Page 126 - Revista Auditoria Pública nº 83
P. 126

REVISTA AUDITORÍA PÚBLICA / 83






             –   Proporcionó apoyo financiero adicional para me-  ¡   La difusión del conocimiento de las amenazas, el inter-
                didas de seguridad.                             cambio de buenas prácticas e información y experien-
                                                                cias compartidas (19% de las respuestas). Existe una
             –   Cambió las estructuras y arquitecturas de las   tendencia emergente en los operadores de servicios
                medidas de ciberseguridad existentes.           de salud y los CSIRT del sector sanitario van más allá
                                                                del intercambio de información para organizar capacida-
             –   Amplió el alcance de las responsabilidades de   des IRC. En la práctica significa hacer uso de los esque-
                los CSIRT.                                      mas de informes existentes (como los informes de la
                                                                Directiva NIS) y organizar comunidades sectoriales de
         La ampliación del alcance de las responsabilidades de los   confianza de usuarios, que permita intercambiar, de for-
         CSIRT, combinada con la provisión de apoyo financiero   ma segura, tanto ex-ante como información de inciden-
         adicional para nuevas medidas de seguridad, parecen ha-  tes ex-post, aprovechando las herramientas existentes
         ber alentado la creación de capacidades IR específicas   y las soluciones automatizadas.
         del sector.
                                                             ¡   El establecimiento de normas específicas del sector
         ¡   Por último, las dificultades en la gestión de los inci-  que regulen los requisitos de seguridad y responsa-
            dentes de ciberseguridad en Sectores de la Directiva   bilidades (17% de las respuestas). Reglamentos es-
            NIS (14 % de las respuestas), junto con las experien-  pecíficos del sector sanitario, incluyendo directrices
            cias incidentes anteriores (14% de las respuestas),   y requisitos para la notificación y gestión de inciden-
            destacó la necesidad de capacidades IR específicas   tes, ayudan a impulsar la mejorar las capacidades a
            del sector en el sector salud.                      nivel sectorial. Un ejemplo de regulación sectorial es
                                                                el Reglamento (UE) 2017/745 sobre productos sani-
            Del estudio de la Agencia destacamos que, además    tarios, que obligó a los fabricantes de dispositivos
            de estas principales razones que llevan a la creación   médicos a considerar los riesgos de ciberseguridad
            de CSIRT sectoriales y/o capacidades de respuesta   en su proceso de producción.
            a incidentes, existen también otros factores que fa-
            cilitan su desarrollo. Estos factores facilitadores son,   ¡   El establecimiento de convenios de cooperación en-
            principalmente, los siguientes:                     tre las  Administraciones públicas y los operadores













































          126
   121   122   123   124   125   126   127   128   129   130   131