CCMI/244
Plan de acción sobre la ciberseguridad de los hospitales
DICTAMEN
Comisión Consultiva de las Transformaciones Industriales
Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones – Plan de acción europeo sobre la ciberseguridad de los hospitales y los prestadores de asistencia sanitaria
[COM(2025) 10 final]
Ponente: Alain COHEUR
Coponente: Hervé JEANNIN
|
Asesoras
|
Joyce LORIDAN (por el ponente del Grupo III)
|
|
|
Hun Xhing Madeline CHEAH (por el coponente de la categoría 2)
|
|
Consulta
|
Comisión Europea, 5/3/2025
|
|
Base jurídica
|
Artículo 304 del Tratado de Funcionamiento de la Unión Europea
|
|
Sección competente
|
Comisión Consultiva de las Transformaciones Industriales
|
|
Aprobado en sección
|
4/6/2025
|
|
Resultado de la votación
(a favor/en contra/abstenciones)
|
25/0/0
|
|
Aprobado en el pleno
|
D/M/2025
|
|
Pleno n.º
|
…
|
|
Resultado de la votación
(a favor/en contra/abstenciones)
|
…/…/…
|
1.Conclusiones y recomendaciones
1.1El CESE acoge con satisfacción el nivel de ambición del Plan de Acción europeo sobre la ciberseguridad de los hospitales y los prestadores de asistencia sanitaria y la atención que está recibiendo este tema. El sector ha sido un objetivo fundamental para los agentes de riesgo. La salud es personal y la sanidad se organiza a escala local en los Estados miembros y sus regiones. Sin embargo, la ciberseguridad es una prioridad para la Comisión Europea en lo que respecta a la salud de sus ciudadanos, el Espacio Europeo de Datos de Salud y el amplio sector sanitario de los Estados miembros, que abarca diversas entidades sanitarias, como hospitales, servicios de emergencia y los sectores farmacéutico y biotecnológico, cada vez más conectados al mundo exterior a través de la telemedicina, los portales de pacientes, las plataformas y los dispositivos ponibles. La mejora de la ciberseguridad en el sector sanitario no solo refuerza la seguridad y la resiliencia de manera general, sino que contribuye a la preparación de la Unión ante las crisis.
1.2A fin de mejorar las medidas de seguridad en este ámbito, el Comité presenta una serie de propuestas que se enmarcan en diferentes categorías:
1.2.1Medidas financieras
1.2.1.1El CESE lamenta que en este momento no se esté abordando de manera suficiente la cuestión del apoyo financiero para la aplicación del Plan de Acción. Esto podría generar desigualdades en el nivel de protección que reciben los pacientes, en función de los recursos de que dispongan los centros de salud. El CESE anima a la Comisión a que garantice una concentración temática para prestar apoyo financiero a través de los fondos de cohesión.
1.2.1.2El CESE destaca las disparidades en la inversión en ciberseguridad en toda la UE, y señala que Francia por sí sola tiene la intención de invertir más de 1 000 millones EUR al año, lo cual, extrapolado al conjunto de la UE, apunta a una necesidad mínima de 7 500 millones EUR anuales. Para prevenir un ciberataque, los hospitales deben asignar alrededor del 10 % de sus presupuestos informáticos a la ciberseguridad. Debe tenerse en cuenta el seguimiento de la territorialidad de las inversiones.
El CESE toma nota del apoyo de 6 millones EUR a la Agencia de la Unión Europea para la Ciberseguridad (ENISA), pero subraya que la financiación es inadecuada en vista de la importancia de lo que está en juego para la seguridad de los hospitales, los ciudadanos y los pacientes que, en caso de ataque, pueden dejar de tener acceso al diagnóstico y el tratamiento. Debe invitarse a la ENISA a completar su documento «Panorama de amenazas: sector sanitario» con una cartografía financiera de la situación de la inversión en ciberseguridad en los Estados miembros.
El apoyo financiero al Plan de Acción europeo debe abordar las inversiones en:
§Prevención: asegurar dispositivos e infraestructura hospitalaria para infraestructuras que abarquen 2,3 millones de camas de hospital en la UE.
§Educación: sensibilización y formación de más de diez millones de profesionales sanitarios y trabajadores sociales.
§Reparación y recuperación, que podrían alcanzar varios millones de euros por incidente.
La ENISA podría recibir préstamos acelerados para herramientas de protección informática y ciberseguridad. Estos fondos deben destinarse al sector de la asistencia sanitaria y social, bajo determinadas condiciones.
1.2.1.3El CESE propone que se estudie si el gasto en ciberseguridad en el sector de la salud podría tenerse en cuenta para la cláusula general de salvaguardia del Pacto de Estabilidad y Crecimiento, y si podría considerarse gasto en defensa para proteger la salud de los ciudadanos europeos y las infraestructuras sanitarias críticas. La inversión que necesitan las entidades sanitarias para garantizar la ciberseguridad en la prestación de asistencia sanitaria será mayor que en otros sectores, dado el riesgo de incidentes.
1.2.1.4Dado que las cifras totales del coste de los ciberataques contra el sector sanitario en la UE son difíciles de calcular (hasta 20 millones EUR por ataque en Francia), el CESE propone invertir en costes de seguimiento y rastreo para que la Comisión Europea pueda adaptar mejor las inversiones, ya sea para los puntos críticos de delincuencia, las zonas locales que necesitan más ayuda o para comprender qué tecnologías de seguridad o campañas educativas son más eficaces.
1.2.1.5El CESE destaca el papel de las autoridades de protección de datos de los Estados miembros para garantizar que los hospitales y otras entidades sanitarias adopten las medidas de seguridad adecuadas. Los Estados miembros pueden desempeñar un papel, en caso de ausencia de medidas preventivas de ciberseguridad, mediante la imposición de multas.
1.2.2Medidas técnicas
1.2.2.1El CESE recomienda:
-sensibilizar sobre las prácticas básicas de ciberhigiene (como las buenas políticas de control de accesos al sistema, la desactivación de los puertos USB, el uso de programas antivirus para los nodos finales, el aislamiento de dispositivos no seguros y la cuarentena de equipos infectados);
-invertir en gemelos digitales para hospitales, sistemas sanitarios o productos sanitarios a fin de facilitar garantías y pruebas;
-prestar asistencia técnica a pequeñas unidades médicas (por ejemplo, mediante la provisión de servidores seguros o la prestación de servicios de seguridad por parte de una autoridad centralizada como la ENISA) que, debido a su reducido tamaño, no pueden invertir en riesgos de ciberseguridad;
-invertir en capacidades técnicas estratégicas (por ejemplo, la seguridad de las tecnologías operativas, el vínculo entre seguridad y protección, preparación forense, IA, etc.).
1.2.3Medidas relativas a los procesos
1.2.3.1El CESE desea llamar la atención sobre un conjunto de medidas cautelares y preventivas que deberían mejorar el nivel de protección en el sector sanitario y reducir el riesgo de ciberataques:
-realización de pruebas adecuadas (pruebas de resistencia, pruebas de penetración, etc.), no solo a nivel del producto y del proveedor, sino también a nivel del sistema (cuando los productos están integrados en los sistemas sanitarios) y a nivel operativo;
-elaboración de planes de continuidad de la actividad, actualizados y revisados periódicamente, tanto a nivel interno como externo, por auditores independientes. Estos planes también deben incorporar un modo de seguridad o copia de seguridad para los hospitales y los sistemas sanitarios, de modo que puedan seguir funcionando;
-seguir las mejores prácticas en materia de seguimiento y reparación, entre otras cosas garantizar que existan niveles adecuados de respuesta, tanto de carácter descentralizado (dentro de cada hospital, prestador o sistema sanitario, incluidos los hogares) como centralizado (por ejemplo, utilizando equipos nacionales de seguridad informática como CSIRT o ISAC). La adquisición, como parte de las prácticas de contratación pública, de la documentación necesaria para certificar o validar la ciberseguridad de los equipos (por ejemplo, que cumplan las normas sobre ciberseguridad establecidas en el RGPD).
1.2.3.2En opinión del CESE, la Comisión debe considerar, en el marco del Plan de Acción, la certificación de los proveedores de ciberseguridad con el fin de contribuir a la creación de un ecosistema fiable, aunque destaca al mismo tiempo la carga financiera que pesa actualmente sobre los hospitales y los centros de salud y alerta contra nuevos aumentos de los costes.
1.2.3.3El CESE reconoce que la normalización es muy útil, pero también señala que conduce inevitablemente a una falta de resiliencia, a menos que se establezcan salvaguardias y contramedidas específicas. El plan debe integrarse con otras iniciativas de resiliencia física y ciberresiliencia, incluido el Reglamento de Ciberresiliencia.
1.2.4Medidas educativas
1.2.4.1Dado que la educación es un pilar central del Plan de Acción, el CESE recomienda planes de educación y formación continua desarrollados con los interlocutores sociales, así como mecanismos para la transferencia de conocimientos entre las diversas entidades y las partes interesadas profesionales a fin de abordar los retos en materia de ciberseguridad, ética, privacidad e IA.
1.2.4.2Cuando se introduzcan nuevas herramientas informáticas, el CESE propone garantizar una respuesta institucional coherente a los ciberataques que proteja la privacidad y la gestión adecuada de los datos, tal como se prevé en la legislación de los Estados miembros y en los acuerdos de negociación colectiva con los interlocutores sociales para los contratos colectivos.
1.2.4.3El CESE estima que, para hacer frente a las amenazas a la ciberseguridad, la educación sanitaria debe incluir una formación específica en este ámbito. Las microcredenciales ofrecen una forma flexible y rentable de mejorar las capacidades de los profesionales sin necesidad de alterar los planes de estudios básicos, puesto que mejoran la resiliencia sanitaria y constituyen un objetivo clave de la iniciativa de la Comisión sobre la Unión de las Competencias.
1.2.4.4 En opinión del CESE, en la revisión de la Década Digital de la UE debe prestarse una atención fundamental a la necesidad de abordar el déficit de mano de obra en el ámbito de la ciberseguridad y los bajos niveles de seguridad en la asistencia sanitaria. La inversión estratégica en capacidades multidisciplinares (ciberseguridad, IA, preparación forense y seguridad de los productos sanitarios) es esencial para hacer frente a amenazas complejas y crear resiliencia a largo plazo.
1.2.4.5El CESE reconoce que la digitalización de la salud y el bienestar y la posibilidad de que existan amenazas de violaciones de la ciberseguridad pueden ser causa de malestar psicológico para los profesionales sanitarios y los pacientes, y aboga por una integración de la alfabetización y las capacidades fundamentales en materia de ciberseguridad en beneficio de los ciudadanos y los profesionales sanitarios europeos.
1.2.4.6El CESE recomienda que la Comisión ejerza plenamente su papel de apoyo y coordinación mediante la utilización de los fondos de la UE para promover campañas de sensibilización en materia de ciberseguridad sobre los riesgos de amenaza y la prevención en el lugar de trabajo a través de recomendaciones en materia de ciberhigiene.
2.Observaciones generales
2.1En 2020, la ENISA notificó un aumento del 47 % del conjunto de los ciberataques en toda la UE en comparación con el año anterior; en Francia, el número de casos notificados se duplicó en 2021. La ENISA ha reconocido las necesidades de ciberseguridad del sector sanitario y ha acogido con satisfacción el Plan de Acción de la Comisión Europea de enero de 2025 (cuyo objetivo es mejorar continuamente la ciberresiliencia a partir de 2025) de cara a dotar a hospitales, clínicas y proveedores de asistencia sanitaria de un alto nivel de protección contra cualquier ataque a los sistemas informáticos o las tecnologías operativas de estas entidades.
2.2Proteger a las personas, las empresas y las instituciones de los riesgos cibernéticos es una prioridad clave de la Declaración Europea sobre los Derechos y Principios Digitales para la Década Digital
. El CESE hace hincapié en la necesidad de una política integral y transversal de la UE en materia de ciberseguridad para salvaguardar la salud pública y el derecho a la asistencia sanitaria. El CESE anima a la Comisión a que adopte un enfoque de la ciberseguridad basado en derechos que se apoye en los valores (digitales y constitucionales) de la UE y a que reconozca la ciberseguridad como un derecho similar a otros derechos fundamentales como la privacidad y la protección de datos y la seguridad física. El CESE recomienda no limitar la ciberseguridad a la protección de las infraestructuras, los sistemas y los datos.
2.3Los sistemas robóticos y los equipos digitales desempeñan un papel cada vez más importante en la cirugía, en el seguimiento de la salud de los pacientes y en las pruebas médicas, y podrían llegar a causar daños físicos y mentales reales en caso de que estos sistemas digitales no estén protegidos (por ejemplo, contra la mala calibración deliberada de robots quirúrgicos y la apertura de puertas traseras o backdoor triggers en los sistemas de diagnóstico por IA). El CESE pide que se preste mucha más atención a los sistemas heredados y a la confluencia entre las tecnologías de la información y las tecnologías operativas, ya que las lagunas en los procesos normalizados y la sensibilización son complejas. Para abordar los retos de esta intersección concreta, se requiere un enfoque multidisciplinar (incluida una ingeniería de seguridad), conocimientos especializados y capacidad para reconocer y someter a prueba nuevas amenazas utilizando herramientas y metodologías novedosas. El Plan de Acción también debe examinar los sistemas «ciberfísicos» y los esfuerzos realizados para avanzar en este ámbito.
2.4El CESE pide a la Comisión que aclare a qué prestadores de asistencia sanitaria afecta el Plan de Acción. El Plan de Acción establece que el sector sanitario engloba un gran número de entidades y agentes, como hospitales, clínicas, residencias, centros de rehabilitación y diversos prestadores de asistencia sanitaria, junto con la industria farmacéutica, médica y biotecnológica, los fabricantes de productos sanitarios y las instituciones de investigación sanitaria. El CESE pide a la Comisión que aclare si su visión global del sector sanitario se corresponde con esta descripción y llama la atención sobre los objetivos sanitarios determinados por la ENISA. La Comisión debe tener en cuenta la interacción indirecta con el ecosistema general, incluidos los productos comerciales de bienestar (por ejemplo, los monitores de actividad, los entrenadores de pérdida de peso, etc.).
2.5La Comisión Europea hace especial hincapié en la cooperación con empresas tecnológicas y organizaciones privadas con ánimo de lucro en la prestación de servicios de ciberseguridad para garantizar la protección de los hospitales y del sector sanitario. Si bien la colaboración con el sector con ánimo de lucro puede ofrecer beneficios valiosos para reforzar la ciberseguridad, hay que proceder con cautela. Los centros de salud deben ser conscientes de los posibles conflictos de intereses que pueden surgir cuando las empresas comerciales intervienen en la gestión de datos sensibles de los pacientes. Existe el riesgo de que los intereses comerciales de estas empresas, como la maximización de los beneficios, prevalezcan sobre la protección de la intimidad de los pacientes y la integridad de los datos médicos. Se subraya que las empresas europeas deben cumplir la legislación europea que protege la privacidad de los pacientes y la integridad de los datos médicos (RGPD).
2.6El CESE celebraría que se incorporaran normas éticas y cláusulas de protección de la intimidad al Plan de Acción europeo.
2.7El CESE anima a la Comisión a que refuerce el mandato de los equipos de respuesta a incidentes de seguridad informática (CSIRT) mediante la mejora de la coordinación, la racionalización de la comunicación y el refuerzo de la cooperación transfronteriza entre los hospitales europeos en aras de un intercambio más eficaz de la inteligencia sobre amenazas. El refuerzo de la seguridad informática en la asistencia sanitaria mediante la puesta en común y la profesionalización de los conocimientos especializados en ciberseguridad mejorará la ciberresiliencia general del sector y la preparación frente la evolución de las amenazas. Del mismo modo, aumentar la seguridad de la tecnología operativa y hacer menos permeables los sistemas médicos mediante una ingeniería de seguridad y protección integrada ayudará a contener posibles ciberataques.
2.8Un conjunto de herramientas de ciberseguridad podría proporcionar una serie completa de recursos, mejores prácticas y herramientas diseñados para ayudar a las grandes y pequeñas organizaciones de asistencia sanitaria a protegerse frente a las amenazas digitales. La utilización de simulaciones y escenarios reales puede mejorar el aprendizaje y ayudar al personal a comprender las implicaciones prácticas de las violaciones de la ciberseguridad.
2.9El número de personas a las que se permite acceder a redes externas en la web y aportar datos externos debe ser limitado. Es sabido que los seres humanos pueden ser el eslabón más débil en la cadena de protección de un sistema informático. Por lo tanto, deben implantarse sistemas centrados en el ser humano (impulsados potencialmente por la IA) para detectar ataques e impartir formación sobre cómo mitigar las amenazas internas. Lo ideal sería que las estaciones de trabajo estén desconectadas de la red hospitalaria para que el ataque solo afecte al propio ordenador personal y solo se pueda duplicar una cantidad mínima de datos. Una vez comprobado que el ordenador no contiene virus, se desconecta de la red externa y se conecta a la red del hospital para la transmisión de datos. Los ordenadores se actualizan cada mañana con los datos de los pacientes del día.
2.10 Si los empleados necesitan acceder a la web no segura, esto debe hacerse a través de ordenadores personales no conectados a la red del hospital y sin posibilidad de realizar copias de seguridad ni transferencias de datos.
2.11Conviene anticiparse a una posible amenaza interna en un hospital (aunque se limite al 2 % de los incidentes), con un enfoque basado en el riesgo para determinar qué nivel de vigilancia es el más adecuado, ya sea a través de redes informáticas, de vigilancia física como cámaras, o de puntos de control de acceso como los pases de los empleados. El diálogo social en los hospitales y en el sector sanitario debe evitar que la vigilancia se convierta en intrusismo.
2.12Para el CESE es imperativo que los hospitales de la UE dispongan de planes de gestión de incidentes y de continuidad de la actividad que incluyan procedimientos de respuesta a incidentes, soluciones de comunicación de apoyo y copias de seguridad desconectadas para responder con rapidez y eficacia en caso de ataque. Una parte esencial de los planes de gestión de incidentes y de continuidad de la actividad es la realización de pruebas de resistencia frecuentes, que simulan escenarios de ciberataque en un entorno virtual, lo que permite medir el grado y el nivel de impacto de un ciberataque y verificar las capacidades de respuesta de un establecimiento sanitario. Es de vital importancia que los trabajadores participen de manera adaptada y se les dote de capacidades concretas para ello.
2.13El CESE propone desarrollar un simulador digital con escenarios de ataque y respuesta fáciles de implantar y utilizar. Este simulador podría utilizarse como herramienta de demostración para fines de sensibilización, información y educación.
2.14Asimismo, se propone realizar con frecuencia ejercicios de simulación de ataques, comprobar el modo en que se aplica el plan de restablecimiento del servicio y mejorar los procedimientos para el ejercicio contable siguiente, por ejemplo mediante un aumento del número de personas formadas en estos planes de restablecimiento, o bien la elaboración de instrucciones más sencillas y explícitas.
2.15En caso de que no se haya detectado un ataque y este haya causado daños graves a los servicios debido a su sofisticación, será necesario recurrir a un modo de eficiencia reducida con un retorno temporal al modo manual para no bloquear las operaciones al inicio de un ataque. Se debe formar al personal para que sepa cómo organizar el servicio en formato papel hasta que se restablezca el servicio informático. Posteriormente, deberá crearse un registro manual de las medidas adoptadas.
2.16Todo equipo con un microprocesador (o documentación anexa al equipo) instalado en un hospital deberá ser verificado de antemano por el responsable interno del riesgo de ciberseguridad a fin de verificar que no se haya implantado un virus previamente. Se reconoce que no todos los hospitales dispondrán de recursos suficientes para dedicar todo un departamento interno a la ciberseguridad. Se propone que el responsable del riesgo (por analogía con un responsable del tratamiento de datos en el sentido del RGPD) sea el encargado del cierre de sesión, con el apoyo de los proveedores tecnológicos, su servicio informático o los miembros de la iniciativa de que se trate.
2.17El CESE pide que se preste atención a las pequeñas unidades médicas con un departamento informático reducido, y pide que se aclare el papel de la ENISA en lo que respecta al suministro de software o servidores seguros; asimismo, anima a los hospitales pioneros a realizar intercambios y contribuir al aprendizaje en materia de ciberseguridad de las entidades más pequeñas.
2.18El Plan de Acción europeo podría incorporar el uso de hackers éticos y organizaciones sin ánimo de lucro como práctica habitual, facilitando colaboraciones o programas formales que permitan a los centros de salud aprovechar este asesoramiento externo sin incurrir en cargas financieras significativas. Esto no solo mejoraría la ciberseguridad general, sino que también contribuiría a una cultura más amplia de colaboración e intercambio de conocimientos dentro del sector.
2.19El CESE propone, de conformidad con la legislación de los Estados miembros, recurrir a la negociación colectiva y los acuerdos colectivos para garantizar una respuesta institucional coherente a los ciberataques, la protección de la privacidad y una gestión adecuada de los datos, junto con la consolidación del diálogo social y la participación de los interlocutores sociales en el seguimiento y el control de los procesos relativos a los ciberataques y la confidencialidad de los datos para empleados y pacientes. Se destaca la necesidad de debatir sobre el riesgo de estrés psicológico inducido por la ciberseguridad en un marco de diálogo social.
2.20Según la paradoja de la fuerza irresistible, los atacantes avanzan teóricamente con mayor rapidez que los defensores y, por analogía, la innovación delictiva también gana en velocidad. En los centros de ayuda, aparte de la inteligencia sobre amenazas, también deben realizarse actividades de escrutinio de horizontes y preparación para el futuro. Por ejemplo, puede que los agentes de riesgo que plantean amenazas de programas de secuestro no solo estén llevando a cabo violaciones normales de la seguridad de los datos, sino que, incluso en los casos en que se restablezca el acceso, hayan puesto en peligro la integridad de los datos de forma selectiva (especialmente si el objetivo es estratégico).
2.21La ciberseguridad abarca ahora muchos más ámbitos que el software y la conectividad. También incluye elementos de sistemas físicos, así como de IA. Debe darse prioridad a la integración de los procesos de garantía y los requisitos estipulados, como los establecidos en el Reglamento sobre los productos sanitarios o el Reglamento de Inteligencia Artificial de la UE.
2.22Se recomienda que, en la mayor medida posible, los datos sensibles se ubiquen preferiblemente en nubes médicas públicas de soberanía europea, con una verificación doble o triple cuando personas autorizadas accedan a dichos datos, lo que también contribuiría en gran medida a restablecer rápidamente el servicio tras una penetración en los sistemas informáticos.
Bruselas, 5 de junio de 2025.
El Presidente de la Comisión Consultiva de las Transformaciones Industriales
Pietro Francesco De Lotto
_____________