Desde finales del año 2020 el sector de la salud está siendo uno de los principales objetivos de ciberataques, debido en parte al alto valor de los datos que gestiona y la criticidad de sus servicios. Además, aumenta su perímetro de exposición a ataques por la creciente adopción de nueva tecnología médica, la conectividad de sus sistemas y el aumento del volumen y flujo de datos de salud. Otro factor a tener en cuenta es la falta de concienciación que aún existe entre los trabajadores del sector en lo relativo al uso seguro de aplicaciones y tratamiento de datos del paciente. Estudios como el de ENISA: Health Threat Landscape, ponen de manifiesto estos y otros motivos dibujando una realidad que complica la gestión, aplicación y mantenimiento de medidas de seguridad. Las consecuencias de estos ataques tienen un alto impacto, ya que pueden afectar a la correcta prestación de servicios de atención médica con implicación directa en la propia salud del paciente.
Como continuación del anterior artículo en el que veíamos los sectores y tamaños de empresas a los que se aplicará la NIS2 cuando se publique su trasposición a la legislación española, vamos a ver la clasificación de las entidades según el régimen de supervisión que les aplica en esenciales e importantes y las obligaciones de notificación y aplicación de medidas que han de cumplir.
Con el tiempo, se ha visto que la Directiva NIS tenía algunas carencias que daban poca uniformidad a la ciberseguridad y ciberresiliencia de la sociedad y los mercados digitales en la Unión. Por ello, en el marco de normas de la UE respecto a la ciberseguridad, en el 2022 se publicó una nueva versión de esta norma que la sustituye: la Directiva NIS2.