Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Cómo afecta la Directiva Europea NIS2 al sector salud

Fecha de publicación 25/04/2024
Autor
Juan Díez González
Cómo afecta la Directiva Europea NIS2 al sector salud

Desde finales del año 2020 el sector de la salud está siendo uno de los principales objetivos de ciberataques, debido en parte al alto valor de los datos que gestiona y la criticidad de sus servicios. Además, aumenta su perímetro de exposición a ataques por la creciente adopción de nueva tecnología médica, la conectividad de sus sistemas y el aumento del volumen y flujo de datos de salud. Otro factor a tener en cuenta es la falta de concienciación que aún existe entre los trabajadores del sector en lo relativo al uso seguro de aplicaciones y tratamiento de datos del paciente. Estudios como el de ENISA: Health Threat Landscape, ponen de manifiesto estos y otros motivos dibujando una realidad que complica la gestión, aplicación y mantenimiento de medidas de seguridad. Las consecuencias de estos ataques tienen un alto impacto, ya que pueden afectar a la correcta prestación de servicios de atención médica con implicación directa en la propia salud del paciente. 

Normativa actual y cambios previstos

Cada entidad pública o privada que opera en el sector de la salud debe conocer el marco normativo o regulatorio en materia de ciberseguridad que le es de aplicación en función de su actividad, los servicios o productos que provee o gestiona, así como la información que genera, procesa y almacena. Esta normativa puede ser de propósito general, como el RGPD y sus leyes derivadas (LO 3/2018) en relación a la protección de datos, la Directiva Europea NIS (UE 2016/1148) y sus leyes derivadas (RD 12/2018 y RD 43/2021) en relación a la ciberseguridad y la Ley PIC (LO 8/2011) y sus leyes derivadas (RD 704/2011) relativas a la protección de infraestructuras críticas, así como otras normas de carácter sectorial.

Estas normas deben revisarse y actualizarse con relativa frecuencia, dado que la realidad es cambiante con un aumento del cibercrimen y el impacto que ocasiona y, además, para realizar una armonización de las mismas fruto de sus diferentes momentos de publicación y entrada en vigor. Esta renovación permite subir el listón en lo que a medidas de seguridad se refiere, así como implicar a más actores esenciales en su cumplimiento. Buen ejemplo de esto es que la normativa de ciberseguridad antes citada proviene del año 2016, cuando la Unión Europea aprobó la Directiva NIS con el objetivo de lograr un elevado nivel común de seguridad dentro de la Unión Europea, estableciendo una serie de medidas de ciberseguridad de obligado cumplimiento para operadores de servicios esenciales, entre otros del sector salud, así como prestadores de servicios digitales. 

Su renovación se ha materializado a principios de este año (2023), cuando ha entrado en vigor la Directiva Europea NIS2, cuya fecha de transposición al ordenamiento jurídico nacional se espera como límite en octubre de 2024. Esta va a suponer un cambio importante, puesto que será de aplicación para más entidades del sector, incluirá un seguimiento e inspección a las entidades sujetas a la normativa y un régimen sancionador estricto y elevará los niveles de cumplimiento de las medidas de ciberseguridad.

Ámbito de aplicación de la NIS2 al sector de la salud

Con carácter general, la Directiva NIS2 aplica a entidades públicas o privadas del sector de la salud, entre otros, cuyas actividades estén recogidas en los anexos I y II que recoge la siguiente tabla:

ANEXO I

ANEXO II

Sector sanitario:

  • Prestadores de asistencia sanitaria.

  • Laboratorios de referencia de la UE.

  • Entidades que realizan actividades de investigación y desarrollo de medicamentos.

  • Entidades que fabrican productos farmacéuticos de base y especialidades farmacéuticas.

  • Entidades que fabrican productos sanitarios que se consideran esenciales en situaciones de emergencia de salud pública. 

Fabricación:

  • Entidades que fabrican productos sanitarios y productos sanitarios para diagnóstico.

Organismos de investigación:

  • Entidades que dedican la parte esencial de sus actividades a la investigación aplicada o al desarrollo experimental, en el sentido del Manual de Frascati 2015, con el propósito de aprovechar sus resultados con fines comerciales, como la fabricación o desarrollo de un producto, proceso o la prestación de un servicio o su comercialización.

La Directiva NIS2, en su artículo 3, realiza una clasificación de las entidades afectadas en función a su nivel de criticidad. 

De manera genérica, se consideran entidades esenciales (más críticas) a grandes empresas, con más de 250 empleados y más de 50 millones de euros de volumen de negocios anual, englobadas en el anexo I, y entidades importantes a medianas empresas, con más de 50 empleados y más de 10 millones de euros de volumen de negocios anual, del anexo I, así como a medianas y grandes empresas del anexo II. 

Como excepción, hay que mencionar que la autoridad competente de cada Estado miembro podrá clasificar como esencial o importante a cualquier proveedor de servicio que ante una disrupción pueda provocar consecuencias significativas con respecto a la seguridad y salud pública. De esta forma, si, por ejemplo, una empresa pequeña es la única con capacidad para fabricar cierto medicamento dentro de un país y la parada de sus servicios pudiera causar un impacto significativo para la salud pública del país, el órgano competente que corresponda podría clasificarla como entidad esencial o importante si así lo considera, aun sin cumplir los requisitos generales de tamaño (número de empleados y volumen de negocio) de aplicación de la directiva. 

En resumen, cuando entre en vigor la norma, automáticamente será de aplicación para todos los operadores del sector de la salud, públicos o privados, cuya actividad se encuentre incluida en la tabla anteriormente mencionada, y que cumplan los criterios de número de empleados y volumen de negocio indicados, o bien sin cumplirlos, pero que hayan sido designados de forma expresa por la autoridad competente. 

Obligaciones, sanciones y medidas de supervisión

Las entidades afectadas por la Directiva NIS2 tendrán unas obligaciones que cumplir y, aunque aún no está traspuesta a la legislación española, ya pueden comenzar a trabajar tanto en las medidas técnicas, operativas y de organización definidas en la propia directiva como en los procedimientos para la notificación de incidentes de impacto significativo a su CSIRT de referencia (equipo de respuesta a incidentes de seguridad informáticos) o en su caso a su autoridad competente.

Además, en función del nivel de criticidad de las empresas antes citados, los Estados miembros podrán aplicar unas medidas de supervisión y unas sanciones tipificadas. En el caso de las sanciones para las entidades importantes, pueden suponer multas administrativas de hasta 7 millones de euros o el 1,4% del volumen de negocios anual, la cuantía mayor, y para las entidades esenciales (de mayor criticidad), estas sanciones pueden alcanzar multas administrativas de hasta 10 millones de euros o el 2% del volumen de negocios anual, la cuantía mayor.

Además, en este último caso, la sanción podría incluir la prohibición temporal de cualquier persona que ejerza responsabilidades de dirección a nivel de director general o representante legal en dicha entidad esencial. De esta forma, la directiva exige no solo a los técnicos y operativos de su cumplimiento, sino también a la alta dirección, quienes deben asegurarse de que se implementan las medidas adecuadas y supervisar su cumplimiento. 

En cuanto a las medidas de supervisión y ejecución a cumplir, recogidas en los artículos 32 y 33 de la directiva, son más estrictas en el caso de las entidades esenciales. Estas están relacionadas, entre otras, con la realización de auditorías, la solicitud de información o la adopción de instrucciones vinculantes de las autoridades.