El Consejo Interterritorial del Sistema Nacional de Salud (CISNS) ha aprobado este mes la Estrategia de Ciberseguridad del SNS 2025-2028, un documento que el Ministerio de Sanidad considera clave para afrontar los retos de la digitalización sanitaria, desde un enfoque integral, preventivo y colaborativo.
La iniciativa se enmarca en la Estrategia de Salud Digital y está motivada por el creciente número de ciberataques dirigidos a infraestructuras sanitarias, cada vez más sosfisticados, y que ponen en jaque la seguridad del SNS. Establece un marco integral para proteger la información sanitaria, asegurar la continuidad asistencial y fortalecer la confianza ciudadana en el entorno digital.
Responde al aumento significativo de incidentes como los ataques de ramsonware -intentos de robo de datos clínicos y accesos no autorizados a sistemas críticos-, que ha puesto, en más de una ocasión, en riesgo la operatividad de los servicios asistenciales y la confidencialidad de historiales médicos. Así, y según los datos del Instituto Nacional de Ciberseguridad (INCIBE), las amenazas más frecuentes al sector sanitario en 2024 fueron malware, intrusiones, robo de datos y ransomware, afectando a centros de atención primaria y hospitales. A ello se suma la necesaria interconexión entre servicios sanitarios y el creciente despliegue de tecnologías digitales, lo que incrementa la superficie de exposición ante posibles vulnerabilidades.
La digitalización ha transformado el modelo asistencial y los procesos administrativos del SNS, convirtiendo la ciberseguridad en un aspecto crítico. La incorporación de tecnologías avanzadas, como la Historia Clínica Digital, la telemedicina o de servicios de salud digitales basados en IoT, IoMT, etc., ha mejorado el acceso a la información y la eficiencia, pero también ha hecho más vulnerable el sistema. Esta situación ha impulsado la necesidad de dotar al SNS de un marco robusto y preventivo que asegure la resiliencia operativa, el cumplimiento normativo y la confianza ciudadana en un entorno sanitario cada vez más digital.
El texto establece ocho objetivos estratégicos:
- Crear una red nacional de colaboración sobre ciberincidentes.
- Garantizar la integridad, la confidencialidad, la disponibilidad, la trazabilidad y la autenticidad de los datos sanitarios.
- Fomentar el cumplimiento normativo con estándares europeos como NIS2 o ENS.
- Posicionar al SNS como un referente en ciberseguridad a nivel nacional y europeo.
- Establecer indicadores para gestionar el nivel de madurez en ciberseguridad.
- Impulsar la investigación y el análisis de riesgos en dispositivos médicos y tecnologías emergentes.
- Garantizar la continuidad asistencial reforzando la resilencia operativa y la cadena de suministro.
- Promover la formación continua en cibersegurida para el personal sanitario.
La Estrategia se articula a través de 12 ejes estratégicos, que abarcan desde la gobernanza del modelo de ciberseguridad hasta la gestión de crisis, la protección de la cadena de suministro, la creación de un observatorio de madurez cibernética y la contratación segura de tecnologías y servicios. Cada eje incluye programas y proyectos concretos que serán implementados gradualmente, según una hoja de ruta nacional.
Esta Estrategia está alineada con la Estrategia Nacional de Ciberseguridad y las directrices europeas para sectores críticos. Su gobernanza será coordinada por la Secretaría General de Salud Digital, Información e Innovación, con la creación de una subcomisión específica de Ciberseguridad en el seno de la Comisión de Salud Digital.
Accede aquí al resumen ejecutivo de Estrategia de Ciberseguridad del SNS 2025-2028
