El "bono" de ciberseguridad a hospitales exige evaluación digital previa

La Comisión Europea avanza en su estrategia para blindar la seguridad digital en los hospitales y centros de salud de los países miembro. Uno de los aspectos más destacados del plan es la entrega de bonos de ciberseguridad gestionados por los Estados miembro, pero, ¿Cómo funcionará esta medida? Tal y como explica a Redacción Médica Thomas Regnier, portavoz de la Comisión para la Soberanía Tecnológica de este organismo, se trata de un recurso que será financiado a través de programas como Digital Europe y serán distribuidos en colaboración con la Agencia Europea de Ciberseguridad (ENISA). El acceso a los mismos se determinará a través de evaluaciones de madurez digital, con el objetivo de asegurar un reparto de fonodos indiscriminado.

Este Plan europeo de Ciberseguridad para hospitales y centros de salud prevé avanzar en diversos objetivos. Además de los bonos, la Comisión Europea de Salud trabaja en la puesta en marcha de un servicio de respuesta rápida ante ciberataques y la inclusión de formación para sanitarios. Antes de presentar el plan definitivo en 2025, este organismo iniciará una consulta con profesionales del sector sanitario para ajustar los objetivos a las necesidades actuales de los sistemas de salud.

Bonos de ciberseguridad para hospitales

La creación de bonos de ciberseguridad para hospitales se enmarca entre las áreas clave del plan europeo. En concreto, se desarrolla dentro del objetivo de reforzar la prevención ante posibles amenazas, que planea también dotar a los centros sanitarios de mejores prácticas de seguridad con “medidas de preparación forzadas”. Junto a esto, los bonos llegan como un apoyo financiero para que los proveedores sanitarios puedan dar los pasos necesarios en esta materia.

Serán financiados a través del programa Digital Europe y su gestión recae en cada Estado miembro, en cooperación con la Agencia Europea de Ciberseguridad. Según especifica Regnier, los hospitales no podrán acceder de inmediato a esta financiación, sino que deberán someterse a pruebas de preparación y evaluaciones de madurez digital.

Estos análisis determinarán qué centros tienen mayor urgencia para reforzar su seguridad digital y recibirán los fondos en primer lugar. Se trata de un enfoque que busca priorizar la asignación de recursos según el nivel de riesgo de cada institución sanitaria, evitando un reparto indiscriminado y garantizando que los hospitales más vulnerables refuercen sus sistemas cuanto antes.

Centro europeo de apoyo a la ciberseguridad en hospitales

Otro de los avances clave del plan será la creación de un Centro Europeo de Apoyo a la Ciberseguridad, impulsado por la ENISA y financiado directamente por la Comisión Europea.

Tal y como detalla Regnier, su objetivo es proporcionar “un esfuerzo coordinado para apoyar la implementación de medidas de seguridad sólidas y proteger los datos de los pacientes” así como “herramientas y servicios personalizados” para mejorar las capacidades de los centros sanitarios en materia de ciberseguridad.

En España, este centro trabajará en estrecha colaboración con el Instituto Nacional de Ciberseguridad (Incibe) y con las autoridades autonómicas para adaptar las medidas a la realidad del sistema sanitario español.

Respuesta rápida ante ciberataques en el SNS

A su vez, el plan europeo prevé la puesta en marcha de un servicio de respuesta rápida ante incidentes de ciberseguridad en el sector sanitario. Este sistema estará integrado en la Reserva de Ciberseguridad de la UE y tendrá como misión “minimizar el impacto de los ciberataques en la atención a los pacientes y los servicios sanitarios”, comenta Regnier.

Bruselas no ha concretado todavía los tiempos de respuesta, pero ha asegurado que el objetivo es ofrecer asistencia inmediata en caso de crisis, protegiendo tanto la infraestructura digital como los datos personales.

Esta medida es una de las áreas clave en las que se fundamenta el plan que, además, propone desarrollar “manuales” para que las organizaciones sanitarias sepan cómo actuar ante incidentes como los ataques de “ransomware”.

Formación para sanitarios en ciberseguridad

Es evidente que la digitalización del sistema sanitario ha incrementado los riesgos de ciberataques. Por este motivo, la Comisión Europea quiere que los profesionales sanitarios formen parte activa de la protección de los datos clínicos. Para ello, Regnier detalla que el plan de ciberseguridad ofrece “acceso a capacitación para profesionales de la salud”, es decir, programas de formación para que el personal pueda “comprender e implementar medidas de seguridad sólidas y proteger los datos de los pacientes”.

Además, el plan de ciberseguridad de la UE se desarrollará en paralelo al Espacio Europeo de Datos Sanitarios, que busca garantizar la interoperabilidad y seguridad de los historiales médicos electrónicos en toda Europa. Las medidas previstas en este plan reforzarán la protección de datos sensibles y se alinearán con normativas como el Reglamento General de Protección de Datos (RGPD) y la Directiva NIS2 sobre ciberseguridad.

Implementación del plan de ciberseguridad sanitaria

Según explica Regnier, cada país podrá adaptar la implementación del plan de ciberseguridad a sus necesidades específicas, permitiendo estrategias nacionales y regionales para garantizar su efectividad.

A pesar de que este plan de acción se centra principalmente en la ciberseguridad de los hospitales y los proveedores de servicios sanitarios, Regnier apunta que las medidas “también deben abordar los riesgos que afectan a la cadena de suministro y al ecosistema en general”.

“Los proveedores de servicios sanitarios se beneficiarán del plan al recibir orientación y apoyo para aplicar medidas de seguridad sólidas y proteger los datos de los pacientes, incluida la aplicación de medidas de seguridad sólidas”, añade.

Por último, señala que la Comisión está iniciando “una conversación más amplia con todas las partes interesadas”, incluidos los proveedores de atención sanitaria, los Gobiernos y los expertos, para escuchar sus ideas y comentarios y presentará recomendaciones más específicas para fines de 2025 para perfeccionar aún más el plan de acción. “Este plan es solo el comienzo”, concluye Regnier.