadas entidades deberán estar encuadradas en sectores considerados de “alta criticidad para el normal funcionamiento de la vida social y económica del país”, como la sanidad, la energía, el transporte, y la banca.

Estos entes deberán realizar una evaluación individualizada de su riesgo y poner en marcha una serie de actuaciones para garantizar y elevar los niveles de seguridad de sus redes y sistemas de información y prevenir el riesgo de incidentes.

Además, están obligadas a notificar los incidentes significativos que se produzcan en su operativa o en la prestación de sus servicios, tanto si son redes y servicios propios como si pertenecen a proveedores externos, así como a comunicar a la mayor brevedad a los destinatarios de sus servicios, ya sean personas físicas o jurídicas, cualquier ciberamenaza significativa que les pueda afectar, así como las medidas o soluciones que pueden aplicar como respuesta.

Los hospitales españoles, objetivo de ciberataques

Lo cierto es que las empresas e instituciones del sector sanitario se encuentran entre las que más ciberataques reciben. Según revela un informe de Check Point, este sector fue víctima de 2.361 ataques semanales por compañía en el primer semestre del pasado año en España y Portugal.

En nuestro país, el más relevante fue el que sufrió el Hospital Clínic de Barcelona, que el pasado marzo reconoció que se podría haber comprometido la confidencialidad de datos de pacientes y trabajadores debido a un ataque de tipo ‘ransomware’.

Solo a nivel asistencial, el ciberataque obligó al centro a desprogramar 150 cirugías no urgentes, 3.000 consultas externas y 500 extracciones.

Otro incidente de seguridad detectado el pasado 9 de julio en las páginas web de los hospitales Clínico San Cecilio y Virgen de las Nieves, en Granada, así como en las del Área de Gestión Sanitaria Sur de la provincia y del Distrito Granada-Metropolitano afectó a datos como DNI o correos electrónicos de unos 50.000 profesionales sanitarios, sin impactar en infraestructuras críticas ni en servicios asistenciales.