Sector · NG-SA Sanidad Hospitales · Clínicas · Mutuas · Laboratorios · Farma NIS2 esencial · RGPD · ENS · ISO 27799 Continuidad asistencial
§00 — Sector

Sanidad es objetivo número uno
del ransomware. No por casualidad.

§01
Marco

NIS2, RGPD reforzado y resto coordinados.

Sanidad es uno de los sectores más densamente regulados. Lo coordinamos en un único proyecto reutilizando evidencias y documentación de calidad asistencial.

NIS2

Entidad esencial — máxima exigencia

Hospitales, laboratorios de referencia y fabricantes de productos sanitarios son entidades esenciales bajo NIS2. Sanciones hasta 10 M€ o 2 % de la facturación. Responsabilidad del órgano de dirección. Notificación a CSIRT (24 h alerta / 72 h informe).

RGPD · LOPDGDD

Datos de categoría especial

Los datos de salud son datos de categoría especial. Régimen reforzado, DPD obligatorio, EIPD habitual, medidas técnicas más exigentes y notificación a AEPD en 72 h. Sanción máxima 20 M€ con agravantes específicos por naturaleza de los datos.

ENS

Sector público sanitario · RD 311/2022

Hospitales públicos y servicios autonómicos están sometidos a ENS. Habitualmente categoría ALTA por criticidad asistencial. Auditoría reglamentaria bienal, declaración de aplicabilidad y reutilización de controles para acreditar NIS2.

Sello QH · ISO 27799

Estándares sectoriales sanitarios

Marco de calidad asistencial reconocido en España (Sello QH de la Fundación IDIS) e ISO 27799 (gestión de seguridad de la información en sanidad). Estructuran la documentación y facilitan auditorías externas.

§02
Riesgos

El sector sanitario en cifras y patrones.

Datos públicos de ENISA, INCIBE-CERT y AEPD. La presión sobre sanidad es estructural, no coyuntural. Lo que vemos en Ghostnet lo confirma cada mes.

≈54 %

Ransomware o exfiltración

De los incidentes graves notificados a CSIRT en sanidad europea son ransomware o exfiltración, según ENISA Threat Landscape. La asistencia se ve forzada a operar bajo ataque.

10×

Valor del historial médico

Precio típico de un historial médico completo frente a una tarjeta de crédito en mercados Tor. NHC, informes clínicos y datos administrativos se monetizan en lotes segmentados por entidad.

24 h / 72 h

Ventanas de notificación

24 h para alerta temprana a CSIRT bajo NIS2. 72 h para informe formal y para notificación a AEPD por brecha de datos personales. Sin plan operativo, esas ventanas no se cumplen.

01

Filtraciones de pacientes

Datasets con nombre, NHC, informes radiológicos y diagnósticos circulando en foros privados Tor — frecuentemente tras incidente en proveedor TIC sanitario antes de que la víctima lo detecte.

02

Cadena de suministro sanitaria

Proveedores de HCE, RIS/PACS, mensajería sanitaria y telemedicina como vector. NIS2 exige vigilancia activa — Ghostnet la documenta con cadena de custodia.

03

Planificación de ataque al hospital

Mención del centro en canales de planificación previos al ataque. Ventana de horas o días para mitigar antes de que la amenaza se materialice en cifrado de HCE.

§03
Método

Cómo trabajamos con entidades sanitarias.

NDA y cláusulas reforzadas. Compatible con vuestros circuitos de procurement, comités de ética y de calidad asistencial. Cuatro pasos.

FASE 01

Alcance y procurement

Reunión inicial con responsable TIC, DPD y dirección asistencial. Definimos ámbito NIS2, sistemas críticos (HCE, RIS/PACS, HL7/DICOM/FHIR) y modalidad contractual.

FASE 02

Gap-analysis sanitario

Auditoría NIS2 entidad esencial, RGPD reforzado e ISO 27799. Mapeo de EIPD existentes, evaluación de proveedores TIC sanitarios y reutilización de ENS para acreditar NIS2.

FASE 03

Plan asistencial bajo ciberataque

Plan operativo de continuidad clínica, comunicación con pacientes, notificación coordinada a AEPD y CSIRT, hardening de HCE/PACS y formación específica al personal con acceso a historia clínica. Tabletop incluido.

FASE 04

Vigilancia continua + auditoría

Ghostnet Watch sobre dominios, marca, ejecutivos y proveedores TIC sanitarios. Acompañamiento a auditoría ENS y Sello QH en su componente TIC. Traspaso documental al equipo interno.

§04
Caso

Caso representativo. Hospital privado mediano.

Escenario · SanidadPACS · Proveedor TIC

Filtración de historiales tras incidente en proveedor de imagen médica

SituaciónHospital privado mediano. Un proveedor TIC de imagen médica (PACS/RIS) sufre incidente y datos de pacientes (nombre, NHC, informes radiológicos) aparecen en un foro privado Tor antes de que la víctima detecte el ataque.
AcciónGhostnet correlaciona el dataset con el dominio del proveedor. Alerta inmediata, dossier forense, plan de respuesta y notificación coordinada a AEPD (72 h) y a pacientes afectados según LOPDGDD. Apoyo a la dirección asistencial en la comunicación.
ResultadoTrazabilidad completa para reclamación contractual al proveedor. Documentación íntegra para AEPD, evitando agravante por ocultación. Refuerzo posterior de evaluación de proveedores TIC sanitarios incorporando vigilancia continua dark web como control.
NotaCaso anonimizado y descrito como patrón representativo. Los testimonios reales se publican únicamente con autorización expresa del cliente.
§05
Oferta

Servicios diseñados para sanidad.

NDA y cláusulas reforzadas. Compatible con vuestros circuitos de procurement, comités de ética y de calidad asistencial.

NG-SA · Adecuación

NIS2 + RGPD reforzado

Auditoría de cumplimiento, plan de adecuación y plantillas: política de seguridad, EIPD, registro de actividades de tratamiento sanitario y procedimientos de notificación coordinada a AEPD y CSIRT.

  • NIS2 entidad esencial y RGPD reforzado
  • EIPD para tratamientos asistenciales
  • Reutilización del ENS sanitario para NIS2
  • Compatible con Sello QH e ISO 27799
Ver paquetes
Para hospitales y servicios autonómicos
NG-SA · Watch

Vigilancia dark web sanitaria

Ghostnet Watch configurado para sector salud: dominios, marca, ejecutivos y proveedores TIC sanitarios. Detección temprana de filtraciones de pacientes y de actores que planifican ataques.

  • Alertas en menos de 5 min con cadena de custodia
  • Vigilancia de proveedores TIC sanitarios bajo NIS2
  • Coordinación con AEPD y CSIRT en plazos
  • Plan de respuesta a ransomware con continuidad clínica
Ver Ghostnet Watch
NG-SA · Formación

Personal sanitario + tabletop

Programa específico para sanitarios y administrativos con acceso a historia clínica. Tabletop con dirección, asistencial, IT, legal y comunicación. Hardening de HCE, RIS/PACS, HL7/DICOM/FHIR.

  • Formación a personal con acceso a HCE
  • Tabletop sanitario con continuidad asistencial
  • Bonificable FUNDAE para personal laboral
  • Compatible con acreditaciones autonómicas de formación continuada
Ver catálogo
§06
Preguntas

Dudas frecuentes del sector sanitario.

¿Mi hospital es entidad esencial bajo NIS2?

Hospitales (públicos y privados que superan umbrales), laboratorios de referencia y fabricantes de productos sanitarios son entidades esenciales bajo NIS2 (Anexo I). Centros médicos pequeños, clínicas dentales o consultas pueden quedar fuera del ámbito directo, pero seguirán teniendo obligaciones RGPD reforzadas y, en el sector público, ENS. Lo verificamos contigo en una llamada gratuita.

¿En qué se diferencia el RGPD sanitario del general?

Los datos de salud son datos de categoría especial (art. 9 RGPD). El tratamiento exige base jurídica reforzada, en muchos casos consentimiento explícito o habilitación legal específica. AEPD aplica criterios más estrictos: las medidas técnicas y organizativas deben ser proporcionalmente más exigentes, las EIPD son práctica estándar y las sanciones suelen agravarse por la naturaleza de los datos.

¿Trabajáis con proveedores TIC sanitarios?

Sí. Si eres proveedor TIC de hospitales (HCE, RIS/PACS, mensajería sanitaria, telemedicina, dispositivos médicos conectados) eres parte de la cadena de suministro NIS2. Te ayudamos a acreditar postura de seguridad ante tus clientes hospitalarios y a cumplir tus obligaciones (entidad importante NIS2 en muchos casos).

¿Cómo lo coordino con calidad asistencial y Sello QH?

Lo hacemos compatible. Buena parte de los controles NIS2/ENS encajan con el componente TIC del Sello QH y con ISO 27799. Documentamos los controles aprovechando tus auditorías de calidad asistencial existentes para no duplicar procesos. Trabajamos directamente con la dirección asistencial y comité de calidad si lo prefieres.

¿Qué pasa si nos cae un ransomware ahora mismo?

Tienes 24 h para alertar a CSIRT (NIS2), 72 h para notificar a AEPD si hay brecha de datos personales, y obligación de mantener la asistencia. Si tu hospital no tiene plan de continuidad asistencial bajo ciberataque, el primer paso es activar respuesta de crisis. Podemos darte cobertura inmediata y después montar el plan operativo.

¿La formación a personal sanitario es bonificable por FUNDAE?

Para personal laboral con régimen general, sí. Lo gestionas tú o tu entidad organizadora habitual. Para personal estatutario en sanidad pública aplica el régimen formativo del servicio autonómico de salud correspondiente; trabajamos con varias acreditaciones autonómicas y podemos validar el encaje con tu unidad de formación continuada.

§07 — Siguiente paso

Reunión inicial sin compromiso.

Si eres responsable TIC, DPD, dirección asistencial o gerencia de una entidad sanitaria, agendamos 30 minutos para entender tu situación frente a NIS2 y RGPD reforzado. Sin pliego, sin oferta, sin presión.

Solicitar reunión Ver auditoría de exposición