La Comisión Europea ha publicado en 2025 un plan de acción para proteger el sector salud a nivel europeo. Según la rueda de prensa de presentación del plan, en 2023 se registraron 309 incidentes significativos de ciberseguridad en el sector sanitario. Esta cifra es superior a la de cualquier otro sector crítico, según indicaron también. El reto de proteger al sector sanitario de ciberataques es pues importante, especialmente si consideramos que pronto se pondrá en marcha el Espacio Europeo de Datos de Salud.
En dicho plan se recopilan iniciativas que ya venían tiempo planteándose y que parece que ahora al fin se van a hacer realidad, como el apoyo de la Unión Europea a sus socios a través de un Centro de Ciberseguridad para Hospitales y otros Proveedores Sanitarios de la mano de ENISA, la Agencia de Ciberseguridad de la Unión Europea, o las iniciativas de formación y concienciación para profesionales sanitarios. También se va a activar un servicio de alerta temprana a nivel europeo y un catálogo de vulnerabilidades conocidas en dispositivos médicos.
Otra de las iniciativas a tener en cuenta es un servicio de respuesta rápida a incidentes, específico para el sector salud, que complementará a los servicios nacionales existentes en incidentes a gran escala.
Hemos de tener en cuenta que el sector de la salud, especialmente en el caso de los hospitales, tiene diferencias significativas en comparación con otros sectores: tiene un horario de 24x7x365 en muchos casos, maneja una información altamente sensible y persistente (como siempre digo, uno no puede cambiar de enfermedad aunque se haga público que la padece, a diferencia del número de tarjeta de crédito o la contraseña de un servicio), y tiene una superficie de ataque enorme, debido sobre todo a la conexión de equipamiento médico raramente actualizado a la misma red que las aplicaciones que manejan la información clínica de los pacientes, y a que estas mismas aplicaciones tienen un ciclo de vida extraordinariamente largo y un soporte normalmente escaso.