19 de octubre de 2017 | Actualizado: Jueves a las 11:15
Política Sanitaria > Sanidad hoy

Hospitales y clínicas privadas tendrán que tomar medidas de ciberseguridad

La sanidad, citada como sector estratégico por la normativa de la UE, tendrá que protegerse de posibles ciberataques

La UE fija criterios específicos para centros sanitarios por formar parte de un sector estratégico
Hospitales y clínicas privadas tendrán que tomar medidas de ciberseguridad
Redacción
Miércoles, 06 de julio de 2016, a las 17:20
La Unión Europea ha aprobado este miércoles las primeras normas comunes para mejorar la respuesta ante el fenómeno creciente de los ciberataques, unas normas que obligarán a diferentes empresas a tomar medidas para protegerse del riesgo y a informar a las autoridades de incidentes de seguridad grave. 

Desde Europa se dirigen especialmente a sectores estratégicos entre los que se encuentra la sanidad, junto a otros como la energía, el transporte, la banca o los servicios digitales. Para ellos cita unos criterios generales y unos criterios específicos, que en el caso sanitario se refieren tanto a hospitales como a clínicas privadas. Para definir cuáles se verían afectados remite a la Directiva 2011/24/EU de 9 de marzo, que en su artículo 3.g explica que se entiende por "prestador de asistencia sanitaria a toda persona física o jurídica que dispense legalmente asistencia sanitaria en el territorio de un Estado miembro". 

Para estos centros la normativa aprobada recuerda que "además de los factores intersectoriales, los factores específicos del sector también se deben considerar con el fin de determinar si un incidente tendría un efecto perjudicial significativo sobre la prestación de un servicio esencial. Para el sector de la salud, el número de pacientes bajo el cuidado del proveedor por año". 

Medidas nacionales

A partir de estas pinceladas cada Estado miembro deberá identificar a los operadores que ofrecen servicios críticos y si un incidente podría generar perturbaciones en la distribución de ese servicio, además de designar a autoridades nacionales competentes responsables de la seguridad de la información y las redes. 

Del mismo modo, los países tendrán que crear una red de equipos nacionales de respuesta a incidentes de seguridad informáticos para gestionar riesgos y fallos y desarrollar respuestas coordinadas, y habrá un grupo de coordinación a nivel europeo para el intercambio de información. Cada país pondrá en marcha también una estrategia para hacer frente a las amenazas de ciberataques. 

Para todo ello estará disponible la Agencia Europea de Seguridad en las Redes (Enisa), clave para la cooperación entre países y para la aplicación de las nuevas normas. 

Tras la aprobación de la Eurocámara la normativa entrará en vigor a los 20 días de publicarse en el Diario Oficial de la Unión Europea, y a partir de ahí los Estados miembro tendrán 21 meses para incorporarla a su legislación nacional, y seis meses añadidos para identificar a los operadores de servicios esenciales.