El pasado 7 de abril de 2025, la Comisión Europea abrió una consulta pública relativa al Plan de Acción para la Ciberseguridad de Hospitales y Proveedores Sanitarios, publicado el 15 de enero del mismo año. Esta iniciativa forma parte del marco normativo y estratégico que acompaña al despliegue del Espacio Europeo de Datos Sanitarios (EHDS)y pretende reforzar la resiliencia digital del sector salud frente a un panorama creciente de ciberamenazas.
Ciberseguridad como elemento estructural del derecho a la salud
La creciente digitalización del sector sanitario europeo —intensificada tras la pandemia de COVID-19— ha generado oportunidades, pero también riesgos jurídicos considerables, especialmente en lo que respecta a la seguridad de los sistemas de información, la protección de datos personales de salud (categoría especial según el art. 9 del RGPD) y la continuidad asistencial.
La Comisión subraya que los hospitales y proveedores sanitarios han sido, en los últimos años, el sector más afectado por incidentes de ciberseguridad entre todas las infraestructuras críticas. En este contexto, el Plan de Acción constituye una medida estructural para garantizar los principios de seguridad jurídica, diligencia debida y proporcionalidad en el tratamiento de riesgos tecnológicos.
Participación de operadores jurídicos: una oportunidad para influir
La consulta está abierta a todos los agentes implicados, con especial interés en recibir contribuciones de:
• Delegados de protección de datos (DPOs) y responsables de cumplimiento normativo en el sector salud;
• Profesionales del Derecho con experiencia en sanidad, ciberseguridad o protección de datos;
• Autoridades sanitarias y organismos públicos;
• Entidades aseguradoras, mutualidades y operadores de salud digital;
• Academia y centros de investigación jurídica y tecnológica.
La finalidad es recabar observaciones, propuestas y buenas prácticas que permitan alinear el desarrollo reglamentario y técnico del Plan con las obligaciones derivadas del Reglamento General de Protección de Datos (RGPD), la Directiva NIS2, la Ley de Servicios Digitales (DSA) y otras normas sectoriales relevantes.
El plazo para remitir aportaciones finaliza el 30 de junio de 2025. La Comisión prevé integrar los resultados de esta consulta en sus recomendaciones finales antes de que concluya el año.
Implicaciones normativas y estratégicas
La participación en esta consulta pública permite a los actores jurídicos:
• Contribuir a definir estándares normativos vinculantes o soft law en materia de ciberseguridad sanitaria;
• Anticiparse a futuras obligaciones de cumplimiento derivadas del EHDS o la implementación nacional de la Directiva NIS2;
• Defender una aplicación equilibrada entre innovación tecnológica, protección de datos y derechos fundamentales en el sector salud;
• Fortalecer el rol del asesoramiento legal especializado en el diseño de estrategias de ciberresiliencia y gestión de riesgos.
Documentación y enlaces de interés
• Plan de Acción de la UE sobre ciberseguridad en hospitales y proveedores sanitarios
• Página de la Comisión sobre ciberseguridad en sanidad
• Ficha informativa sobre el Plan de Acción
La consulta se puede acceder aquí
