Los ataques cibernéticos dirigidos a hospitales o clínicas han seguido aumentando en los últimos años, presentando el sector a una presión aumentada: en 2023, los Estados miembros informaron 309 incidentes de ciberseguridad. El ransomware lidera los ciberencores para las organizaciones de salud, ya que los cibercriminales saben que sus sistemas operativos (OT) son críticos y que los datos de salud son muy sensibles. Por lo tanto, la UE ha decidido establecer un plan de acción de la UE para hospitales y proveedores de salud. Este es el primer plan sectorial que usa todas las medidas de seguridad cibernética de la UE.

Según Henna Virkkunen, un comisionado responsable de la soberanía tecnológica, la seguridad y la democracia, gracias a la transformación digital, la atención médica moderna ha hecho un progreso increíble, lo que permitió a los ciudadanos beneficiarse de una mejor atención médica. “Desafortunadamente, los sistemas de salud también están expuestos a incidentes y amenazas de ciberseguridad. Es por eso que estamos lanzando un plan de acción para garantizar la resiliencia de los sistemas de salud, las instituciones y los dispositivos médicos conectados ", dijo." Es mejor prevenir que curar, y, por lo tanto, debemos evitar ataques cibernéticos. Pero si ocurren, tenemos que poner todo en su lugar para detectarlos y poder ser capaces de reaccionar y restaurar los establecimientos impactados.

Cuatro prioridades

El plan se ha dado cuatro prioridades: primero, mejorar el trabajo de prevención, por ejemplo, brindando asesoramiento sobre la implementación de prácticas críticas de ciberseguridad. Los Estados miembros deben introducir "controles" de ciberseguridad para apoyar financieramente a los establecimientos pequeños y medianos y capacitar al personal de atención médica. Luego, para reaccionar más rápidamente a los ataques cibernéticos, el Plan propone establecer, para 2026, un servicio de alerta casi real sobre posibles cibercrencias.

En tercer lugar, el plan quiere fortalecer la respuesta a los ataques para limitar el daño al proporcionar servicios de gestión de incidentes por parte de proveedores de servicios de fideicomiso privado. También se alienta a los Estados miembros a exigir la declaración de pagos de rescate. Finalmente, un área final se refiere a la disuasión de los actores de amenaza al ir a la ofensiva contra ellos y usar las herramientas disponibles para proporcionar una respuesta diplomática conjunta de la UE contra la actividad cibernética de malware. Una consulta pública sobre este plan de acción entre los Estados miembros de la UE, los proveedores de salud y el sector de ciberseguridad está en marcha, y se esperan recomendaciones para fin de año. Se deben introducir medidas específicas en 2025 y 2026.