La transformación digital de la sociedad se ha acelerado, llegando cada día a cada vez más sectores. Este avance, pese a que está relacionado con la llegada de más oportunidades, también trae nuevas vulnerabilidades. Así, pese a que la apuesta de la Unión Europea es progresar en digitalización y en interconexión, lo cierto es que también surgen nuevos espacios de peligrosidad, como los ciberataques.
En los últimos años, y especialmente tras la experiencia de la pandemia del Covid-19, han incrementado los sectores que dependen de los sistemas de información y de la conexión entre redes para su existencia. Entre ellos, destacan el transporte, las telecomunicaciones, la energía, la banca, la defensa, la seguridad, el espacio y, también la sanidad.
Durante la pandemia del Covid-19 han incrementado los ciberataques a hospitales, infraestructuras que hoy en día dependen de la conexión entre redes y de los sistemas de información
Y con el objetivo de proteger a estos ámbitos de estos ataques, la UE ha dado pasos hacia adelante en materia de ciberseguridad. En concreto, ha aprobado una nueva directiva relativa a la seguridad de las redes y sistemas de información, actualizando la normativa vigente, pensada para mejorar la resiliencia y las capacidades de respuesta, tanto del sector público como del privado.
UN NIVEL DE CIBERSEGURIDAD MÁS ALTO
Entre las medidas que recoge el texto, destaca la ampliación de la protección a más sectores y actividades esenciales, entre los que se incluyen la sanidad. Precisamente durante los años de la crisis del coronavirus han incrementado los ciberataques recibidos. Varios son los ejemplos en los que ha sido un hospital el que ha sufrido este tipo de agresión, llegando incluso a provocar la paralización de procedimientos médicos urgentes, con lo que eso supone.
Por ello, la nueva directiva introduce nuevas normas con el ánimo de lograr un nivel de ciberseguridad más alto. Por ejemplo, se obligará a más entidades y sectores a adoptar “medidas de gestión de riesgos”, como los proveedores de servicios públicos de comunicaciones electrónicas, los operadores de redes sociales, los fabricantes de productos críticos (incluidos los dispositivos médicos) y los servicios postales y de mensajería.
Los Estados miembros, entre ellos España, tienen 21 meses desde que la directiva entre en vigor para incorporarla a la normativa nacional a través de una trasposición
Por otro lado, se fijan obligaciones “más estrictas” en lo que respecta a la supervisión por parte de los Estados miembros de la UE y establece “normas mínimas” para un marco regulador eficaz. Junto a ello, se han armonizado las sanciones en todo el entorno europeo y se reforzará la cooperación, todo bajo el paraguas de la Agencia Europea de Ciberseguridad (ENISA).
Finalmente, se ha decidido que la normativa se pueda aplicar tanto a las administracionescentrales como a las regionales. En el caso de España, la sanidad se vería más protegida al ser las comunidades autónomas las encargadas de gestionar la atención sanitaria. Además, se racionalizarán las obligaciones de notificación para evitar un exceso de información.
21 MESES PARA APLICARLA
Una vez que la directiva ha contado con el aval tanto de la Comisión Europea como del Parlamento Europeo y, en último término, del Consejo Europeo, los Estados miembros como España tienen 21 meses desde que la directiva entre en vigor para incorporarla a la normativa nacional a través de una trasposición.