Actualidade
Portada » Actualidade » Novas » Unión Europea » Saúde »A Comisión presenta un plan de acción para protexer o sector sanitario contra os ciberataques
— O plan se enmarca dentro das iniciativas propostas nos primeiros 100 días de mandato da nova Comisión.
— A iniciativa pretende reforzar a ciberseguridade dos hospitais e dos prestadores de asistencia sanitaria no caso de ameazas.
Bruxelas, 15 de xaneiro de 2025. A Comisión presentou hoxe un plan de acción da UE destinado a reforzar a ciberseguridade dos hospitais e dos prestadores de asistencia sanitaria. Este plan de acción foi anunciado nas orientacións políticas da presidenta Von der Leyen como prioridade clave nos cen primeiros días do novo mandato. A iniciativa é un paso importante para protexer o sector sanitario contra as ciberameazas. Ao mellorar as capacidades de detección, preparación e resposta dos hospitais e dos provedores de asistencia sanitaria no caso de ameazas, propiciará un entorno máis seguro e protexido para os pacientes e os profesionais da saúde.
A dixitalización está a revolucionar a asistencia sanitaria, permitindo prestar mellores servizos aos pacientes grazas a innovacións como os historiais médicos electrónicos, a telemediciña e os diagnósticos baseados na intelixencia artificial. Non obstante, os ciberataques poden retrasar os procedementos médicos, crear bloqueos nas salas de urxencias e perturbar servizos vitais, o cal podería ter, en casos graves, repercusións directas na vida dos europeos. En 2023, os Estados membros notificaron 309 incidentes de ciberseguridade graves que afectaron ao sector sanitario, máis que en calquera outro sector crucial.
O plan de acción propón, entre outras cousas, que ENISA, a Axencia da Unión Europea para a Ciberseguridade, cree un centro paneuropeo de apoio á ciberseguridade para hospitais e prestadores de asistencia sanitaria que lles proporcione orientacións, ferramentas, servizos e formación adaptados. A iniciativa baséase no marco máis amplo da UE destinado a reforzar a ciberseguridade en todas as infraestruturas cruciais e supón a primeira iniciativa sectorial na que se empregará a serie completa de medidas da UE en materia de ciberseguridade.
Resumindo, o plan de acción céntrase en catro prioridades:
- Mellor prevención. O plan contribúe a fomentar as capacidades do sector sanitario en materia de prevención dos incidentes de ciberseguridade a través de mellores medidas de preparación, tales como orientacións sobre a aplicación de prácticas cruciais de ciberseguridade. En segundo lugar, os Estados membros tamén poden introducir bonos de ciberseguridade para prestar asistencia financeira aos hospitais e prestadores de asistencia sanitaria de tamaño moi pequeno, pequeno e mediano. Por último, a UE tamén creará recursos de aprendizaxe en materia de ciberseguridade para os profesionais sanitarios.
- Mellor detección e determinación de ameazas. O Centro de Apoio á Ciberseguridade para hospitais e prestadores de asistencia sanitaria establecerá de aquí a 2026 un servizo de alerta temperá a escala da UE para avisos case en tempo real sobre posibles ciberameazas.
- Resposta aos ciberataques para reducir ao mínimo a súa incidencia. O plan propón un servizo de resposta rápida para o sector sanitario no marco da Reserva de Ciberseguridade da UE. Esta Reserva, contemplada no Regulamento de Cibersolidariedade, presta servizos de resposta a incidentes de provedores de servizos privados de confianza. Como parte do plan, pódense levar a cabo exercicios nacionais de ciberseguridade, ademais de elabórase manuais de actuación para orientar ás organizacións sanitarias á hora de responder a ameazas concretas en materia de ciberseguridade, por exemplo, os programas de secuestro de arquivos. Anímase aos Estados membros a que soliciten a notificación dos pagos de rescate deses arquivos ás entidades, a fin de poder prestarlles o apoio que necesiten e facilitar a persecución do delito pola policía.
- Disuasión: protección dos sistemas sanitarios europeos, disuadindo aos autores de ciberameazas de atacalos. Isto comprende o uso do conxunto de instrumentos de ciberdiplomacia, unha resposta diplomática común da UE ás actividades informáticas malintencionadas.
O plan de acción aplicaranse en estreita colaboración cos prestadores de asistencia sanitaria, os Estados membros e a comunidade de ciberseguridade. Para optimizar as medidas de maior efecto en beneficio dos pacientes e dos prestadores de asistencia sanitaria, a Comisión poñerá en marcha en breve unha consulta pública sobre este plan, que estará aberta a todos os cidadáns e partes interesadas.
Próximas etapas
O plan de acción é o inicio dun proceso para mellorar a ciberseguridade no sector sanitario. En 2025 e 2026 iranse levando a cabo progresivamente medidas específicas. As conclusións da consulta incorpóranse a recomendacións ulteriores a finais de ano.
Contexto
A UE traballa en varios frentes para promover a ciberresiliencia e protexer aos seus cidadáns e empresas contra as ciberameazas nunha Europa cada vez máis dixital e conectada. Este plan de acción responde á urxencia da situación e ás singulares ameazas ás que se enfronta o sector. Basease no marco lexislativo vixente no ámbito da ciberseguridade. Os hospitais e outros prestadores de asistencia sanitaria defínense como sector altamente crítico en virtude da Directiva SRI 2. O marco de ciberseguridade da Directiva SRI 2 funciona de forma conxunta co Regulamento de Ciberresiliencia, a primeira das lexislacións da UE en establecer requisitos de ciberseguridade obrigatorios para os produtos que inclúen elementos dixitais, que entrou en vigor o 10 de decembro de 2024. A Comisión tamén puxo en marcha un Mecanismo de Ciberemerxencia no marco do Regulamento de Cibersolidariedade, o cal reforza a solidariedade e as actuacións coordinadas da UE para detectar, anticipar e afrontar eficazmente os crecentes incidentes e ameazas en materia de ciberseguridade.
Garantir unha infraestrutura dixital resiliente e segura é esencial para a implantación plena do Espazo Europeo de Datos de Saúde, que concederá protagonismo aos cidadáns no proceso asistencial ao outorgarlles completo control sobre os seus datos.
Fonte: Comisión Europea
Máis información:
