La
Comisión Europea ha llevado a España ante el
Tribunal de Justicia de la Unión Europea (TJUE) por no haber notificado las medidas para transponer al Derecho nacional la directiva comunitaria sobre
ciberseguridad aprobada en 2022, una norma que, en esencia, establece
normas “estrictas” sobre seguridad en las redes y los sistemas de información para las entidades que operan en 18 sectores críticos, entre ellos la sanidad.
Según sostiene Bruselas en un comunicado, la “plena aplicación” de la directiva SRI 2 “es esencial para mejorar la resiliencia de la
Unión Europea (UE) y las capacidades de respuesta en caso de
incidentes de las entidades públicas y privadas que operan en estos sectores críticos y de la UE en su conjunto”.
Los Estados miembro tenían de plazo hasta el 17 de octubre de 2024 para transponer a sus respectivos ordenamientos jurídicos esta norma. La mayoría, indica la Comisión Europea, cumplieron sus deberes en fecha, pero España, Francia, Irlanda y los Países Bajos aún no han notificado al Ejecutivo comunitario si han llegado a hacerlo.
Bruselas explica que les envió cartas de emplazamiento el 28 de noviembre de 2024 y dictámenes motivados el 7 de mayo de 2025. En ambos casos se incluye una solicitud al TJUE para que imponga
sanciones financieras a estos socios comunitarios que consistan en una cantidad a tanto alzado y en multas diarias hasta que notifiquen que han efectuado la transposición completa.
Protección frente al aumento de ciberamenazas
El Ejecutivo dirigido por Ursula von der Leyen subraya que la ciberseguridad “implica la protección de las redes y los sistemas de información, los usuarios y las personas afectadas frente a incidentes y amenazas cibernéticos”. Ante el aumento de las ciberamenazas, la Directiva SRI 2
exige a los Estados miembro que refuercen sus capacidades de ciberseguridad e introduzcan “medidas de gestión de riesgos” y “obligaciones de notificación de incidentes” para las entidades que operen en hasta 18 sectores críticos, entre los que se encuentran la sanidad, la energía, el transporte y el sector público.
El 20 de enero de 2026, como parte de un paquete de ciberseguridad, la Comisión propuso modificaciones específicas de la Directiva SRI 2 para
“aportar una mayor claridad jurídica”. Estas modificaciones, indica Bruselas, “facilitan el cumplimiento de las normas de ciberseguridad y los requisitos de gestión de riesgos por parte de las empresas que operan en la UE”.
Aunque pueda contener afirmaciones, datos o apuntes procedentes de instituciones o profesionales sanitarios, la información contenida en Redacción Médica está editada y elaborada por periodistas. Recomendamos al lector que cualquier duda relacionada con la salud sea consultada con un profesional del ámbito sanitario.