La Comisión Europea recuerda que los Estados miembro tenían de plazo hasta octubre de 2024 para transponer la directiva

Tirón de orejas de la Comisión Europea a España en ciberseguridad sanitaria
La presidenta de la Comisión Europea, Ursula von der Leyen.


La Comisión Europea ha llevado a España ante el Tribunal de Justicia de la Unión Europea (TJUE) por no haber notificado las medidas para transponer al Derecho nacional la directiva comunitaria sobre ciberseguridad aprobada en 2022, una norma que, en esencia, establece normas “estrictas” sobre seguridad en las redes y los sistemas de información para las entidades que operan en 18 sectores críticos, entre ellos la sanidad.

Según sostiene Bruselas en un comunicado, la “plena aplicación” de la directiva SRI 2 “es esencial para mejorar la resiliencia de la Unión Europea (UE) y las capacidades de respuesta en caso de incidentes de las entidades públicas y privadas que operan en estos sectores críticos y de la UE en su conjunto”.

Los Estados miembro tenían de plazo hasta el 17 de octubre de 2024 para transponer a sus respectivos ordenamientos jurídicos esta norma. La mayoría, indica la Comisión Europea, cumplieron sus deberes en fecha, pero España, Francia, Irlanda y los Países Bajos aún no han notificado al Ejecutivo comunitario si han llegado a hacerlo.

Bruselas explica que les envió cartas de emplazamiento el 28 de noviembre de 2024 y dictámenes motivados el 7 de mayo de 2025. En ambos casos se incluye una solicitud al TJUE para que imponga sanciones financieras a estos socios comunitarios que consistan en una cantidad a tanto alzado y en multas diarias hasta que notifiquen que han efectuado la transposición completa.

Protección frente al aumento de ciberamenazas


El Ejecutivo dirigido por Ursula von der Leyen subraya que la ciberseguridad “implica la protección de las redes y los sistemas de información, los usuarios y las personas afectadas frente a incidentes y amenazas cibernéticos”. Ante el aumento de las ciberamenazas, la Directiva SRI 2 exige a los Estados miembro que refuercen sus capacidades de ciberseguridad e introduzcan “medidas de gestión de riesgos” y “obligaciones de notificación de incidentes” para las entidades que operen en hasta 18 sectores críticos, entre los que se encuentran la sanidad, la energía, el transporte y el sector público.

El 20 de enero de 2026, como parte de un paquete de ciberseguridad, la Comisión propuso modificaciones específicas de la Directiva SRI 2 para “aportar una mayor claridad jurídica”. Estas modificaciones, indica Bruselas, “facilitan el cumplimiento de las normas de ciberseguridad y los requisitos de gestión de riesgos por parte de las empresas que operan en la UE”.
Las informaciones publicadas en Redacción Médica contienen afirmaciones, datos y declaraciones procedentes de instituciones oficiales y profesionales sanitarios. No obstante, ante cualquier duda relacionada con su salud, consulte con su especialista sanitario correspondiente.