Las brechas en ciberseguridad sanitaria abren la puerta a multas en la UE

Los ciberataques al sector sanitario son un problema creciente. Las mejoras tecnológicas han optimizado la asistencia, aumentado la eficiencia del sistema y flexibilizado la atención sanitaria. Sin embargo, también han abierto la puerta a mayores riesgos de seguridad. En muy poco tiempo, los hospitales se han convertido en uno de los principales objetivos de los ciberdelincuentes. Ante esta situación, el Comité Europeo de las Regiones (CDR) advierte que no se están tomando las medidas adecuadas y pide a la Comisión Europea que inicie procedimientos de infracción cuando no reciba una respuesta satisfactoria en el plazo establecido.

En su dictamen sobre Ciberseguridad de los hospitales y los prestadores de asistencia sanitaria, el CDR asegura que la digitalización del sector no ha ido acompañada de suficientes medidas de protección, lo que expone a hospitales y proveedores a ciberataques cada vez más frecuentes y sofisticados. Celebra el nuevo Plan de Acción de la UE y reclama aplicar el principio de “ciberseguridad desde el diseño” en todas las tecnologías sanitarias. También pide priorizar productos con garantías de protección y contar con sistemas de respuesta rápida. En este contexto, el Comité insta a los Estados miembros a aplicar la Directiva sobre la resiliencia de las entidades críticas, en vigor desde octubre de 2024, que reconoce la sanidad como servicio esencial y busca reforzarla frente a amenazas como la ciberdelincuencia. Reclama a la Comisión que inicie procedimientos de infracción si no se cumplen los plazos y recuerda que los países deben identificar sus entidades críticas antes de julio de 2026. Además, expresa su preocupación por la falta de evaluaciones de riesgos en hospitales y la escasa preparación frente al ransomware.

El papel de los entes locales y regionales en la ciberdelincuencia

El CDR critica que la Comunicación de la Comisión no mencione a los niveles regional y local, a pesar de que en 19 de los 27 Estados miembros la gestión hospitalaria está descentralizada. Considera preocupante esta omisión, ya que ignora la realidad administrativa de gran parte del sistema sanitario europeo. Así, insta a los gobiernos nacionales a involucrar plenamente a las regiones en el diseño y aplicación de estrategias de ciberseguridad, destacando su papel clave en el despliegue de soluciones digitales. También alerta sobre la desigualdad entre modelos sanitarios y advierte que las entidades públicas, por sus limitaciones presupuestarias, tienen dificultades para atraer expertos en ciberseguridad. Propone crear redes regionales de apoyo y planes nacionales inclusivos.

Sobre el tema de la financiación, subraya que el gasto en ciberseguridad debe integrarse de forma sistemática en la planificación presupuestaria sanitaria. Advierte que los hospitales no pueden adquirir soluciones de protección de forma aleatoria y descoordinada, sino que deben financiarse y evaluarse medidas eficaces para proteger sistemas tecnológicos vitales. El CDR llama la atención sobre las dificultades que enfrentan las regiones más pequeñas para gestionar y costear infraestructuras seguras, y alerta de que el coste medio de un ciberataque con ransomware en el sector sanitario alcanza los ocho millones de euros. Ante esto, pide una financiación sostenida y específica, procedente tanto de fuentes nacionales como de la Unión Europea, “para que los hospitales eliminen las tecnologías heredadas a las que no se preste asistencia técnica y facilitarles la transición hacia soluciones más seguras y escalables basadas en la nube”.

La ciberseguridad, clave en la atención a los pacientes

El Comité Europeo de las Regiones recuerda que la seguridad y la privacidad son inseparables en el entorno digital sanitario. Las medidas de ciberseguridad no solo protegen la integridad y disponibilidad de los datos, sino que también son esenciales para salvaguardar la intimidad de los pacientes. A su vez, la normativa de privacidad exige controles técnicos específicos que refuercen esa protección. Garantizar la confidencialidad de la información médica no solo es una obligación legal, sino también un factor clave para generar confianza en los sistemas sanitarios y promover una cultura de ciberseguridad sólida y consciente.