En una frase. La sanidad es uno de los sectores de alta criticidad del anexo I de NIS2: hospitales, laboratorios, fabricantes de productos sanitarios y farmacéuticas entran en el ámbito de la Directiva. Para la sanidad pública española esto se suma al Esquema Nacional de Seguridad y al RGPD, configurando un triple marco que hay que gestionar de forma coordinada.
Puntos clave
- La sanidad figura en el anexo I de NIS2 (alta criticidad): hospitales, laboratorios de referencia, entidades de investigación farmacéutica y fabricantes de productos sanitarios críticos.
- El sector es blanco preferente de ransomware: el ataque al Hospital Clínic de Barcelona (marzo de 2023) obligó a cancelar operaciones y consultas durante días.
- La sanidad pública se rige a la vez por ENS + NIS2 + RGPD: tres marcos que se solapan.
- Un ataque a un hospital suele activar la doble notificación: CSIRT (NIS2, 24 h) y AEPD (RGPD, 72 h).
- Los datos de salud son categorías especiales del art. 9 RGPD: máxima protección.
1. Por qué la sanidad es sector de alta criticidad
El anexo I de la Directiva (UE) 2022/2555 (NIS2) incluye la sanidad entre los sectores de alta criticidad, junto a la energía, el transporte o la banca. La razón es evidente: una interrupción de los servicios sanitarios no cuesta dinero, cuesta vidas. Un hospital sin acceso a las historias clínicas, sin sistemas de laboratorio ni de imagen, no puede operar con seguridad.
El ámbito sanitario de NIS2 abarca:
- Prestadores de asistencia sanitaria: hospitales y clínicas.
- Laboratorios de referencia de la UE.
- Entidades que realizan investigación y desarrollo de medicamentos.
- Fabricantes de productos farmacéuticos básicos y de productos sanitarios críticos.
La condición de entidad esencial o importante depende del tamaño, según las reglas generales que explicamos en entidades esenciales e importantes. Un gran hospital será, casi siempre, entidad esencial.
2. La amenaza real: ransomware hospitalario
Esto no es un riesgo teórico. En marzo de 2023, el Hospital Clínic de Barcelona, uno de los mayores de España, sufrió un ataque de ransomware que dejó fuera de servicio sus sistemas informáticos: hubo que cancelar cientos de intervenciones quirúrgicas y miles de consultas y desviar urgencias a otros centros durante días. Es el caso documentado que mejor ilustra por qué NIS2 pone a la sanidad en la máxima categoría.
Los hospitales son un blanco atractivo por tres motivos: manejan datos extremadamente sensibles, no pueden permitirse estar parados (lo que aumenta la presión para pagar) y arrastran con frecuencia sistemas heredados difíciles de actualizar. NIS2 responde a ese perfil de riesgo exigiendo medidas del art. 21 —continuidad, copias de seguridad, gestión de la cadena de suministro— que atacan justo esas debilidades.
3. El triple marco de la sanidad pública
Aquí está la complejidad específica española. Un hospital público no se rige por una norma, sino por tres a la vez:
| Marco | Qué protege | Autoridad |
|---|---|---|
| ENS (Esquema Nacional de Seguridad) | Seguridad de los sistemas del sector público | CCN-CERT |
| NIS2 | Ciberseguridad y continuidad como entidad crítica | CCN / INCIBE, autoridad competente |
| RGPD + LOPDGDD | Datos personales de salud (art. 9) | AEPD |
La buena noticia es que no son tres mundos separados. El Esquema Nacional de Seguridad ya obliga a la sanidad pública a un nivel de seguridad elevado que cubre buena parte de lo que pide NIS2. La estrategia sensata es mapear una sola vez los controles y ver a qué marco responde cada uno, en lugar de montar tres sistemas paralelos. La relación entre NIS2 y el RGPD la detallamos en NIS2 vs RGPD.
4. Datos de salud: la capa RGPD
Los datos sanitarios son categorías especiales del art. 9 RGPD, con la protección más alta del ordenamiento. Cualquier incidente que los comprometa se cruza con las obligaciones específicas del sector, que ya hemos tratado en la guía de RGPD en sanidad y salud y en el histórico de sanciones de la AEPD en sanidad.
Por eso, un ataque a un hospital rara vez es “solo” un incidente NIS2. Si el ransomware cifra o exfiltra historias clínicas, el hospital debe además tramitar la brecha de seguridad ante la AEPD y valorar la comunicación a los pacientes afectados.
5. La doble (o triple) notificación en un ataque
Cuando un hospital sufre un incidente significativo con datos de salud, los relojes se disparan a la vez:
- NIS2 → CSIRT: alerta temprana en 24 horas, notificación en 72 h e informe final en un mes (art. 23; véase notificación de incidentes NIS2).
- RGPD → AEPD: notificación de brecha en 72 horas (art. 33) y comunicación a los pacientes si el riesgo es alto (art. 34).
- ENS → CCN-CERT: notificación según el nivel del sistema afectado.
Gestionar tres notificaciones con plazos distintos en plena crisis exige un procedimiento interno preparado de antemano. Herramientas de cumplimiento como Legiscope ayudan a mantener el inventario de activos y tratamientos y la trazabilidad documental que sostiene las tres notificaciones, de modo que el hospital no reconstruya la información mientras el reloj corre.
Las debilidades específicas de un hospital
La sanidad concentra un perfil de riesgo que NIS2 conoce bien. Los hospitales operan con equipamiento médico conectado —bombas de infusión, monitores, sistemas de imagen— que rara vez recibe actualizaciones de seguridad y que no puede apagarse para parchear sin afectar a la asistencia. A eso se suma una superficie de acceso enorme: miles de profesionales, turnos rotatorios, personal externo y una cultura clínica donde la urgencia asistencial pesa más que el protocolo de seguridad. Y, sobre todo, la imposibilidad de detenerse: un banco puede cerrar su web unas horas; un hospital no puede dejar de atender urgencias.
Ese cóctel explica por qué el ransomware encuentra en la sanidad un objetivo rentable. Las medidas del art. 21 NIS2 —segmentación de redes, copias de seguridad probadas, control de accesos, gestión de proveedores— están pensadas precisamente para reducir el impacto cuando, no si, llega el ataque. La segmentación evita que el cifrado se propague a toda la red; las copias probadas permiten restaurar sin pagar; el control de accesos limita la puerta de entrada.
Cadena de suministro clínica
Un frente que los hospitales suelen descuidar es la cadena de suministro TIC: sistemas de historia clínica de terceros, laboratorios externos, empresas de mantenimiento del equipamiento médico, proveedores cloud. NIS2 obliga a gestionar la seguridad de esos proveedores (art. 21.2.d), y muchos de ellos son a su vez encargados del tratamiento bajo el RGPD. Un solo contrato con un proveedor de software clínico toca, por tanto, los tres marcos a la vez: exige cláusulas de seguridad NIS2, un contrato de encargo del art. 28 RGPD y, en la sanidad pública, el cumplimiento del nivel ENS correspondiente. Ordenar esa red de proveedores es una de las tareas más rentables que puede acometer un hospital.
6. Recursos oficiales
- Texto de NIS2: Directiva (UE) 2022/2555.
- Autoridad española de ciberseguridad: INCIBE.
- Protección de datos de salud: Agencia Española de Protección de Datos (aepd.es).
FAQ
¿Los hospitales están obligados por NIS2?
Sí. La sanidad es sector de alta criticidad del anexo I de NIS2. Los hospitales, laboratorios de referencia, fabricantes de productos sanitarios críticos y ciertas farmacéuticas entran en el ámbito; los grandes hospitales serán normalmente entidades esenciales.
¿Una clínica privada pequeña también está dentro?
Depende del tamaño. Por debajo del umbral general (50 empleados o 10 M EUR) muchas clínicas pequeñas quedan fuera de NIS2, pero siguen plenamente sujetas al RGPD por tratar datos de salud del art. 9. Conviene revisar la guía de RGPD en sanidad.
¿Qué pasó en el Hospital Clínic de Barcelona?
En marzo de 2023 sufrió un ataque de ransomware que dejó sus sistemas fuera de servicio, obligando a cancelar cientos de operaciones y miles de consultas durante días. Es el caso documentado de referencia sobre el riesgo de ciberataques en la sanidad española.
¿Un hospital público tiene que cumplir ENS, NIS2 y RGPD a la vez?
Sí, los tres marcos se aplican de forma acumulativa. Pero se solapan mucho: el ENS ya cubre gran parte de los requisitos de NIS2. Lo eficiente es mapear una sola vez los controles y asignarlos a cada marco, no gestionarlos por separado.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial