Hospitales y clínicas privadas tendrán que tomar medidas de ciberseguridad

La Unión Europea ha aprobado este miércoles las primeras normas comunes para mejorar la respuesta ante el fenómeno creciente de los ciberataques, unas normas que obligarán a diferentes empresas a tomar medidas para protegerse del riesgo y a informar a las autoridades de incidentes de seguridad grave. 

Desde Europa se dirigen especialmente a sectores estratégicos entre los que se encuentra la sanidad, junto a otros como la energía, el transporte, la banca o los servicios digitales. Para ellos cita unos criterios generales y unos criterios específicos, que en el caso sanitario se refieren tanto a hospitales como a clínicas privadas. Para definir cuáles se verían afectados remite a la Directiva 2011/24/EU de 9 de marzo, que en su artículo 3.g explica que se entiende por "prestador de asistencia sanitaria a toda persona física o jurídica que dispense legalmente asistencia sanitaria en el territorio de un Estado miembro". 

Para estos centros la normativa aprobada recuerda que "además de los factores intersectoriales, los factores específicos del sector también se deben considerar con el fin de determinar si un incidente tendría un efecto perjudicial significativo sobre la prestación de un servicio esencial. Para el sector de la salud, el número de pacientes bajo el cuidado del proveedor por año". 

Medidas nacionales

A partir de estas pinceladas cada Estado miembro deberá identificar a los operadores que ofrecen servicios críticos y si un incidente podría generar perturbaciones en la distribución de ese servicio, además de designar a autoridades nacionales competentes responsables de la seguridad de la información y las redes. 

Del mismo modo, los países tendrán que crear una red de equipos nacionales de respuesta a incidentes de seguridad informáticos para gestionar riesgos y fallos y desarrollar respuestas coordinadas, y habrá un grupo de coordinación a nivel europeo para el intercambio de información. Cada país pondrá en marcha también una estrategia para hacer frente a las amenazas de ciberataques. 

Para todo ello estará disponible la Agencia Europea de Seguridad en las Redes (Enisa), clave para la cooperación entre países y para la aplicación de las nuevas normas. 

Tras la aprobación de la Eurocámara la normativa entrará en vigor a los 20 días de publicarse en el Diario Oficial de la Unión Europea, y a partir de ahí los Estados miembro tendrán 21 meses para incorporarla a su legislación nacional, y seis meses añadidos para identificar a los operadores de servicios esenciales.