La 10ª Conferencia de Seguridad eHealth de ENISA en Rumanía abordó la creciente ciberseguridad en el sector salud, destacando la necesidad de prácticas robustas y regulaciones para mitigar riesgos.
La 10ª Conferencia de Seguridad en eSalud de ENISA se llevó a cabo en colaboración con la Dirección Nacional de Ciberseguridad de Rumanía (DNSC) y el Centro Europeo de Competencia en Ciberseguridad (ECCC), en Bucarest, Rumanía. Este evento anual se ha consolidado como un punto de encuentro para diversos actores del sector, donde se intercambian conocimientos, mejores prácticas y se discuten los últimos requerimientos del marco regulatorio que está moldeando el ámbito de la salud.
La transformación digital que atraviesan los servicios y proveedores de salud en toda la Unión Europea ha incrementado la complejidad y la interconexión en este sector, al tiempo que ha introducido nuevos riesgos cibernéticos. Los sistemas médicos y los datos han pasado a ser objetivos cada vez más atractivos para el cibercrimen, con un aumento notable en las campañas de ransomware y phishing. Según el informe NIS360 de ENISA, el sector salud se encuentra clasificado entre aquellos que están en zona de riesgo, lo que pone de manifiesto una brecha significativa entre su madurez en ciberseguridad y su importancia crítica. Este informe subraya la necesidad urgente de más orientación y apoyo para fortalecer la resiliencia en todo el sector.
En cuanto a los desarrollos regulatorios recientes, la UE ha reafirmado su compromiso por priorizar los desafíos que enfrenta todo el ecosistema sanitario. El actual panorama regulatorio incluye el Reglamento sobre Dispositivos Médicos (MDR), la Ley de Ciberresiliencia (CRA) y el Reglamento sobre el Espacio Europeo de Datos Sanitarios (EHDS).
Recientemente, se lanzó el Plan de Acción de la UE para la ciberseguridad de hospitales y proveedores de atención médica a principios de 2025, representando una actualización crucial. Este plan establece una serie de tareas junto con recursos dedicados para la Agencia, lo que resalta la confianza de la UE en su capacidad para aportar valor significativo al sector.
Bajo el título Ciberhigiene en el Sector Salud, un análisis del paisaje amenazante realizado por ENISA reveló que los proveedores de atención médica fueron los más afectados, representando el 53% de todos los incidentes reportados.
Además, una encuesta sobre inversiones NIS realizada por ENISA encontró que las organizaciones sanitarias informaron el mayor número de incidentes relacionados con vulnerabilidades en software o hardware; un 80% indicó que estas vulnerabilidades fueron responsables de más del 61% de sus incidentes de seguridad.
En consonancia con las disposiciones del Plan de Acción Sanitaria de la UE, ENISA ha publicado recientemente una guía sobre ciberhigiene destinada a apoyar a las entidades del ecosistema sanitario en la implementación de las prácticas críticas más relevantes en ciberseguridad. Este documento detalla un conjunto práctico de medidas que las organizaciones pueden adoptar para mitigar riesgos cibernéticos, proteger datos sensibles, reducir su exposición a amenazas cibernéticas y fortalecer su resiliencia general.
Las prácticas recomendadas son sencillas y están diseñadas para mejorar la preparación y seguridad de todos los tipos de entidades sanitarias: desde hospitales hasta proveedores individuales y especialistas médicos. Las recomendaciones abarcan áreas como protección de sistemas y redes, salvaguarda dispositivos y datos del paciente, abordaje a desafíos en la cadena de suministro TIC y promoción de conciencia sobre ciberseguridad.