Page 120 - Revista Auditoria Pública nº 83
P. 120
REVISTA AUDITORÍA PÚBLICA / 83
información sobre ciberseguridad, así como obligaciones identificar problemas y mejorar la respuesta al manejo de
de supervisión y ejecución para los Estados miembros . incidentes (IR) dentro del sector de la salud, tras la trans-
5
La transposición de la directiva ha de efectuarse, a más posición a los Estados miembros de la Directiva NIS .
7
tardar el 17-10-24 los Estados miembros deberán adoptar
y publicar las medidas necesarias para dar cumplimiento Los estudios analizan las posibles brechas, superposicio-
a lo establecido en la Directiva. nes y desafíos en los servicios ofrecidos, así como como
en los procedimientos, procesos y herramientas implan-
Nos parece especialmente importante que esta directiva tadas. Más específicamente, el estudio proporciona una
NIS 2 amplía su ámbito de aplicación para abarcar a enti- descripción general de los factores clave que facilitan o
dades medianas y grandes de más sectores críticos para dificultan el desarrollo de los equipos CSIRT sectoriales
la economía y la sociedad, incluyendo proveedores de sanitarios, así como la descripción de los recursos y he-
servicios públicos de comunicaciones electrónicas, ser- rramientas específicos para apoyar el desarrollo de las
vicios digitales, gestión de aguas residuales y residuos, capacidades de respuesta a incidentes y ataques ciber-
fabricación de productos críticos, servicios postales y de néticos (IRC) en el sector de la salud.
mensajería, así como a las Administraciones Públicas. En
el caso de España afecta a las Entidades de la Adminis- Los principales objetivos de los informes a que hemos
tración General del Estado, Entidades de las Administra- hecho referencia son los siguientes: recopilar datos so-
ciones Públicas de Comunidades Autónomas y se podrá bre el IRC actual en el sector sanitario; analizar esa in-
determinar su aplicación a entidades de la Administra- formación para evaluar las capacidades sectoriales de
ción Pública a nivel local. la atención de la saludad actuales (servicios, procesos,
herramientas y mecanismos de cooperación); extraer
Para hacer frente a tales amenazas, los Estados miem- conclusiones y recomendaciones en base a los aspectos
bros y las entidades públicas y privadas europeas han clave que faciliten y/o entorpecer los procedimientos de
iniciado un proceso de reflexión, liderado por la Agencia respuesta IR.
de la UE, con el objetivo de fortalecer la respuesta a Inci-
dentes y ataques cibernéticos (en adelante IR), así como Lo más interesante, a nuestro juicio, de estos estudios
la capacidad de respuesta ante los incidentes (en adelan- ha sido: en primer lugar, recopilar información del mar-
te IRC) y la coordinación entre Equipos de respuesta a co jurídico relevante para proporcionar estadísticas de
Incidentes de Seguridad Informática (en adelante CSIRT) distribución de servicios ofrecidos al sector sanitario por
en el sector sanitario. equipos CSIRT y otras respuesta a incidente de segu-
ridad IR; en segundo lugar, el análisis de brechas y su-
perposiciones en servicios, procesos, herramientas, re-
III. Marco jurídico europeo y respuesta a cursos, especialmente entre los CSIRT y otras entidades
IR dentro del sector salud; y, por último, conclusiones y
incidentes de Seguridad Informática recomendaciones para el desarrollo de equipos CSIRT y
en el sector sanitario. otras entidades IR.
La Agencia de la Unión Europea para la Ciberseguridad La Agencia de la Unión Europea para la Ciberseguridad
ha elaborado distintos informes que tienen como objeti- diseñó un cuestionario distribuido a los CSIRT nacionales
vo apoyar la comprensión del estado actual y desarrollo de la UE y CSIRT sectoriales sanitarios para identificar,
de los equipos CSIRT sanitarios en la UE . Sus conclu- recopilar y analizando datos sobre el desarrollo y las ca-
6
siones pretenden ayudar a los miembros Estados para pacidades de IR en el sector de la atención de la salud .
8
5 Se modifican el Reglamento (UE) ni 910/2014 y la Directiva (UE) 2018/1972 y se deroga la Directiva (UE) 2016/1148
6 Los informes que hemos analizado para la elaboración del presente trabajo han sido: ENISA: CSIRT Capabilities in Halthcare Sector (november 2021). ENISA: Cloud Secu-
rity foro Healthcare Services (2021). ENISA: CSIRT Capabilities in Halthcare Sector (november 2021). ENISA: Procurement Guidelines for Cybersecurity in Hospitals (2020).
ENISA: Pseudonymisation techniques and best practices. (2019). ENISA: Procurement Guidelines for Cybersecurity in Hospitals. (2020). ENISA, CSIRT Capacidades. ¿Cómo
evaluar la madurez? Directrices para los organismos nacionales y gubernamentales (2019).
7 El Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, incorpora al ordenamiento jurídico español la Directiva (UE)
2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, más conocida como Directiva NIS, que busca identificar los sectores en los que se debe garantizar la
protección de las redes y sistemas de información y establecer las exigencias de notificación de ciberincidentes. La Directiva (UE) 2016/1148 quedará derogada con efectos
a partir del 18 de octubre de 2024.
8 Recogido en el informe de ENISA: CSIRT Capabilities in Halthcare Sector (november 2021).
120
