El Dictamen del Comité Europeo de las Regiones Ciberseguridad de los hospitales y los prestadores de asistencia sanitaria (C/2025/4415) publicado el pasado 29 de agosto destaca que la implementación de la ciberseguridad no ha ido paralela a la transformación digital del sector. Por ello, la asistencia sanitaria es en los últimos años uno de los principales objetivos para sufrir ataques.
Así, el Comité celebra la publicación del Plan de Acción para responder ante el incremento de ciberataques y subraya que estamos ante un problema de seguridad pública que se ha intensificado desde la pandemia. Por ello, solicita la aplicación del principio de ciberseguridad desde el diseño, es decir, la incorporación de la protección desde la fase de desarrollo de nuevas tecnologías; y destaca que la inteligencia artificial juega un papel dual como herramienta para defender y para atacar.
El Dictamen recuerda que el Plan de Acción se apoya en un marco normativo ya existente: la Directiva SRI 2, el Reglamento de Cibersolidaridad, el de Ciberresiliencia y los reglamentos sobre productos sanitarios e inteligencia artificial. Sin embargo, en el Dictamen advierte que la falta de coordinación entre normativas y la lenta transposición de directivas como la SRI 2 y la de resiliencia de entidades críticas ponen en riesgo la seguridad tanto de los pacientes como de los sistemas.
El Dictamen denuncia además que la mayoría de los hospitales nunca ha realizado evaluaciones de riesgos y que tan solo una minoría de estos cuenta con programas frente a ransomware, pese a que el coste medio de estos ataques asciende a ocho millones de euros. Para corregir esta situación, reclaman una inversión estable, ya que muchas instituciones siguen dependiendo de equipos obsoletos.
El Comité insiste en que las regiones y municipios, responsables en gran parte de la gestión hospitalaria, deben participar en la definición de estrategias, y pide la creación de redes regionales de apoyo en ciberseguridad. En la misma línea, piden más formación obligatoria para todo el personal sanitario, campañas para atraer especialistas en IT incluyendo más mujeres, y un marco europeo de certificación de competencias.
Entre las medidas específicas, plantean la creación de bonos de ciberseguridad para hospitales pequeños, la creación de una red europea de CISOs en el ámbito de la salud y un centro de apoyo gestionado por ENISA. Finalmente, el Dictamen subraya la necesidad de garantizar la confianza de los pacientes protegiendo los datos en el marco del futuro Espacio Europeo de Datos de Salud.
