En este artículo pretendemos hacer una reflexión, partiendo del marco jurídico relativo a la organización de la respuesta a incidentes informáticos. Se trata de establecer protocolos para la protección de los sistemas tecnológicos europeos frente a los ciberataques en el ámbito sanitario y a los datos de salud.
En este sentido, la Agencia de la Unión Europea para la Ciberseguridad, la organización que coordina la ciberseguridad del sector sanitario en Europa, está elaborando una serie de protocolos que serán objeto de regulación positiva. Además, se está desarrollando un organización a nivel mundial para crear y coordinar equipos de respuesta a ciberataques al sector sanitario con el objetivo de proteger los datos de salud de los pacientes.
En definitiva, es un trabajo interdisciplinar que requiere tener en cuenta el derecho a la protección de los datos personales de salud y garantizar dichos derechos de la forma más segura posible.
La protección de datos personales de salud | Respuesta a incidentes informáticos en el sector sanitario y asistencial en Europa
En un artículo anterior, analizamos algunas herramientas de ciberseguridad, comunes en el ámbito europeo de seguridad, que facilitan el procesamiento de datos personales de salud, ofrecen garantías sólidas para la protección de los mismos y protege los derechos y libertades de las personas.
Estas herramientas coadyuban en la protección de los intercambios de datos de salud coordinados y seguros en la Unión Europea, en el contexto jurídico del Reglamento General de Protección de Datos (RGPD).
Las ciberamenazas aumentan cada año, a medida que avanza las tecnologías emergentes, como Internet de las Cosas (IoT), la Inteligencia Artificial (IA), los macrodatos, el uso de la computación en nube; así como, los dispositivos conectados. Éstas tecnologías ofrecen numerosas formas de atacar una organización.
Un ataque dirigido a una infraestructura crítica, como la de un hospital, puede provocar daños económicos y poner en peligro la vida de los pacientes. Por lo tanto, es necesario contar con unas capacidades de respuesta a incidentes (IRC, Incident Response Capabilities) robustas en el sector de la salud, en particular en los centros sanitarios (hospitales y clínicas privadas).
En efecto, el sector se enfrenta a amenazas de ciberataques, con consecuencias potencialmente negativas para pacientes, ciudadanos, autoridades públicas, reguladores, asociaciones profesionales, grandes industrias, PYME etc.
En este sentido, la actividad de los ciberdelincuentes proyecta una amenaza importante para la seguridad interna de la Unión Europea y para la seguridad en línea de sus ciudadanos. Durante la pandemia de COVID-19 ha surgido la necesidad de una mayor seguridad en el mundo digital. Las personas han incrementado su presencia en línea, tanto para mantener relaciones personales como profesionales, a la vez que los ciberdelincuentes han sacado provecho de los sistemas de la atención sanitaria.
Lea también: La ciberseguridad y la protección del derecho a los datos personales de salud
RGPD, la nueva normativa europea de protección de datos
Respuesta a incidentes informáticos en el sector sanitario y asistencial en Europa.- Al respecto, la nueva normativa europea de protección de datos (RGPD) considera la información sanitaria de las personas como especialmente protegida. De este modo, los usuarios tienen derechos a ser protegidos cuando acuden a centros médicos u hospitales.
Por ello, analizaremos el diseño y la configuración de respuesta a incidentes informáticos tanto en Europa como en España, en particular Para finalizar, glosaremos las propuestas de la Agencia de la Unión Europea para la Ciberseguridad relativas a la capacidad de respuesta de las administraciones sanitarias a incidentes de ciberseguridad.
ENISA y la ciberseguridad en Europa | Respuesta a incidentes informáticos en el sector sanitario y asistencial en Europa
La Agencia de la Unión Europea para la Ciberseguridad (ENISA), creada en 2004 y reforzada por el Reglamento sobre la Ciberseguridad de la UE.
Es una organización que contribuye a la política de seguridad cibernética de la región; mejorar la fiabilidad de los productos, servicios y procesos de Tecnologías de la Información y Comunicación (TIC) mediante programas de certificación de la ciberseguridad; cooperar con los Estados miembros y con los organismos de la UE; y coadyuvar en la preparación para los futuros desafíos en materia de ciberseguridad.
Mediante el intercambio de conocimientos, la Agencia crea capacidades y la sensibilización para cooperar con las principales partes interesadas para fortalecer la confianza en la economía conectada, impulsar la resiliencia de las infraestructuras de la UE; así como, y proteger a la sociedad y a la ciudadanía europea de las amenazas digitales.
ENISA se rige por el Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019.
Regulaciones de la UE en materia de ciberseguridad
En 2018 entró en vigor la Directiva de la UE sobre seguridad de redes y sistemas de información, también coocida como Directiva NIS), que introdujo reglas de notificación de incidentes de ciberseguridad para operadores de servicios esenciales en los sectores críticos (energía, transporte, finanzas y salud).
El 27 de diciembre de 2022 se publicó la Directiva (UE) 2022/2555, del Parlamento Europeo y del Consejo, de 14 de, diciembre de 2022, también conocida como NIS 2, que establece las medidas dirigidas a garantizar un elevado nivel común de ciberseguridad en la UE.
Esta Directiva establece obligaciones de ciberseguridad para los Estados miembros, de implementar medidas para la gestión de riesgos de ciberseguridad y de notificación para las entidades en su ámbito de aplicación; así como las relativas al intercambio de información sobre ciberseguridad, así como, de supervisión y ejecución para los Estados miembros.
Para hacer frente a la amenazas, los Estados miembros y las entidades públicas y privadas europeas, liderado por la Agencia de la UE, han iniciado un proceso de gestión de incidentes con el objetivo de fortalecer la respuesta a Incidentes y ataques cibernéticos (IR); así como la capacidad de respuesta ante los incidentes (IRC) y la coordinación entre Equipos de respuesta a Incidentes de Seguridad Informática (CSIRT) en el sector sanitario.
Los equipos de respuesta a incidentes de Seguridad Informática en el sector sanitario europeo
La Agencia de la Unión Europea para la Ciberseguridad ha elaborado distintos informes relativos al estado actual y desarrollo de los equipos CSIRT sanitarios en la UE. Sus conclusiones pretenden ayudar a los miembros Estados para identificar problemas y mejorar la respuesta al manejo de incidentes (IR) dentro del sector de la salud.
Los estudios analizan las posibles brechas, superposiciones y desafíos en los servicios ofrecidos; así como en los procedimientos, procesos y herramientas implantadas. Específicamente, proporcionan una descripción general de los factores clave que facilitan o dificultan el desarrollo de los equipos CSIRT sectoriales sanitarios; así como la descripción de los recursos y herramientas específicos para apoyar el desarrollo de las capacidades de respuesta a incidentes y ataques cibernéticos (IRC) en el sector de la salud.