NIS2 y NEN 7510 en la asistencia sanitaria: 4 preguntas y respuestas

NIS2 en la sanidad holandesa: 4 preguntas y respuestas

¿Es usted un CISO en el sector sanitario holandés? Entonces sabrá que uno de los mayores retos es encontrar el equilibrio entre ofrecer una buena atención rápidamente y garantizar una seguridad óptima. Un proveedor sanitario que necesita tratar a alguien urgentemente no quiere tener que iniciar sesión con MFA", afirma Niels van der Meij, consultor principal de seguridad y auditor de TI (RE) en Bureau Veritas Cybersecurity. Trabaja mucho para el sector público holandés, incluida la sanidad.

Van der Meij prevé más debates sobre la tensión entre sanidad y seguridad con la llegada de NIS2, la nueva directiva europea sobre ciberseguridad. Espero que las normas de la NEN 7510 holandesa adquieran más peso y se formalicen ahora que también serán obligatorias a partir de NIS2".

¿Qué significa exactamente NIS2 para la sanidad? ¿Qué relación tiene NIS2 con NEN 7510? Van der Meij y su colega Mario Sleegers, expert en NIS2, responden a 4 preguntas sobre NIS2 para la sanidad.

1. ¿Cuál es la principal diferencia entre NEN 7510 y NIS2?

NEN 7510 es un marco sectorial centrado en las organizaciones sanitarias holandesas. NIS2 es una directiva legal de la UE cuyo objetivo es hacer que las organizaciones críticas sean más ciberresilientes, afirma el auditor de RE Van der Meij. Él conoce bien el marco normativo NEN 7510.

'Un hospital, por poner un ejemplo, cumple los requisitos de NIS2 haciéndose conforme a la norma NEN 7510. Por supuesto, aún no cumple totalmente con NIS2 si es conforme con NEN 7510. Pero si puede demostrar mediante una certificación o un informe de garantía que sigue esta norma, eso cubre al menos la base para el cumplimiento de NIS2". La certificación NEN 7510 no es obligatoria en el marco de NIS2.

'No hay certificación para NIS2', añade Mario Sleegers, consultor de NIS2. 'No espero que la haya, porque ya vimos con el predecesor de NIS2 -el WBNI- que la capacidad de verificación es limitada'. Esto significa que el cumplimiento de NIS2 en la atención sanitaria se medirá en gran medida a través del marco NEN ya existente.

La norma NEN se está actualizando para alinearse mejor con NIS2. 'En la planificación original, la actualización de la norma NEN 7510 iba a llegar a mediados de 2024', afirma Sleegers. 'Pero la actualización de NIS2 causará algún retraso, supongo'.

2. Estamos trabajando para obtener la certificación NEN 7510. ¿Qué tenemos que hacer para estar preparados?

El marco NEN 7510 -como muchos otros marcos- consta de dos partes, dice Van der Meij: 'La base describe en términos generales cómo debe ser su organización, por ejemplo en las áreas de governance, gestión de riesgos y Sistema de Gestión de la Seguridad de la Información (SGSI). Además, el marco contiene normas específicas que usted, como organización, debe traducir en medidas concretas'.

Cada organización es libre de definir las normas a su manera, afirma Sleegers. 'Esto se debe a que una norma debe poder aplicarse a una organización de 10 pero también a una empresa de 1.000 empleados. Esto significa que las organizaciones eligen qué medidas concretas adoptan para cumplir una norma en función de lo que sea apropiado'.

Por ejemplo, para las pequeñas instituciones sanitarias con un número modesto de empleados, la gestión de los derechos de acceso puede completarse con una breve matriz de autorización y una separación limitada de funciones y derechos. Una gran institución con miles de empleados tendrá que mantener una visión detallada de las cuentas, funciones y derechos de cada sistema.

La suposición básica de la norma NEN de que un empleado debe tener una relación asistencial con el paciente o cliente dará lugar, por tanto, a medidas más amplias y específicas para una institución grande que para una pequeña.

Dado que cada organización interpreta por sí misma las normas de la NEN 7510, es difícil dar una indicación general de cuándo una organización está preparada para la certificación. Aun así, hay puntos a los que prestar atención, afirma Van der Meij: "Durante un proceso de implantación de la norma NEN 7510, a menudo vemos que el SGSI no está totalmente completo. También ocurre que las normas no siempre se traducen correctamente en medidas concretas'.

3. Seguimos la norma NEN 7510. ¿Qué nos queda por hacer para NIS2?

Una organización que pueda demostrar el cumplimiento de la norma NEN 7510, por ejemplo, mediante una certificación o un informe de auditoría, ya está en camino de cumplir la norma NIS2, afirman Sleegers y Van der Meij. Aún así, hay algunas áreas en las que se necesitan medidas adicionales para cumplir con NIS2:

1 Responsabilidad de la dirección y requisitos de formación. NIS2 responsabiliza explícitamente a la dirección de la ciberseguridad. Esto es digno de mención, afirma Sleegers: "Esta responsabilidad ejecutiva no existe en casi ningún marco. Vemos que con NIS2 se ha trasladado realmente del departamento de TI a la alta dirección: se espera que el consejo comprenda los riesgos cibernéticos de la organización y sea capaz de aprobar las medidas correspondientes'.

'En la práctica, por supuesto, esto es complejo porque la mayoría de las Personas que forman parte de los consejos de administración de los hospitales no son expertas en esta área.' Por eso NIS2 exige la formación y educación de la junta.

2 La gestión de riesgos va a pesar más. Uno de los pilares más importantes de NIS2 es la gestión de riesgos. 'Se ve reflejada la gestión de riesgos en la NEN 7510, por supuesto, pero en la NIS2 tiene mucho más peso', dice Van der Meij.

'Las instituciones sanitarias tendrán que examinar más detenidamente sus análisis de riesgos. Las auditorías internas no sólo tendrán que evaluar si se han aplicado las medidas de la norma NEN 7510, sino también si un análisis de riesgos ha evaluado si las nuevas amenazas, como los ataques de ransomware, están suficientemente controladas. Si no es así, habrá que tomar medidas adicionales o más severas para cumplir los requisitos de la NIS2. Una marca de verificación ya no será suficiente. Espero que esto se convierta realmente en un punto de atención, porque NIS2 lo impone".

3 La Security Management de los proveedores es más importante. NIS2 exige a las organizaciones que supervisen la seguridad de sus proveedores. 'Se trata de un desarrollo bastante nuevo que también puede verse, por ejemplo, en la industria del automóvil en estos momentos', afirma Sleegers. 'Pero asegurar toda la cadena de suministro requiere mucho esfuerzo y es una cuestión a largo plazo'.

Como proveedor de servicios sanitarios, ¿cómo puede asegurarse de que, por ejemplo, los proveedores de aplicaciones sanitarias prestan suficiente atención a la seguridad? Sleegers: "La forma más obvia de hacerlo es a través de los contratos con estas partes. Para conocer el estado de la seguridad de un proveedor, una Vendor Assessment puede ser de ayuda.

4 Se ampliará la notificación de incidentes. NIS2 impone requisitos adicionales para la notificación de incidentes. Sleegers: "En resumen, las organizaciones deben informar más y más rápido. Especialmente el segundo punto requerirá esfuerzo, porque un informe va precedido de muchos pasos'.

Descargar el NIS2 incident flowchart

¿Qué pide NIS2 a los centros sanitarios a la hora de notificar incidentes cibernéticos? ¿Qué es necesario notificar? ¿Cuál es el calendario? Mario Sleegers y sus colegas han enumerado los requisitos de notificación de NIS2 en un práctico diagrama de flujo.

4. ¿Qué ocurre si nuestra organización cumple la norma NEN 7510 pero no la NIS2?

NIS2 distingue entre entidades 'esenciales' e 'importantes', explica Mario Sleegers. Para las organizaciones 'esenciales', la supervisión del cumplimiento será más estricta: la mayoría de las organizaciones sanitarias entran en esta categoría. 'Si una organización esencial no cumple con NIS2, es posible que se le impongan multas', prevé.

Van der Meij: "Se pueden comparar las consecuencias con el incumplimiento de la ley de privacidad GDPR. La Autoridad Holandesa de Datos Personales multó al hospital Haga de La Haya en 2019 por no proteger suficientemente los datos de los pacientes. Pero no espero que se multe a una consulta general".

Los artículos 32 a 34 de la NIS2 abordan la supervisión y las posibles multas por incumplimiento. La multa máxima para las entidades esenciales es de 10 millones de euros o el 2% del volumen de negocios anual. Para las entidades significativas, el máximo es de 7 millones o el 1,4% de la facturación anual.

La Inspección de Sanidad neerlandesa supervisará el cumplimiento de la NIS2 en el sector sanitario neerlandés.

En la práctica, NIS2 significará probablemente un mayor énfasis en el cumplimiento de la normativa en materia de seguridad, espera Van der Meij. Así que la tensión entre la prestación de asistencia y la seguridad probablemente no hará más que aumentar. ¿Cómo pueden resolverlo las organizaciones? Sleegers aconseja: "Se podría empezar por formar a la junta directiva para que comprenda mejor el área de tensión. Esto les permite contribuir activamente a resolver esta tensión'.

Van der Meij también tiene un consejo práctico: '¡Que no cunda el pánico! Pero sí actúe. Por ejemplo, empiece con un análisis de riesgos, como sugiere el gobierno holandés. Nuestros asesores pueden ayudarle con esto'.

¿En qué podemos ayudarle?

Bureau Veritas Cybersecurity tiene mucha experiencia en NIS2 y NEN 7510. Puede contar con nuestros expertos para ayudarle a formar a su junta con el NIS2 Boardroom Training. También podemos ayudarle con un Gap assessment de NIS2 y soporte a la implantación. Obtenga más información sobre nuestros servicios NIS2 en el siguiente folleto.