Page 110 - REVISTA AUDITORÍA PUBLICA 86
P. 110

El sector sanitario europeo frente a la ciberamenaza:
            propuesta de una fiscalización informática.




            Magdalena Jareño Butron
            Técnica Superior Informática

            José Antonio Arratibel Arrondo
            Interventor en  el Servicio Vasco de Salud - Osakidetza
            Gobierno Vasco - Eusko Jaurlaritza


            Revista Auditoría Pública nº 86
            Diciembre 2025. Páginas: 109-118




            Resumen: El volumen y la intensidad de los ataques ciberné-  Abstract: The volume and intensity of cyberattacks in
            ticos en el sector de la salud han aumentado a partir de 2020.     the healthcare sector have increased starting in 2020.
            Las organizaciones sanitarias, en general, y los hospitales, en   Healthcare organizations, in general, and hospitals, in
            particular, han sido un objetivo importante para el delito ciberné-  particular, have been a major target for cybercrime, pri-
            tico, principalmente, debido al valor de los datos que se pueden   marily due to the value of the data that can be obtained
            obtener de un ataque, así como su impacto disruptivo. Por tanto,   from an attack, as well as its disruptive impact. Therefore,
            los datos personales de salud de los pacientes fueron el objetivo   patients’ personal health data was the primary target of
            primordial de los ataques. Recordamos que la nueva normativa   the attacks. We recall that the new European data pro-
            europea de protección de datos (RGPD), considera esta infor-  tection regulation (GDPR) considers this information as
            mación como especialmente protegida por las administraciones   especially protected by governmental administrations.
            gubernamentales.                                      In  this  work,  we  aim  to  analyze  the  conclusions  de-
            En este trabajo pretendemos analizar las conclusiones derivadas   rived from the recent report issued by the European
            del reciente informe emitido por la Agencia de Ciberseguridad de   Union  Agency for Cybersecurity (ENISA) regarding cy-
            la Unión Europea (ENISA) en relación con las ciberamenazas del   ber threats in the EU healthcare sector. Furthermore,
            sector sanitario en la UE. Además, hemos tenido en cuenta an-  we have taken into account previous reports that com-
            teriores informes que complementan este panorama y que han   plement this landscape and which have been analyzed
                                                 1
            sido objeto de análisis en anteriores trabajos.  El informe tiene   in previous works.  The report aims to provide new
            como objetivo aportar nuevos conocimientos sobre la realidad   insights into the reality of the health sector by map-
            del sector de la salud mediante el mapeo y el estudio de inciden-  ping and studying cyber incidents from 2020 to March
            tes cibernéticos desde de 2020 hasta marzo de 2023. Identifica   2023. It identifies the main threats, actors, impacts,
            las principales amenazas, actores, impactos y tendencias basán-  and trends based on the analysis of cyberattacks tar-
            dose en el análisis de los ciberataques dirigidos a organizaciones   geting health organizations over the last three years.
            de salud durante los últimos tres años. 2             There is no doubt that these conclusions will lay the
            No cabe duda de que estas conclusiones sentarán la base para   groundwork for the further development of European re-
            la ulterior elaboración de la normativa europea en materia de ci-  gulation on health cybersecurity, thereby addressing the
            berseguridad sanitaria colmando, de esta manera, los aspectos   technical and legal aspects of the right to privacy of perso-
            técnicos y jurídicos del derecho a la privacidad de los datos per-  nal health data in the European Union. Ultimately, this is a
            sonales de salud en la Unión Europea. En definitiva, un trabajo   necessarily interdisciplinary work that requires taking into
            necesariamente interdisciplinar que requiere tener en cuenta el   account the positive law of personal health data protection
            derecho positivo de la protección de los datos personales de sa-  and the technical aspects of current computer enginee-
            lud y, el técnico de la ingeniería informática actual, para garantizar   ring to guarantee these rights in the safest possible way.
            dichos derechos de la forma más segura posible.

            Palabras Clave: Ciberamenazas sector sanitario, protección de   Keywords:  Healthcare  sector  cyber  threats,  personal
            datos personales salud, ciberseguridad hospitalaria, ENISA.  health data protection, hospital cybersecurity, ENISA.



            1  Nos remitimos a nuestros anteriores trabajos: Jareño Butron, M. y Arratibel Arrondo, J.A.: “Técnicas para el control del tratamiento masivo de datos personales en el
            sector público sanitario.” Revista Auditoría Pública no 81 enero - junio 2023. Páginas: 180-195; “Bases del modelo de respuesta europeo a incidentes de ciberseguridad
            informática en el sector sanitario.” Diario La Ley, ISSN 1989-6913, Nº 10223, 2023.
            2  ENISA THREAT LANDSCAPE: HEALTH SECTOR (January 2021 to March 2023) JULY 2023. ISBN 978-92-9204-638-5 DOI 10.2824/163953 TP-04-23-546-EN-N (En adelante
            el informe).


                                                                                                             109
   105   106   107   108   109   110   111   112   113   114   115