Seguridad sanitaria: el plan de acción de la UE.

En qué consiste el Plan de Acción
El plan aboga por un enfoque proactivo y por capas en materia de ciberseguridad. Se insta a los hospitales y clínicas a realizar evaluaciones exhaustivas de riesgos, actualizar los sistemas informáticos obsoletos y formar al personal en buenas prácticas de ciberseguridad. Un sistema de alerta temprana a escala de la UE para el sector sanitario, cuya puesta en marcha está prevista para 2026, ayudará a detectar rápidamente las amenazas emergentes. Además, se hace hincapié en la adopción de medidas sólidas de respuesta ante incidentes, como una «reserva» cibernética de equipos de respuesta a emergencias y ejercicios mejorados de gestión de crisis. Un elemento clave del plan es la obligación de notificar los incidentes cibernéticos para promover la transparencia y permitir una intervención rápida. Asimismo, el plan exige que se comunique cualquier intención de pagar rescates en caso de ataque, con el objetivo de disuadir a los ciberdelincuentes.
 

Repercusiones en el sector sanitario
El plan de acción promueve una estrategia de ciberseguridad por niveles basada en cuatro capacidades fundamentales: prevención, detección, respuesta y disuasión. Entre las medidas clave se incluyen evaluaciones exhaustivas de riesgos, la mejora de la notificación de incidentes, la mejora de la formación en ciberseguridad para el personal sanitario y el desarrollo de un sistema de alerta temprana a escala de la UE que se prevé que entre en funcionamiento en 2026.

• Evaluaciones de riesgos y actualizaciones: Las instituciones deben revisar sus sistemas informáticos, actualizar el software obsoleto y mejorar la seguridad de la red. La ciberseguridad ya no es solo una cuestión de TI; es esencial para garantizar una atención al paciente ininterrumpida y la resiliencia operativa.
• Formación del personal: El énfasis en la formación es evidente. Todo el personal sanitario, desde los médicos hasta el personal administrativo, debe recibir formación sobre prácticas cibernéticas seguras para reducir los errores humanos.
• Preparación para la respuesta ante incidentes: Con las nuevas directrices para una respuesta sólida ante incidentes y la realización de simulacros de seguridad periódicos, los hospitales deberán invertir en sistemas de respaldo y planes de recuperación exhaustivos.

Los proveedores de tecnología médica, incluidos los de software y hardware, así como los proveedores de servicios de seguridad gestionados (MSSP), deben ahora incorporar la seguridad en sus productos. Esto implica diseñar soluciones «seguras desde el diseño», implementar procesos sólidos de notificación de vulnerabilidades y prestar apoyo a los clientes del sector sanitario con servicios integrados de ciberseguridad. La colaboración entre los hospitales y los proveedores tecnológicos garantiza la protección de todos los eslabones de la cadena sanitaria.
 

Aplicación a nivel nacional en toda la UE
Aunque el plan de acción es aplicable en toda la UE, su aplicación variará considerablemente entre los distintos Estados miembros en función de su nivel actual de madurez en materia de ciberseguridad y de sus marcos normativos.

• Países Bajos: Los neerlandeses llevan mucho tiempo siendo pioneros en ciberseguridad. Su Centro Nacional de Ciberseguridad (NCSC-NL) y las directrices específicas para cada sector que ofrece Zorg-CERT les sitúan en una buena posición de cara a los próximos cambios. Los hospitales neerlandeses ya cumplen normas rigurosas, entre las que se incluyen evaluaciones de riesgos obligatorias y el cumplimiento de la norma NEN 7510, diseñada específicamente para el sector sanitario. Se espera que sus mecanismos proactivos de intercambio de información sobre amenazas se integren a la perfección en el nuevo marco de la UE.
• España: En una rápida adaptación a los mandatos de la UE, España aprobó en enero de 2025 un proyecto de ley para reforzar la gobernanza nacional en materia de ciberseguridad. El recién creado Centro Nacional de Ciberseguridad (CNC) actuará como autoridad principal, garantizando que los hospitales cumplan los nuevos requisitos de notificación y se sometan a auditorías periódicas. Las organizaciones sanitarias españolas deben prepararse para una supervisión más estricta y un sistema centralizado de notificación de incidentes, además de subvenciones que ahora incluyen mejoras en materia de ciberseguridad.
• Estonia: Conocida como pionera digital de Europa, la digitalización casi total de los servicios sanitarios de Estonia exige medidas de ciberseguridad muy estrictas. La Autoridad de Sistemas de Información de Estonia (Riigi Infosüsteemi Amet, RIA) aplica algunas de las políticas de seguridad de datos más estrictas de la región. La temprana adopción por parte de Estonia de la seguridad basada en la tecnología blockchain para las historias clínicas electrónicas es un claro ejemplo de su compromiso con la seguridad de la sanidad digital. Esta sólida base significa que Estonia está bien preparada para integrar e incluso superar los nuevos requisitos de ciberseguridad de la UE.
• Francia: Francia, que ya es líder en ciberseguridad sanitaria, ampliará su programa CaRE —puesto en marcha en 2023— en el marco del nuevo plan de acción. El programa, que cuenta con una importante financiación, proporciona a los hospitales un catálogo de herramientas de ciberseguridad sometidas a un proceso de evaluación y hace hincapié en la coordinación de las adquisiciones. Los hospitales franceses pueden esperar una normativa más estricta, obligaciones de información más rigurosas y una mayor integración con organismos nacionales de ciberseguridad como la Agence nationale de la sécurité des systèmes d’information (ANSSI).
• Alemania: El enfoque de Alemania consiste en actualizar las medidas de protección de sus infraestructuras críticas. Aunque la transposición de la Directiva NIS2 fue lenta en un principio, Alemania tiene como objetivo aplicarla plenamente a principios de 2025. Las directrices vigentes para los grandes hospitales se ampliarán para abarcar a más proveedores de asistencia sanitaria, y es probable que la Bundesamt für Sicherheit in der Informationstechnik (BSI), o Oficina Federal de Seguridad de la Información, desempeñe un papel aún más activo. Los hospitales alemanes deben prepararse para unos requisitos más estrictos en materia de notificación de incidentes y una mayor supervisión regulatoria, junto con incentivos financieros adicionales para las inversiones en ciberseguridad.
   

Calendario y hitos clave
Está previsto que el plan se ponga en marcha rápidamente:

• Enero de 2025: Comienza el anuncio oficial y las consultas con las partes interesadas.
• A mediados de 2025: los Estados miembros comienzan a transponer la Directiva NIS2 y se publican las directrices específicas para el sector sanitario.
• A finales de 2025: Se implementan elementos clave , como los manuales de respuesta ante incidentes y los protocolos obligatorios de notificación de ataques de ransomware.
• Desde principios hasta mediados de 2026: Poner en marcha el servicio de alerta temprana a escala de la UE, que proporcione alertas casi en tiempo real sobre posibles amenazas cibernéticas. Implementar el servicio de respuesta rápida en el marco de la Reserva de Ciberseguridad de la UE y poner en marcha los «vales de ciberseguridad» para los proveedores de asistencia sanitaria que cumplan los requisitos.
• Más allá de 2026: Integración continua de las prácticas de ciberseguridad en las operaciones sanitarias cotidianas, con revisiones y actualizaciones periódicas.
   

Cómo puede ayudar Getronics a
Adaptarse a estas normativas de ciberseguridad en constante evolución puede suponer un reto. Getronics, gracias a su amplia experiencia en servicios gestionados de TI y tecnología sanitaria, se encuentra en una posición única para ayudar a las organizaciones durante esta transición. Nuestros servicios abarcan desde evaluaciones de riesgos y asesoramiento en materia de cumplimiento normativo hasta la supervisión de amenazas las 24 horas del día, los 7 días de la semana, y la respuesta rápida ante incidentes. Al asociarse con Getronics, los proveedores de atención sanitaria se aseguran no solo de cumplir los nuevos requisitos normativos, sino también de crear una ciberdefensa sólida y resistente que garantice una atención al paciente segura e ininterrumpida.

Getronics ya ha dado varios pasos adelante en el sector sanitario. Ofrece compatibilidad con Wi-Fi 7 en los hospitales y está explorando el papel de la inteligencia artificial en la medicina.

Ponte en contacto con Getronics hoy mismo y déjanos ayudarte a lidiar con las complejidades de la ciberseguridad en el cambiante panorama sanitario.

Escrito por Rob Nidschelm, director global de seguridad operativa de Getronics.

ACTUALIZACIÓN 27/08/2025:
Los ciberdelincuentes han convertido el sector sanitario europeo en uno de sus objetivos favoritos, y los ataques con ransomware y a la cadena de suministro suponen un grave riesgo para los hospitales y los pacientes.

A principios de este año, publicamos nuestro primer artículo sobre «Seguridad sanitaria: el plan de acción de la UE».

Esta actualización sobre seguridad sanitaria analiza cómo se irá implantando el plan de forma gradual durante los próximos dos años y qué deben esperar las organizaciones sanitarias a partir de 2026. Este plan no es una simple guía más. Se trata de una iniciativa coordinada a escala de la UE diseñada para reforzar la resiliencia, desarrollar competencias y proporcionar apoyo rápido en caso de ataque.

Qué incluye el Plan de Acción
Un Centro Europeo de Apoyo a la Ciberseguridad

Un centro especializado prestará apoyo directo a los hospitales y otros proveedores. Actuará como centro de coordinación para la preparación, la detección y la respuesta ante incidentes. Se pondrán en marcha proyectos piloto en todos los Estados miembros con el fin de poner a prueba las mejores prácticas en materia de ciberhigiene, evaluación de riesgos y supervisión continua.

Análisis del panorama normativo

Las organizaciones sanitarias se enfrentan a un entramado de normativas. El Plan de Acción incluye una herramienta de análisis normativo destinada a ayudar a los proveedores a orientarse en el marco de la NIS2, el RGPD, la Ley de Resiliencia Cibernética y otras normas que se solapan. Paralelamente, se llevará a cabo una evaluación coordinada de riesgos centrada en los productos sanitarios y los datos de los pacientes almacenados en la nube.

Respuesta ante incidentes y la Reserva de Ciberseguridad

La Ley de Solidaridad Cibernética permite a los hospitales recurrir a proveedores privados de confianza en situaciones de crisis. Se elaborará un manual de actuación cibernética específico para el sector sanitario, además de organizarse simulacros cibernéticos periódicos a nivel de la UE. Dado que el ransomware ha sido responsable de más de la mitad de los incidentes en el sector sanitario en los últimos años, no se puede subestimar la importancia de estas medidas. En virtud de la Directiva NIS2, también será obligatorio notificar cualquier pago de rescate.

Sistema de alerta temprana

Un servicio de alerta temprana a escala de la UE proporcionará alertas casi en tiempo real sobre amenazas específicas del sector sanitario. Los hospitales compartirán las notificaciones de incidentes con la ENISA a través del Centro de Apoyo, lo que garantizará una rápida difusión de la información.

Personal y gobernanza

Los equipos de ciberseguridad del sector sanitario sufren una falta crónica de personal. Según ISC2, tres cuartas partes de los profesionales señalan las carencias de personal como un riesgo importante. Para hacer frente a esta situación, la actualización sobre seguridad sanitaria presenta la Red Europea de CISO del Sector Sanitario, cuyo objetivo es poner en contacto a los responsables, compartir conocimientos y reforzar la resiliencia colectiva.

Cronología de las acciones clave
Fase 1: 2025-2026 (Puesta en marcha inicial)

Plazo Acciones clave
Enero de 2025: Lanzamientooficial del Plan de Acción; inicio de las consultas con las partes interesadas.
Segundo trimestre de 2025: Primeros proyectos piloto sobre ciberhigiene hospitalaria y preparación ante incidentes.
Mediados de 2025: Creación del Centro Europeo de Apoyo a la Ciberseguridad.
Tercer trimestre de 2025: Puesta en marcha del servicio de alerta temprana y de avisos de amenazas para el sector sanitario a escala de la UE.
Cuarto trimestre de 2025:Primera evaluación coordinada de los riesgos de la cadena de suministro; publicación de recomendaciones detalladas.
Principios de 2026:Publicación del manual de respuesta a incidentes cibernéticos en el sector sanitario; inicio de simulacros cibernéticos a escala de la UE.
A lo largo de 2026:Despliegue continuo de herramientas de respuesta y recuperación, incluidos servicios de respuesta rápida y repositorios de descifrado.
 

Fase 2: Más allá de 2026 (Expansión estratégica)

Calendario -- Acciones clave
Finales de 2026 – 2027:Publicación de recomendacionesadicionalespor parte de la Comisión, basadas en los resultados de los proyectos piloto y las consultas.
A partir de 2026 (en curso):Continuación de la labor del Consejo Asesor de Ciberseguridad Sanitaria y de los centros nacionales de apoyo.
2027 y más allá:Desarrollo de un mercado único europeo de ciberseguridad, con presupuestos más claros, objetivos cuantificables y ejercicios cibernéticos ampliados a escala de la UE.
2030-2035:Transición hacia la adopción de la criptografía poscuántica en todos los sistemas sanitarios críticos.
De forma continua:Integración de la seguridad sanitaria en marcos más amplios de la UE, como la NIS2, la Ley de Resiliencia Cibernética y la Ley de Solidaridad Cibernética, con mandatos que evolucionen según sea necesario.
 

Contexto legislativo más amplio
El Plan de Acción complementa las recientes normativas de la UE que están redefiniendo el panorama de la seguridad:

• Directiva NIS2 ( en vigor desde diciembre de 2022): amplía los requisitos para los sectores esenciales, incluida la sanidad, con normas armonizadas para la notificación de incidentes.
• Ley de Resiliencia Cibernética (CRA) (aprobada en octubre de 2024): se centra en productos con elementos digitales, como los dispositivos médicos, y exige la gestión de vulnerabilidades y la aplicación de actualizaciones de seguridad.
• Ley de Resiliencia Operativa Digital ( DORA) (en vigor a partir de enero de 2025): Se dirige al sector financiero, pero también afecta a los proveedores de servicios de TIC en los ecosistemas sanitarios.
   

Por qué es importante
Los hospitales no pueden permitirse tiempos de inactividad. Un ataque de ransomware que deje fuera de línea los historiales de los pacientes o interrumpa el funcionamiento de los dispositivos conectados puede poner vidas en peligro. El Plan de Acción de la UE supone un cambio de las respuestas reactivas hacia el desarrollo estructurado de la resiliencia. Mediante la creación de un centro de apoyo, una red de CISO y un manual de estrategias respaldado por información en tiempo real, Europa está dando un paso importante hacia la protección de la asistencia sanitaria.

En Getronics, ayudamos a los proveedores de atención sanitaria a cumplir con las normas NIS2, DORA e ISO 27001, así como con las directrices específicas del sector. Nuestros servicios de seguridad gestionados, nuestra inteligencia sobre amenazas y nuestra experiencia en respuesta a incidentes pueden ayudar a las organizaciones a prepararse para el nuevo panorama europeo. Nos tomamos muy en serio cada actualización en materia de seguridad sanitaria para ofrecer un apoyo constante y actualizado.