Transformando la ciberseguridad sanitaria con la directiva NIS2
El sector sanitario ha emergido como uno de los principales objetivos de los ciber atacantes, principalmente debido al alto valor que poseen los datos de salud en operaciones ilícitas de compra y venta. Esta situación se agrava debido al aumento en el uso de nuevas tecnologías y la falta de procedimientos robustos y de conciencia sobre la importancia crítica de las operaciones entre los profesionales de este sector. Como resultado, los datos de salud, que están especialmente protegidos bajo el artículo 9.1 del Reglamento General de Protección de Datos (RGPD), se ven expuestos a riesgos significativos durante su tratamiento.
La dinámica cambiante de las amenazas cibernéticas ha hecho necesaria una actualización de las normativas de ciberseguridad. En respuesta a esta necesidad, la Unión Europea ha aprobado la Directiva NIS2, un marco legal destinado a garantizar un nivel común y elevado de ciberseguridad en toda la Unión. Esta directiva, que sustituye a la anterior Directiva NIS de 2016, se prevé que sea incorporada al ordenamiento jurídico español durante el año 2024.
Aplicación de la Directiva NIS2 en el Sector Salud
La Directiva NIS2 es de aplicación tanto a entidades públicas como privadas del sector salud, categorizadas en sus anexos I y II. Se consideran entidades esenciales a las grandes empresas con más de 250 empleados/as y un volumen de negocios anual superior a 50 millones de euros. Por otro lado, se clasifican como entidades importantes a las medianas empresas con más de 50 empleados/as y un volumen de negocios anual superior a 10 millones de euros, así como a ciertas medianas y grandes empresas que figuran en el anexo II de la Directiva.
Además, cada Estado miembro de la UE tiene la facultad de clasificar como esenciales o importantes a proveedores de servicios cuyo fallo pueda causar un impacto significativo en la seguridad y salud pública, incluso si no cumplen con los criterios generales de tamaño.
Aunque aún se espera la incorporación formal de la Directiva NIS2 en la legislación española, las entidades que estarán sujetas a esta normativa pueden empezar a implementar medidas de gestión de riesgos de seguridad. Estas medidas incluyen políticas de seguridad para sistemas de información, continuidad de actividades, evaluación de medidas, gestión de incidentes, seguridad de los recursos humanos, análisis de riesgos y soluciones de autenticación multifactor, entre otros.
La directiva establece que las entidades esenciales e importantes deben notificar cualquier incidente significativo a su CSIRT (Equipo de Respuesta ante Incidencias de Seguridad Informática) de referencia o a la autoridad competente. Estas notificaciones deben realizarse en tres fases: una comunicación inicial dentro de las 24 horas desde la detección del incidente, una actualización intermedia tras 72 horas, y un informe final en el plazo de un mes con detalles completos del incidente.
Los Estados miembros también podrán implementar medidas de supervisión y sanciones para garantizar el cumplimiento de la directiva. Las medidas de supervisión pueden incluir auditorías de seguridad, análisis de seguridad y pruebas de aplicación de políticas de seguridad.
El incumplimiento de la Directiva NIS2 puede acarrear sanciones significativas. Para las entidades importantes, las multas pueden ascender hasta 7 millones de euros o el 1,4% del volumen de negocios anual, aplicándose la mayor de las dos cantidades. Para las entidades esenciales, las sanciones pueden ser aún más severas, con multas de hasta 10 millones de euros o el 2% del volumen de negocios anual. En casos graves, también puede imponerse la prohibición temporal de ejercer a directivos responsables de la entidad afectada.
Espacio Europeo de Datos Sanitarios (EEDS)
Además de la Directiva NIS2, el Reglamento sobre el Espacio Europeo de Datos Sanitarios (EEDS), aprobado recientemente por el Parlamento Europeo, mientras se aguarda su publicación, también juega un papel crucial en la protección de los datos de salud. Este reglamento tiene como objetivo situar a los ciudadanos/as en el centro de su asistencia sanitaria, otorgándoles control total sobre sus datos. Además, facilita el uso de estos datos con fines de investigación y salud pública bajo condiciones estrictas.
El EEDS abarca a fabricantes y proveedores de sistemas de Historiales Médicos Electrónicos (HME), así como a los responsables y encargados del tratamiento de datos sanitarios electrónicos de ciudadanos/as de la Unión y residentes legales de terceros países en los Estados miembros.
El cumplimiento de la Directiva NIS2 y el EEDS para la protección de los datos de salud, son aspectos cruciales para cualquier organización del ámbito sanitario. En Baker Tilly, nuestro equipo de especialistas en Derecho Digital y protección de datos, está a tu disposición para ofrecerte orientación. Ayudamos a tu empresa a alinearse con las normativas actuales y a fortalecer sus defensas contra amenazas cibernéticas.
Contáctanos para asegurar que la información de tu empresa y de tus clientes/as esté resguardada de manera eficiente y segura.
Publicaciones
