Dictamen del Comité Europeo de las Regiones Ciberseguridad de los hospitales y los prestadores de asistencia sanitaria
(C/2025/4415)
Ponente | : | Daniela CÎMPEAN (PPE/RO), presidenta de la Asamblea de la provincia de Sibiu |
|
RECOMENDACIONES POLÍTICAS
EL COMITÉ EUROPEO DE LAS REGIONES (CDR)
1. observa que el ritmo de adopción de
medidas de ciberseguridad no ha ido a la par de la transformación digital en
las instituciones sanitarias ni en la prestación de asistencia sanitaria, lo
que ha convertido a la asistencia sanitaria en un objetivo primordial de los
agentes malintencionados;
2. acoge con satisfacción, por consiguiente,
la publicación del Plan de Acción y reconoce su oportunidad y relevancia ante
el aumento de los ciberataques contra hospitales y proveedores de asistencia
sanitaria europeos;
3. advierte de que las amenazas a la
ciberseguridad tienen implicaciones geopolíticas y está firmemente convencido
de que la ciberseguridad en la asistencia sanitaria no es una mera cuestión
técnica sino un factor que afecta también a la seguridad local, regional,
nacional y europea;
4. señala que el número de ataques de
ciberdelincuentes sufridos desde la pandemia de COVID-19 no muestra signos de
remitir; los ciberataques perpetrados desde países terceros y patrocinados por
diferentes Estados no se centran únicamente en el ciberespionaje y el robo de
propiedad intelectual, sino que su objetivo es también desestabilizar
sociedades enteras;
5. pide que sea obligatorio recurrir al
planteamiento de la «ciberseguridad desde el diseño»: que se apliquen medidas
proactivas de ciberseguridad desde el momento del desarrollo de nuevas
tecnologías destinadas a emplearse en el ámbito sanitario; insta, en este
sentido, a que los prestadores de asistencia sanitaria pública compren
únicamente productos maduros en lo que concierne a las soluciones de
ciberseguridad, incluidos sistemas auxiliares y de emergencia que garanticen la
seguridad de los pacientes, también en caso de perturbaciones de la red;
6. destaca que, en caso de que no puedan
prevenirse los ataques, podrá recurrirse a un servicio específico de respuesta
rápida para el sector sanitario a través de la Reserva de Ciberseguridad de la
UE establecida por el Reglamento de Cibersolidaridad; no obstante, la
responsabilidad principal recae en el nivel local y regional;
7. respalda el trabajo realizado por la
Organización Mundial de la Salud (Oficina Regional para Europa de la OMS) en
materia de sanidad electrónica y se compromete a trabajar en este ámbito con la
OMS, cumpliendo de este modo con un plan de acción firmado conjuntamente para
el período 2025-2026;
8. acoge con satisfacción la Guía sobre las
evaluaciones de riesgos en materia de ciberseguridad y privacidad en la sanidad
digital publicada por la Oficina Regional para Europa de la OMS en 2025,
que proporciona un marco para ayudar a los países y organizaciones a
desarrollar estrategias de evaluación de riesgos que se ajusten a sus
necesidades, objetivos y requisitos reglamentarios específicos;
9. destaca el creciente impacto de la
inteligencia artificial (IA) como vector de amenazas (ataques avanzados por
suplantación de identidad o phishing y ultrafalsificaciones
o deepfakes) y, simultáneamente, como posible instrumento de
defensa (detección de anomalías y respuesta automática), y propone que el Plan
de Acción aborde ambos aspectos de la IA;
Marco legislativo
10. señala que el Plan de Acción se basa en el
marco legislativo existente en el ámbito de la ciberseguridad, en particular la
Directiva relativa a las medidas destinadas a garantizar un elevado nivel común
de ciberseguridad en toda la Unión (Directiva SRI 2), el Reglamento de
Cibersolidaridad, el Reglamento sobre la Ciberseguridad, el Reglamento sobre
los productos sanitarios y el Reglamento de Ciberresiliencia; toma nota
asimismo del vínculo del Plan de Acción con la propuesta de Recomendación del
Consejo de Plan Director de la UE para la Gestión de Crisis de Ciberseguridad;
11. advierte de que este panorama cambiante
presenta complejidades y solapamientos entre los mecanismos de certificación de
la protección de datos en el marco del Reglamento de Cibersolidaridad, el
Reglamento sobre los productos sanitarios y el Reglamento de Inteligencia
Artificial, y de que esta situación puede dar lugar a una fragmentación y al
«arbitraje regulador», en especial en lo que respecta a los sistemas de
participación voluntaria;
12. respalda los objetivos del proyecto Cymedsec,
financiado por la UE (1), de mejorar la ciberseguridad en los sistemas
sanitarios mediante una evaluación exhaustiva del diseño de la infraestructura
de dispositivos y redes, la ciberseguridad y los marcos reglamentarios;
13. propone que se analice si conciliar los
requisitos de ejecución de la Directiva SRI 2 con los del Reglamento
(UE) 2016/679 relativo a la protección de los datos personales sería
beneficioso para reducir los solapamientos administrativos en la aplicación de
medidas específicas;
14. observa que la publicación gradual de
normativas específicas da lugar a la superposición de requisitos, que resultan
difíciles de gestionar y cumplir de manera adecuada. Debe procurarse coordinar
los requisitos y eliminar las redundancias desde el inicio del procedimiento de
elaboración de un nuevo Reglamento;
La Directiva relativa a la resiliencia
de las entidades críticas
15. señala que la Directiva relativa a la
resiliencia de las entidades críticas (Directiva REC), que reconoce la sanidad
como un servicio vital para la sociedad y la economía y refuerza la resiliencia
de las infraestructuras y entidades críticas frente a una serie de amenazas,
incluida la ciberdelincuencia, entró en vigor el 18 de octubre de
2024;
16. pide a los 24 Estados miembros que recibieron
una carta de emplazamiento a finales de noviembre de 2024 que transpongan
inmediatamente la Directiva REC a sus legislaciones nacionales;
17. pide a la Comisión Europea que incoe
procedimientos de infracción cuando no haya recibido una respuesta
satisfactoria en el plazo establecido, ya que, a juicio del Comité, la cuestión
es demasiado importante para que la seguridad europea, nacional, regional y
local se tome a la ligera;
18. recuerda a los Estados miembros que están
obligados a identificar sus entidades críticas en cada sector (incluido el
sanitario), tal y como se establecen en la Directiva REC, antes del
17 de julio de 2026; pide a los Estados miembros que aceleren la
designación de entidades críticas del ámbito sanitario y les presten apoyo
concreto para el desarrollo de sus capacidades;
19. expresa su preocupación por que la gran
mayoría de los hospitales de la UE nunca haya llevado a cabo una evaluación de
los riesgos de seguridad, tal y como ha señalado la Dirección General de Redes
de Comunicación, Contenido y Tecnologías (DG CONNECT) de la Comisión Europea;
20. manifiesta asimismo su inquietud por que solo
una cuarta parte de las organizaciones encuestadas durante la preparación del
informe de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) de
2023 dispusiera de un programa específico de defensa contra programas de
secuestro (ransomware);
21. reconoce que en los últimos cinco o seis años
se han establecido normas de regulación del ámbito cibernético, a través de
actualizaciones en la Directiva relativa a las medidas destinadas a garantizar
un elevado nivel común de seguridad de las redes y sistemas de información en
la Unión (SRI 2),
el Reglamento de Ciberresiliencia, el Reglamento sobre la resiliencia operativa digital del
sector financiero, la Directiva relativa a la resiliencia de las entidades
críticas (REC) y
el Reglamento de Inteligencia Artificial; valora positivamente la intención de la Comisión de
focalizarse ahora en los hospitales y prestadores de asistencia sanitaria para
mejorar su ciberresiliencia y recuerda la importancia de garantizar la
coherencia entre los distintos instrumentos y de reducir los solapamientos;
22. propone que los Estados miembros introduzcan
simulacros periódicos de ciberincidentes, coordinados por los Gobiernos, en los
que participen agentes sanitarios del ámbito nacional y regional;
La Directiva SRI 2
23. señala que en octubre de 2024 entró en vigor
oficialmente la Directiva SRI 2, que exige a los hospitales, los
prestadores de asistencia sanitaria, los fabricantes de productos sanitarios y
las empresas farmacéuticas que adopten medidas estrictas de ciberseguridad;
24. expresa su preocupación por que solo seis
Estados miembros hayan incorporado total o parcialmente la Directiva al Derecho
nacional dentro del plazo establecido;
25. reconoce que la aplicación plantea retos de
gran calado, en particular para el sector sanitario, debido a los solapamientos
con la normativa vigente como, por ejemplo, el Reglamento sobre los productos
sanitarios, el Espacio Europeo de Datos de Salud (EEDS) y el Reglamento de
Ciberresiliencia;
El papel de los entes locales y
regionales
26. pide a la Comisión que tenga en cuenta que la
gestión de los sistemas sanitarios, en particular de los hospitales, está
descentralizada en mayor o menor medida en 19 de los 27 Estados miembros;
manifiesta su decepción por que en la Comunicación no se mencione a los niveles
regional y local; considera que esta omisión es preocupante, ya que se
desatiende la situación real de la atribución y la gestión de los prestadores
de asistencia sanitaria en dos tercios de los Estados miembros de la UE;
27. insta a los Estados miembros a que impliquen
plenamente a sus regiones en el diseño y la aplicación de cualquier estrategia
de ciberseguridad; señala que los entes regionales a menudo lideran iniciativas
de salud digital y sus conocimientos especializados en el despliegue de
soluciones de sanidad electrónica podrían ser vitales para que la introducción
de nuevos protocolos y medidas en materia de ciberseguridad se lleve a cabo con
éxito;
28. subraya que, más allá de la cuestión de la
gestión descentralizada, los sistemas sanitarios de toda Europa son muy
diferentes y comprenden toda una serie de organizaciones, desde las totalmente
públicas hasta las totalmente privadas, incluidas asociaciones público-privadas
híbridas; advierte, a este respecto, de que las entidades públicas a menudo
están sujetas a restricciones presupuestarias y límites salariales legales, que
las hacen menos atractivas como empleadoras para los ciberespecialistas;
29. pide a los Estados miembros que creen redes de
centros regionales de apoyo a la ciberseguridad para hospitales y prestadores
de asistencia sanitaria a fin de conectar mejor las realidades locales,
nacionales y europeas, prestando especial atención a la financiación y
atracción de talento necesarios para el desarrollo de estos centros;
30. recomienda que los entes regionales y locales
participen en el diseño de planes de acción nacionales centrados en la
ciberseguridad en el sector sanitario;
Costes y financiación
31. sostiene que el gasto en ciberseguridad deberá
asignarse y normalizarse sistemáticamente como parte de la planificación
presupuestaria; los hospitales y prestadores de asistencia sanitaria no
deberían poder adquirir cualquier «artilugio» de protección al azar y sin
ningún tipo de coordinación; en su lugar, en el ámbito de la asistencia
sanitaria es preciso financiar, aplicar y evaluar periódicamente la protección
de unos sistemas tecnológicos operativos vitales;
32. llama la atención del reto que supone para las
regiones de menor tamaño gestionar y financiar los sistemas de información y
seguridad sanitarios;
33. manifiesta su consternación por que el coste
medio de las filtraciones de datos causadas por los ataques con programas de
secuestro de archivos ascienda a ocho millones EUR, casi el doble de lo que
suponen en otros sectores;
34. solicita mayor claridad sobre la financiación
que deberá respaldar los ambiciosos objetivos establecidos en el Plan de
Acción; pide, en particular, que se dé información detallada sobre cómo los
entes regionales y locales pueden financiar la transformación digital
pertinente en el sector de la asistencia sanitaria;
35. confía en que la Comisión aclare qué acciones
deben ser financiadas por los Estados miembros y cuáles por la UE; en este
último caso, el CDR manifiesta su deseo de ser informado sobre cómo
interactuarán en la práctica EU4Health y Europa Digital;
36. advierte de que, aparte de las inversiones en
tecnología, la financiación debe canalizarse hacia inversiones que permitan
configurar una cultura organizativa basada en la seguridad en todos los
niveles;
37. lamenta los profundos recortes realizados
en 2024 en el presupuesto del programa EU4Health e insta a los Estados
miembros a que lo pongan a salvo de futuras reducciones; reitera su posición de
que la salud no es un gasto, sino una inversión en bienestar y resiliencia
individuales y colectivos;
La ciberresiliencia de las cadenas de
suministro de la asistencia sanitaria
38. destaca que muchos hospitales y prestadores de
asistencia sanitaria dependen de dispositivos médicos y programas informáticos
obsoletos, que no pueden resistir los ciberataques modernos; reconoce que, en
muchos lugares, las soluciones heredadas son indispensables para el
funcionamiento de la asistencia sanitaria, aunque corren el riesgo de
convertirse en una vulnerabilidad significativa cuando ya no sean compatibles
ni se les preste mantenimiento;
39. pide una financiación sostenida y específica,
procedente tanto de fuentes nacionales como de la Unión, para que los
hospitales eliminen las tecnologías heredadas a las que no se preste asistencia
técnica y facilitarles la transición hacia soluciones más seguras y escalables
basadas en la nube;
40. recomienda armonizar los procedimientos de
contratación con las normas de seguridad y pide que se elaboren directrices
específicas en las que se explique detalladamente cómo lograr que el
cumplimiento de los parámetros de referencia de ciberseguridad sea un requisito
previo para participar en las licitaciones de contratación pública;
La mano de obra en el ámbito de la
ciberseguridad
41. reitera los mensajes principales del Dictamen
del CDR sobre la escasez de personal sanitario y observa que los sistemas
sanitarios afrontan una escasez aguda, sin precedentes y a largo plazo, de
personal básico; considera, con preocupación, que equilibrar la demanda de
recursos humanos será todavía más complejo debido a la creciente necesidad de
contratar especialistas en tecnologías de la información y expertos en
ciberseguridad, además de personal médico esencial;
42. pide a las autoridades públicas, al mundo
académico, a las instituciones de educación y formación profesionales y a las
ONG que pongan en marcha campañas públicas para acabar con los estereotipos
sobre las carreras de ciberseguridad, atraer a más mujeres a la profesión y
poner de relieve la versatilidad de una carrera de ciberseguridad en la
asistencia sanitaria;
43. pide un marco de certificación de la formación
a escala de la UE que mejore la portabilidad de las capacidades y el
reconocimiento de las cualificaciones de ciberseguridad en el ámbito sanitario;
44. reconoce que el error humano es un factor
importante en las violaciones de la seguridad de los datos, ya que las personas
caen involuntariamente en estafas de usurpación de identidad, configuran
incorrectamente los parámetros de seguridad o no siguen los protocolos
establecidos; solicita que se dé prioridad a la formación y la sensibilización
sobre los riesgos en el conjunto del sector sanitario; está convencido de que
la ciberseguridad no puede ser una cuestión que se limite a los departamentos
informáticos, sino una responsabilidad compartida;
45. recomienda que se desarrolle una formación
obligatoria destinada a concienciar sobre la ciberseguridad, que vaya
acompañada de incentivos orientados a los resultados, para todo el personal del
sector sanitario;
Elementos específicos del Plan de Acción
46. acoge con satisfacción la idea de los bonos de
ciberseguridad y pide a los Estados miembros que introduzcan esta medida para
dotar de ayuda financiera a los hospitales de pequeño y mediano tamaño, los
microhospitales y los proveedores de asistencia sanitaria;
47. destaca que el Plan de Acción prevé que los
Estados miembros exijan a las entidades sujetas a la Directiva SRI 2,
incluidas las organizaciones sanitarias, que informen del pago de rescates
cuando notifiquen incidentes significativos a la autoridad competente en virtud
de la Directiva SRI 2; coincide en que dicha notificación mejoraría la
recopilación de datos y la evaluación de la eficacia de las medidas adoptadas
contra los ataques mediante programas de secuestro de archivos; pide, no
obstante, que se aporten más detalles sobre cómo se llevaría a la práctica esta
notificación, dado que, con arreglo a la Directiva SRI 2, no es
obligatoria;
48. observa que el Plan de Acción pide que se
anime a los fabricantes de productos sanitarios y de diagnóstico in
vitro a notificar voluntariamente las vulnerabilidades que están
siendo activamente aprovechadas o los ciberincidentes graves que afecten a la
seguridad de estos productos; destaca que estos fabricantes quedan fuera del
ámbito de aplicación del Reglamento de Ciberresiliencia y recomienda que la
evaluación en curso de los Reglamentos se traduzca en una mayor coherencia
entre los marcos reglamentarios;
49. respalda la idea de crear una red europea de
directores de seguridad de la información (CISO) en el ámbito de la salud, para
que los expertos puedan compartir mejores prácticas, incluidas estrategias de
retención del talento y soluciones para atraer a profesionales de la
ciberseguridad al sector sanitario; pide a la Comisión y a los Estados miembros
que velen por que también se invite a los expertos designados por los entes
regionales a unirse a esta red;
50. acoge con satisfacción la creación del Centro
Europeo de Apoyo a la Ciberseguridad para hospitales y prestadores de
asistencia sanitaria en la ENISA; toma nota del considerable número de tareas
que deberá desempeñar el nuevo centro de apoyo y pide a la Comisión que
facilite más información sobre su composición y financiación;
51. insta a la Comisión a que implique a los entes
regionales y locales en el desarrollo de un repositorio «fácil de utilizar y
fácilmente accesible» que contenga todos los instrumentos disponibles a escala
europea, nacional y regional para la preparación, la prevención, la detección y
la respuesta. Dicho repositorio, desarrollado por el Centro de Apoyo, debe dar
cobertura a instrumentos y políticas de todos los niveles de gobernanza;
Confianza y protección de la intimidad
52. señala que la seguridad y la privacidad están
interrelacionadas: las medidas de seguridad protegen la confidencialidad, la
integridad y la disponibilidad de los datos, que son a su vez fundamentales
para proteger la intimidad. Al mismo tiempo, la normativa en materia de
privacidad suele exigir controles de seguridad específicos para proteger los
datos personales. La protección de la intimidad fomenta la confianza de los
pacientes y la concienciación en materia de ciberseguridad, y garantiza que la
información sanitaria sensible se gestione con cautela;
53. destaca el Informe de la ENISA de 2024 sobre
el estado de la ciberseguridad en la Unión y llama la atención sobre sus
conclusiones de que la madurez del sector sanitario de la Unión en materia de
ciberseguridad es «moderada» y que existen grandes diferencias en el nivel de
madurez de la ciberseguridad entre las entidades sanitarias de toda Europa;
subraya que los datos de los pacientes deben protegerse para garantizar su
confianza continua en el Espacio Europeo de Datos de Salud;
54. considera que la realización del Espacio
Europeo de Datos de Salud requerirá que se preste una mayor atención a la
seguridad de las infraestructuras de interconexión nacionales y
transfronterizas, como los puntos de contacto nacionales para la sanidad electrónica.
Dichas infraestructuras están convirtiéndose en un elemento fundamental de la
protección de datos a gran escala, por lo que el Comité considera que deben
elaborarse medidas específicas al respecto.
Bruselas,
3 de julio de 2025.
La Presidenta
del Comité Europeo de las Regiones
Kata TÜTTŐ
(1) Página inicial — Cymedsec.
ELI: http://data.europa.eu/eli/C/2025/4415/oj
ISSN 1977-0928 (electronic edition)
