Pla d’acció per protegir el sector de la salut dels ciberatacs

Descargar pdf

La Comissió ha presentat avui un pla d’acció de la UE destinat a reforçar la ciberseguretat dels hospitals i dels prestadors de serveis de salut. Aquest pla d’acció, que ja es va anunciar en les orientacions polítiques de la presidenta Von der Leyen com una prioritat clau dels primers cent dies de la nova legislatura, suposa un pas important per protegir el sector de la salut de les amenaces en matèria de ciberseguretat. En millorar la detecció d’amenaces, la preparació i la capacitat de resposta dels hospitals i dels prestadors de serveis de salut, generarà un entorn més segur per als pacients i els professionals del sector sanitari.

La digitalització porta una revolució als serveis de salut ja que permet oferir millors serveis als pacients gràcies a innovacions com ara les històries clíniques electròniques, la telemedicina i els diagnòstics impulsats per la intel·ligència artificial. Ara bé, els ciberatacs poden fer endarrerir intervencions mèdiques, paralitzar els serveis d’urgències i generar afectacions en serveis vitals que, en casos greus, podrien tenir una repercussió directa en la vida dels europeus. El 2023 els estats membres van notificar 309 incidents de ciberseguretat significatius en el sector de la salut, una xifra superior a la de qualsevol altre sector essencial.

El pla d’acció proposa, entre altres coses, la creació per part d’ENISA —l’agència de la UE per a la ciberseguretat— d’un Centre de Suport en Ciberseguretat paneuropeu per als hospitals i els prestadors de serveis de salut que els ofereixi assessorament, eines, serveis i formació a mida. Aquesta iniciativa s’inscriu en el marc més general de les actuacions de la UE encaminades a reforçar la ciberseguretat en les infraestructures crítiques, i és la primera iniciativa sectorial de desplegar tot el paquet de mesures en matèria de ciberseguretat. 

En essència, el pla d’acció se centra en quatre prioritats:

  • Reforçar la prevenció. El pla ajuda a reforçar la capacitat del sector de la salut per prevenir incidents de ciberseguretat gràcies a mesures de preparació més robustes com ara assessorament per a la implementació de pràctiques essencials de ciberseguretat. En segon lloc, els estats membres també podran concedir bons de ciberseguretat per aportar ajuda financera a hospitals i proveïdors de serveis de salut de mida mitjana, petita o molt petita. Finalment, la UE també elaborarà recursos d’aprenentatge en matèria de ciberseguretat per als professionals del sector sanitari.
  • Millorar la detecció i la identificació de les amenaces. El Centre de Suport en Ciberseguretat per als hospitals i els proveïdors de serveis de salut desenvoluparà, com a tard el 2026, un servei d’alerta ràpida que proporcioni alertes gairebé en temps real de les amenaces de ciberseguretat.
  • Respondre als ciberatacs per minimitzar-ne les conseqüències. El pla proposa un servei de resposta ràpida per al sector de la salut en el marc de la Reserva de Ciberseguretat de la UE. Aquest recurs, creat per la Llei de cibersolidaritat, proporciona serveis de resposta a incidents per part de prestataris de serveis privats de confiança. El pla preveu que es puguin dur a terme exercicis nacionals de ciberseguretat juntament amb l’elaboració de protocols per ajudar les organitzacions del sector sanitari a respondre davant d’amenaces concretes de ciberseguretat, també de programari de segrest. S’anima els estats membres a demanar que les empreses notifiquin el pagament de rescats, de manera que se’ls pugui proporcionar l’ajuda que necessiten i que les autoritats policials i judicials en puguin fer un seguiment.
  • Dissuasió: protegir els sistemes sanitaris europeus dissuadint els actors de les amenaces de ciberseguretat de dur a terme un atac. Això comporta l’ús del catàleg de recursos de ciberdiplomàcia, una resposta diplomàtica conjunta de la UE davant d’activitats informàtiques malintencionades.

El pla d’acció es desplegarà en col·laboració amb els proveïdors de serveis de salut, els estats membres i el sector de la ciberseguretat. A fi de refinar encara més les mesures més eficaces per tal que se’n puguin beneficiar els pacients i els proveïdors de serveis de salut, la Comissió posarà en marxa aviat una consulta pública sobre aquest pla que estarà oberta a tota la ciutadania i les parts interessades.

Passos següents

El pla d’acció suposa l’inici d’un procés per millorar la ciberseguretat del sector de la salut. Al llarg de 2025 i 2026 es desplegaran accions concretes de manera progressiva. Els resultats de la consulta serviran per formular noves recomanacions abans no acabi l’any. 

Consulteu el comunicat de premsa complet aquí (Comissió Europea)