Sanidad, sector crítico en el nuevo plan de ciberseguridad del Gobierno

El Ministerio del Interior ha sacado a audiencia pública el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, que reconoce al sector sanitario como uno de los sectores críticos que requiere medidas específicas de protección ante ciberataques. Este proceso de participación ciudadana, que estará abierto hasta el próximo 10 de febrero, busca recoger aportaciones sobre una norma que pretende blindar las infraestructuras esenciales de España — como son los hospitales y los centros de salud —, contra las crecientes amenazas en el ámbito digital.

El anteproyecto establece que el sector sanitario, junto con otros sectores como la energía, el transporte o la banca, forma parte de las entidades esenciales para el funcionamiento de la vida social y económica del país. Esto significa que los hospitales, centros de salud y otras infraestructuras relacionadas (como los laboratorios de referencia de la UE o las entidades que fabrican productos farmacéuticos) deberán implementar medidas de seguridad avanzadas para prevenir incidentes y gestionar los riesgos asociados a los ciberataques.

Sanidad, un pilar crítico en la estrategia de ciberseguridad

Esta normativa, que fue aprobada por el Consejo de Ministros en primera vuelta el martes 14 de enero, ha contado con la participación de los departamentos de Defensa, Función Pública e Interior. Según informaba Fernando Grande-Marlaska, ministro de Interior, el objetivo será el de recabar información de manera individualizada, de los “ciberriesgos” que afrontan estas entidades para “elevar sus niveles de seguridad y prevenir cualquier incidente”. "El anteproyecto crea el Centro Nacional de Ciberseguridad, que se encargará de la dirección, impulso y coordinación de todo este mecanismo", anunciaba en la rueda de prensa posterior a la reunión.

Estas palabras se corresponden con las recogidas en el proyecto de ley, que contempla, entre otras materias, que las entidades sanitarias evalúen sus riesgos de manera individualizada (tal y como había señalado el ministro) y adopten acciones destinadas a garantizar la protección de sus redes y sistemas de información.

Además, estarán obligadas a notificar cualquier incidente significativo que afecte su operativa o los servicios prestados por sus proveedores externos. La notificación deberá hacerse tanto a las autoridades como a los usuarios potencialmente impactados por estas amenazas.

El Centro Nacional de Ciberseguridad, eje de la nueva estrategia

Uno de los puntos clave del anteproyecto es la creación del Centro Nacional de Ciberseguridad, que será la autoridad responsable de coordinar todas las actividades relacionadas con la seguridad de las redes y sistemas de información. Este organismo tendrá como misión principal garantizar la cooperación intersectorial y transfronteriza, además de actuar como autoridad de gestión de crisis en caso de incidentes graves.

El Centro también trabajará en estrecha colaboración con los Equipos de Respuesta a Incidentes de Ciberseguridad (CSIRT) nacionales, encargados de dar soporte técnico y operativo ante posibles amenazas. En el caso de las entidades sanitarias, se establecerán canales específicos de comunicación para garantizar una respuesta rápida y efectiva ante cualquier contingencia.

Además, el anteproyecto también contempla la creación de una Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes, que permitirá un intercambio rápido de información técnica entre las entidades afectadas y las autoridades.