Un sector sanitario resiliente a las ciberamenazas La digitalización ha revolucionado la asistencia sanitaria, al mejorar los servicios que se prestan a los pacientes gracias a innovaciones como los historiales médicos electrónicos, la telemedicina y los diagnósticos basados en la inteligencia artificial. No obstante, los ciberataques pueden tener graves consecuencias, como retrasos en los procedimientos médicos, bloqueos en las Urgencias y alteraciones de servicios vitales.El sector sanitario es uno de los más afectados por los ciberataques, con un número cada vez mayor de incidentes en los últimos años, más que en cualquier otro sector crítico de la UE. Cifras clave 309 incidentesnotificados en 2023 relacionados con la ciberseguridad en el sector sanitarioel 54 %de los ciberataques en el sector sanitario implican programas de secuestro Para hacer frente a esta situación, la UE está tomando medidas para proteger la asistencia sanitaria como una infraestructura crítica. Un nuevo plan de acción europeo tiene por objeto garantizar que los sistemas sanitarios, las instituciones y los productos sanitarios conectados sean resilientes frente a las ciberamenazas, salvaguardando la seguridad de los pacientes y la confianza en el ámbito digital.El plan de acción es la primera de las iniciativas que la Comisión presentará durante los primeros cien días del nuevo mandato, tal como anunció la presidenta Von der Leyen en sus orientaciones políticas. ¿Qué se propone en el plan de acción? El plan de acción europeo se basa en la legislación vigente y tiene por objeto establecer un centro paneuropeo de apoyo a la ciberseguridad para hospitales y prestadores de asistencia sanitaria que ofrezca orientación, herramientas, servicios y formación adaptados. Se basa en cuatro prioridades:Mejor prevención. El plan contribuye a fomentar las capacidades del sector sanitario en materia de prevención de los incidentes de ciberseguridad a través de mejores medidas de preparación, tales como orientaciones sobre la aplicación de prácticas cruciales de ciberseguridad. En segundo lugar, los Estados miembros también pueden introducir bonos de ciberseguridad para prestar asistencia financiera a los hospitales y prestadores de asistencia sanitaria de tamaño muy pequeño, pequeño y mediano. Por último, la UE también creará recursos de aprendizaje en materia de ciberseguridad para los profesionales sanitarios.Mejor detección y determinación de amenazas. El centro de apoyo a la ciberseguridad para hospitales y prestadores de asistencia sanitaria establecerá de aquí a 2026 un servicio de alerta temprana a escala de la UE para avisos casi en tiempo real sobre posibles ciberamenazas.Respuesta a los ciberataques para reducir al mínimo su incidencia. El plan propone un servicio de respuesta rápida para el sector sanitario en el marco de la reserva de ciberseguridad de la UE. Este reserva, contemplada en el Reglamento de Cibersolidaridad, presta servicios de respuesta a incidentes de proveedores de servicios privados de confianza. Como parte del plan, pueden llevarse a cabo ejercicios nacionales de ciberseguridad, además de elaborarse manuales de actuación para orientar a las organizaciones sanitarias a la hora de responder a amenazas concretas en materia de ciberseguridad, por ejemplo, los programas de secuestro de archivos. Se anima a los Estados miembros a que soliciten la notificación de los pagos de rescate de esos archivos a las entidades, a fin de poder prestarles el apoyo que necesiten y facilitar la persecución del delito por la policía.Disuasión: protección de los sistemas sanitarios europeos, disuadiendo a los autores de ciberamenazas de atacarlos. Esto comprende el uso del conjunto de instrumentos de ciberdiplomacia, una respuesta diplomática común de la UE a las actividades informáticas malintencionadas. Qué puede interesarteEl plan de acción creará un entorno más seguro y protegido para los pacientes garantizando que: los datos personales y los historiales médicos están protegidoslos servicios sanitarios no se ven alterados por ciberataquesse refuerza la confianza en los prestadores de asistencia sanitaria, que están tomando medidas para prevenir y responder a las ciberamenazas. Cómo funcionará El plan de acción se ejecutará en estrecha colaboración con los prestadores de asistencia sanitaria, el sector sanitario, los Estados miembros y la comunidad de ciberseguridad, con la Agencia de la Unión Europea para la Ciberseguridad (ENISA) en su centro.Contribuciones a la consultaPara recabar aportaciones, la Comisión ha puesto en marcha una consulta específica. Los resultados contribuirán además a las recomendaciones que la Comisión tiene previsto presentar para finales de año.Ir a la encuesta Siguientes pasos T1 2025Creación de un consejo consultivo sobre ciberseguridad sanitaria conjuntoT2 2025Inicio de los trabajos para establecer un centro europeo de apoyo a la ciberseguridad para hospitales y prestadores de asistencia sanitariaPuesta en marcha de una consulta con las partes interesadasPara finales de 2025Presentación de recomendaciones para seguir perfeccionando el plan de acción2025-2026Puesta en marcha de medidas específicas definidas en el planRealización de una evaluación anual de la madurez cibernética en el ámbito de la salud Enlaces relacionados Un nuevo plan para la prosperidad y la competitividad sostenibles en EuropaPlan de Acción Europeo sobre la Ciberseguridad de los Hospitales y los Prestadores de Asistencia SanitariaCiberseguridadAgencia de la Unión Europea para la Ciberseguridad (ENISA)
La digitalización ha revolucionado la asistencia sanitaria, al mejorar los servicios que se prestan a los pacientes gracias a innovaciones como los historiales médicos electrónicos, la telemedicina y los diagnósticos basados en la inteligencia artificial. No obstante, los ciberataques pueden tener graves consecuencias, como retrasos en los procedimientos médicos, bloqueos en las Urgencias y alteraciones de servicios vitales.El sector sanitario es uno de los más afectados por los ciberataques, con un número cada vez mayor de incidentes en los últimos años, más que en cualquier otro sector crítico de la UE.
Se basa en cuatro prioridades:Mejor prevención. El plan contribuye a fomentar las capacidades del sector sanitario en materia de prevención de los incidentes de ciberseguridad a través de mejores medidas de preparación, tales como orientaciones sobre la aplicación de prácticas cruciales de ciberseguridad. En segundo lugar, los Estados miembros también pueden introducir bonos de ciberseguridad para prestar asistencia financiera a los hospitales y prestadores de asistencia sanitaria de tamaño muy pequeño, pequeño y mediano. Por último, la UE también creará recursos de aprendizaje en materia de ciberseguridad para los profesionales sanitarios.Mejor detección y determinación de amenazas. El centro de apoyo a la ciberseguridad para hospitales y prestadores de asistencia sanitaria establecerá de aquí a 2026 un servicio de alerta temprana a escala de la UE para avisos casi en tiempo real sobre posibles ciberamenazas.Respuesta a los ciberataques para reducir al mínimo su incidencia. El plan propone un servicio de respuesta rápida para el sector sanitario en el marco de la reserva de ciberseguridad de la UE. Este reserva, contemplada en el Reglamento de Cibersolidaridad, presta servicios de respuesta a incidentes de proveedores de servicios privados de confianza. Como parte del plan, pueden llevarse a cabo ejercicios nacionales de ciberseguridad, además de elaborarse manuales de actuación para orientar a las organizaciones sanitarias a la hora de responder a amenazas concretas en materia de ciberseguridad, por ejemplo, los programas de secuestro de archivos. Se anima a los Estados miembros a que soliciten la notificación de los pagos de rescate de esos archivos a las entidades, a fin de poder prestarles el apoyo que necesiten y facilitar la persecución del delito por la policía.Disuasión: protección de los sistemas sanitarios europeos, disuadiendo a los autores de ciberamenazas de atacarlos. Esto comprende el uso del conjunto de instrumentos de ciberdiplomacia, una respuesta diplomática común de la UE a las actividades informáticas malintencionadas.
Plan de Acción Europeo sobre la Ciberseguridad de los Hospitales y los Prestadores de Asistencia Sanitaria
