Page 117 - Revista Auditoria Pública nº 83

P. 117

Recomendaciones de la Agencia Europea de Ciberseguridad ante incidentes de seguridad en el sector sanitario

aumento del procesamiento de datos médicos digitali- ropeos debidamente coordinados, que apoyen a los ope-
zados también ha aumentado los riesgos, en términos radores de servicios esenciales sanitarios de los países
de la ciberseguridad, la protección de datos y la probabi- miembros de la UE con el fin de desarrollar capacidades
lidad de violaciones de datos protegidos. Instrumentos de respuesta conjunta a ciberataques.
legales pertinentes de la UE, como la Directiva NIS, el
Reglamento General de Protección de Datos (RGPD), No cabe duda de que estas conclusiones sentarán la
el Reglamento de Dispositivos Médicos, la Directiva so- base para la ulterior elaboración de la normativa euro-
bre la aplicación de los derechos de los pacientes en la pea en materia de ciberseguridad sanitaria colmando, de
asistencia sanitaria transfronteriza, etc. impuso obliga- esta manera, los aspectos técnicos y jurídicos del dere-
ciones a proveedores de atención médica y fabricantes cho a la privacidad de los datos personales de salud en
de dispositivos médicos para garantizar una adecuada y la Unión Europea.
uniforme nivel de protección de los datos médicos y los
productos y servicios que los utilizan.
II. La Agencia de la Unión Europea
En nuestro ordenamiento jurídico la protección de estos
datos personales es un derecho fundamental recogido para la Ciberseguridad.
en el artículo 18.4 de la Constitución Española y regulado
el RGPD, y la Ley de protección de datos (LOPDGDD). Las organizaciones sanitarias, en general, y los hospita-
En este caso en particular, la normativa en protección les, en particular, han sido un objetivo importante para el
de datos se complementa con la Ley de Autonomía del delito cibernético, principalmente, debido a el valor de
Paciente 41/2002, de 14 de noviembre. La ley de pro- los datos que se pueden obtener de un ataque, así como
1
tección de datos médicos se encarga de regular los de- su impacto disruptivo . Para hacer frente a tales amena-
rechos y las obligaciones en materia de información y zas, los Estados miembros y las entidades públicas y
documentación clínica en la que se regula su historial. privadas europeas han iniciado un proceso de reflexión
Esta normativa afecta al personal que operan en el sec- con el objetivo de fortalecer la respuesta a Incidentes y
tor sanitario, a las clínicas, a los hospitales, a los cen- ataques cibernéticos (en adelante IR), así como la capaci-
tros médicos y a las instituciones sanitarias. Además, el dad de respuesta ante los incidentes (en adelante IRC) y
RGPD distingue, en el art. 9, datos relativos a la salud la coordinación entre Equipos de respuesta a Incidentes
2
como categoría especial de datos (sensibles) y conjun- de Seguridad Informática (en adelante CSIRT) .
tos establecer requisitos adicionales y obligaciones más
estrictas para el procesamiento y protección de dichos El actor fundamental en el espacio europeo de la ciber-
datos, en para salvaguardar los derechos y libertades de seguridad del sector sanitario es la Agencia de la Unión
3
las personas (interesados). Europea para la Ciberseguridad (ENISA) . La Agencia fue
creada en 2004 y reforzada por el Reglamento sobre
Para hacer frente a tales amenazas, los Estados miem- la Ciberseguridad de la UE y contribuye a la política de
bros de la UE y las entidades públicas y privadas euro- seguridad cibernética de la UE, mejora la fiabilidad de
peas han iniciado un proceso de reflexión con el objetivo los productos, servicios y procesos de Tecnologías de la
de fortalecer la respuesta a incidentes y ataques ciber- Información y Comunicación (TIC) mediante programas
néticos en el sector sanitario. En este sentido, el actor de certificación de la ciberseguridad, coopera con los Es-
fundamental es la Agencia de la Unión Europea para la tados miembros y con los organismos de la UE y ayuda
Ciberseguridad (ENISA). La Agencia Europea trabaja para a Europa a prepararse para los desafíos del mañana en
fortalecer las relaciones públicas y privadas dentro del materia de ciberseguridad. Mediante el intercambio de
sector de la salud construyendo un círculo de confianza conocimientos, la creación de capacidades y la sensibi-
a escala europea con el fin de una mejor comprensión lización, la Agencia coopera con las principales partes
de los equipos de respuesta a Incidentes de Seguridad interesadas para fortalecer la confianza en la economía
Informática, en los que confían en caso de un cibera- conectada, impulsar la resiliencia de las infraestructuras
taque importante y sistémico. Para tal fin, los estudios de la Unión y, por último, proteger a la sociedad y a la
recomiendan potenciar y crear equipos de respuesta eu- ciudadanía europea de las amenazas digitales.

1 https://www.interpol.int/News-and-Events/News/2020/Cybercriminals-targeting-critical-health care-institutions-with-ransomware
2 En su terminología en inglés: Incident Response (IR), Incident Response Capabilities (IRC) and capabilities and Theo coordination betw een Compute Security Incident
Response Teams (CSIRT).
3 European Union Agency for Cybersecurity.

117

112 113 114 115 116 117 118 119 120 121 122