Hoy en día el tema de la ciberseguridad desempeña un papel cada vez mayor, especialmente en ámbitos críticos como la sanidad pública y el sector médico: por este motivo, la Unión Europea pretende reforzar los sistemas informáticos para garantizar que todo el mundo pueda beneficiarse de los servicios y utilizar las herramientas digitales de forma cada vez más segura y fiable.

Desde 2020, la Comisión Europea y el Servicio Europeo de Acción Exterior (SEAE) trabajan en una estrategia de ciberseguridad de la UE para reforzar la resiliencia de Europa frente a las ciberamenazas, que se adoptó en marzo de 2021.

El 27 de diciembre de 2022 se publicó la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, relativa a medidas para un elevado nivel común de ciberseguridad en la Unión, que, tras su transposición por los Estados miembros, modificará el Reglamento (UE) n.º 910/2014 y la Directiva (UE) 2018/1972 a partir del 18 de octubre de 2024 y derogará la Directiva (UE) 2016/1148 (Directiva NIS 2).

El artículo 1 de la Directiva (UE) 2022/2555 establece la obligación de que los Estados Miembros adopten estrategias nacionales de ciberseguridad y designen o creen autoridades nacionales competentes, autoridades de gestión de crisis cibernéticas, puntos de contacto únicos de seguridad (puntos de contacto únicos) y equipos de respuesta a incidentes de ciberseguridad.

También define las medidas de gestión de los riesgos de ciberseguridad y las obligaciones de información para las entidades que operan en sectores muy críticos, incluido el sector médico, o críticos por otros motivos, así como las obligaciones de intercambio de información y notificación (vigilancia) en materia de ciberseguridad.

La Directiva también tiene un fuerte impacto en el sector sanitario y médico, como sector de alta criticidad según el anexo I Dir.2022/2555, y se aplica a varias partes interesadas, entre ellas:

  • Laboratorios de referencia designados por la UE para apoyar a los laboratorios nacionales (Artículo 15 Reg. (UE) 2022/2371.
  • Fabricantes de Dispositivos Médicos considerados críticos durante una emergencia de salud pública. La lista de productos críticos durante una emergencia de salud pública se establece en el artículo 22 del Reglamento (UE) 2022/123.
  • Fabricantes de Dispositivos Médicos (artículo 2, punto 1 MDR (UE) 2017/745) y Dispositivos Médicos de diagnóstico in vitro (artículo 2, punto 2 IVDR (UE) 2017/746), con la excepción de los fabricantes Dispositivos Médicos considerados críticos durante una emergencia de salud pública.

El nivel de aplicación de la ciberseguridad en el sector médico ya ha tenido un primer desarrollo con el MDR (EU) 2017/745 y el IVDR (EU) 2017/746, que, en su Anexo I, definen la necesidad de tratar adecuadamente los datos personales. Ciertamente, la publicación de la Directiva 2022/2555 aporta un importante punto de referencia para demostrar el cumplimiento de los requisitos reglamentarios impuestos en materia de seguridad de los datos.

Para estar al día de los requisitos y cambios normativos en Europa y en todo el mundo, suscríbase a nuestra Newsletter.

>> A través de nuestros servicios de consulencia estratégico-regulatoria, de apoyo a la certificación CE y cuando sea necesario, de Representante Europeo Autorizado, Thema puede apoyarle en el cumplimiento de los requisitos del Reglamento de Dispositivos Médicos MDR (UE) 2017/745, incluida la ciberseguridad.

Contáctanos para más información.

Fuentes: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32022L2555&qid=1675353764565 https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32022L2555&from=EN