Entrevista a Albert Barberá, Dir. Estrategia externa VHIR, sobre Nis2

El agravamiento de las amenazas cibernéticas exige nuevas respuestas. La Directiva NIS2 surge como respuesta a esa necesidad de actualización y fortalecimiento de las medidas tradicionalmente adoptadas. Su trasposición al ordenamiento español es inminente. ¿Qué va a traer su aplicación? ¿Cómo va a afectar a las organizaciones y servicios considerados críticos por su relevancia? Seguimos con las entrevistas a responsables de diferentes sectores sobre la ciberseguridad y la llegada de esta Directiva. Albert Barberá es Director de Estrategia Externa del Vall d'Hebron Institut de Recerca, VHIR, centro que promueve la investigación biomédica, la innovación y la docencia.

¿A qué amenazas más acuciantes en términos de ciberseguridad debe enfrentarse a día de hoy su sector?

“Tanto el sector asistencial como el sector de investigación e innovación en ciencia de la salud se enfrentan a una situación muy compleja en la actualidad en términos de ciberseguridad. Tanto por el tipo de información que manejan, información altamente sensible; como por ser uno de los objetivos principales de los “hackers” y, como se ha visto en la prensa, sujetos a constantes ataques por desgracia a veces con grandes impactos no sólo para las instituciones, sino por la información sobre los ciudadanos que ha sido “hackeada”. Adicionalmente estas instituciones, muchas de ellas públicas y con financiación limitada y tensionada, tienen poca capacidad para prepararse a estos ciberataques, así como formar a su personal. El porcentaje del presupuesto en este sector que se dedica a tema de ciberseguridad es muy poco en comparación con otros sectores mucho más activos como el sector financiero”.

 ¿Cuál es el principal reto para su sector, en términos de actuaciones requeridas, que va a acarrear la inminente trasposición a la legislación estatal de la Directiva “Network and Information Security 2” (NIS2)?

“La Directiva NIS2 tiene un impacto significativo tanto en sector asistencial como en la investigación biomédica, ya que ambos se consideran sectores esenciales dentro de la Unión Europea debido a la criticidad de sus servicios y la sensibilidad de la información que manejan. La directiva NIS2 obliga tanto a los diferentes dispositivos asistenciales y sistemas de salud, como a los centros de investigación a elevar significativamente sus niveles de ciberseguridad, adoptando un enfoque más proactivo y basado en el riesgo. Esto implica invertir en medidas técnicas y organizativas, mejorar la formación del personal, establecer procesos claros de gestión de incidentes y cooperar con las autoridades para fortalecer la resiliencia cibernética en toda la Unión Europea. El incumplimiento de estas obligaciones puede acarrear consecuencias financieras y operativas importantes”.

¿Cree Usted que el actual escenario, en el que el boom de la inteligencia artificial es una constante, se encuentra bien cubierto por NIS2?

“Si bien la Directiva NIS2 representa un avance significativo en la ciberseguridad, considero que el actual escenario marcado por el auge de la inteligencia artificial (IA) no está completamente cubierto por sus disposiciones de manera específica y exhaustiva. Se deberá ir analizando de manera constante los avances en IA, tanto en su uso para realizar ciberataques, como su uso en la salud (gestión pacientes, en dispositivos médicos…) y en la investigación (uso de algoritmos…); para poder identificar riesgo de seguridad y ser capaces de apartarnos a esos nuevos entornos altamente cambiantes”.

¿Considera que esta Directiva responde a todos los desafíos que en materia de ciberseguridad se le plantean a su sector? ¿Qué quedaría por hacer?

“Considero que la Directiva NIS2 representa un avance significativo y aborda muchos de los desafíos clave en materia de ciberseguridad que enfrentan hospitales y centros de investigación. Sin embargo, no creo que responda a todos los desafíos por completo. Es un paso importante, pero el panorama de amenazas cibernéticas está en constante evolución, y la implementación efectiva y la adaptación continua serán cruciales.

Según mi opinión, los principales desafíos que NIS2 representa para el sector asistencial y de investigación biomédica:

-Asegurar una buena implementación, que sea efectiva y venga acompañada de recursos. Se necesita apoyo técnico y financiero continuo para garantizar una implementación efectiva y sostenible.

-Garantizar una adaptación a la rápida evolución de las amenazas: El panorama de amenazas cibernéticas es extremadamente dinámico y se necesita ser ágil.

-Promover cultura de ciberseguridad en un sector que no tiene ni mucho conocimiento ni formación en el ámbito.

-Asegurar la interoperabilidad y la compartición de información, con mecanismos efectivos y automatizados para trabajar conjuntamente contra los ciberataques

-Adecuada seguridad de dispositivos médicos conectados (IoMT)

-Claridad en la interpretación y aplicación: Asegurar una interpretación y aplicación coherente de la directiva en todos los Estados miembros es crucial para evitar la fragmentación y garantizar un nivel de seguridad uniforme en toda la UE. Y también coordinación con otras iniciativas que también tienen alto impacto en este sector, como el IA Act o el Espacio Europeo de Datos de Salud (EHDS)

-Promover investigación y desarrollo en ciberseguridad específica para el sector.

En conclusión, NIS2 es un paso fundamental para fortalecer la ciberseguridad en hospitales y centros de investigación. Sin embargo, su éxito dependerá de una implementación efectiva, una adaptación continua al cambiante panorama de amenazas, una inversión sostenida en recursos y una colaboración estrecha entre las organizaciones, las autoridades y los proveedores de soluciones de seguridad”.