El plan pretende mejorar la seguridad de los hospitales y otros proveedores digitales reforzando la capacidad de prevención y respuesta ante incidentes de ciberseguridad.
"A medida que el sector experimenta una transformación crítica, debe hacer frente a retos importantes como la seguridad de los historiales médicos electrónicos y la integración de la IA en el personal sanitario", declaró Henna Virkkunen, comisaria de Soberanía Tecnológica, Seguridad y Democracia, durante la presentación del plan.
La propuesta es la primera de una serie de medidas previstas para los 100 primeros días del nuevo mandato y pretende concienciar al sector sanitario de los riesgos de la ciberdelincuencia y ofrecer soluciones sobre el terreno, según ha declarado el comisario de Salud, Oliver Várhelyi.
"Ellos [los proveedores sanitarios] tienen que invertir en esto tanto como en los equipos relacionados con los tratamientos a los pacientes", añadió.
Para ello, un nuevo Centro Europeo de Apoyo a la Ciberseguridad para el sector sanitario, dependiente de la Agencia Europea de Ciberseguridad (ENISA), dirigirá los trabajos y aplicará las medidas propuestas. El plan se basa en cuatro prioridades: prevención, detección, respuesta y recuperación y disuasión.
En los próximos dos años se creará un nuevo Consejo Asesor de Ciberseguridad Sanitaria para ofrecer ayuda a los proveedores de servicios sanitarios que quieran evitar el pago de rescates y establecer servicios de respuesta rápida.
La sanidad es objeto de frecuentes ciberataques y la mayoría de los incidentes están relacionados con ransomware debido a la alta sensibilidad de los datos.
Durante y después de la pandemia de COVID-19 se produjo un aumento de los ciberataques a proveedores sanitarios, como demostró el primer análisis de la Agencia de Ciberseguridad de la Unión Europea (ENISA) sobre el panorama de las ciberamenazas para el sector sanitario publicado el año pasado.
El análisis mostró que entre enero de 2021 y marzo de 2023, el sector de la salud de la UE fue testigo de frecuentes ciberataques, con un 53% que afectó a proveedores de atención médica y un 42% a hospitales. "La digitalización es tan fuerte como la confianza que inspira", afirmó Virkunnen.
Aprovechar las herramientas existentes
Los datos sanitarios compartidos, ahora regulados por el Espacio Europeo de Datos Sanitarios (EHDS), complementarán el plan de acción de ciberseguridad.El plan amplía el marco legislativo existente en materia de ciberseguridad, como la Directiva NIS2, la Ley de Ciberseguridad y el Reglamento de Productos Sanitarios.
Sin embargo, algunas de estas directivas se enfrentan a problemas de aplicación. La NIS2, cuyo objetivo es proteger a las entidades críticas frente a incidentes cibernéticos graves, aún no ha sido adoptada por la mayoría de los Estados miembros, que incumplieron el plazo fijado para el 17 de octubre de 2024.
Del mismo modo, el Reglamento de Productos Sanitarios, tras repetidas prórrogas del periodo transitorio para certificar los productos sanitarios con arreglo a las nuevas normas, será revisado con toda probabilidad este año.