NIS2 para proveedores sanitarios: lo que los MSP deben entregar
Un hospital en Europa recibe una alerta de ransomware a las 2 de la madrugada. El equipo de guardia sabe exactamente qué conexión de proveedor es el punto de entrada. No pueden cortarla con la rapidez suficiente. Para cuando el enlace queda aislado, el cifrado ya se ha propagado a los sistemas de diagnóstico por imagen, y la cirugía electiva se cancela durante tres días.
Ese escenario no es hipotético. Los datos de amenazas de ENISA muestran que el sector sanitario es el sector crítico más atacado por ransomware en la EU, y una encuesta reciente reveló que menos de uno de cada tres proveedores sanitarios europeos puede aislar a un proveedor Tier-1 comprometido en un plazo de 90 minutos. Bajo NIS2, esa brecha ya no es solo una vergüenza operativa. Es un incumplimiento normativo con responsabilidad personal asociada.
Si gestionas un MSP o asesoras a hospitales, clínicas, laboratorios o fabricantes de dispositivos médicos, el sector sanitario es ahora uno de los sectores NIS2 de mayor riesgo en los que vas a trabajar. Esto es lo que la directiva exige realmente a estos clientes, y dónde se concentra el trabajo práctico.
Las entidades sanitarias son "esenciales": el nivel más estricto de NIS2
NIS2 divide a las organizaciones reguladas en entidades esenciales e importantes. Los hospitales y la mayoría de los proveedores sanitarios entran en la categoría esencial, que conlleva el régimen de supervisión más exigente.
El umbral de tamaño abarca a más organizaciones de las que la gente espera: una entidad con al menos 50 empleados o 10 millones de euros de facturación anual o de balance total queda dentro del ámbito. En la práctica, esto significa la mayoría de los hospitales, los laboratorios de diagnóstico de mayor tamaño, los fabricantes farmacéuticos y las grandes empresas de dispositivos médicos. Muchas clínicas privadas medianas y grupos de laboratorios superan el límite sin darse cuenta.
La diferencia entre esencial e importante no es cosmética. Las entidades esenciales se enfrentan a supervisión ex-ante: auditorías proactivas, inspecciones in situ y análisis de seguridad incluso cuando no ha ocurrido nada. Las entidades importantes se supervisan de forma reactiva, tras un incidente o una denuncia. Para tus clientes sanitarios, da por hecho que un auditor puede presentarse sin previo aviso.
¿Se aplica la NIS2 a su organización?
1¿Opera su organización en un sector esencial o importante (energía, transporte, salud, infraestructura digital, etc.)?
Sí▼No▼2¿Tiene su organización 50 o más empleados, o un volumen de negocio anual superior a 10 millones de euros?
✗La NIS2 no se aplica directamente a su organización.
Sí▼No▼✓La NIS2 se aplica a su organización como entidad esencial o importante.
3¿Es su organización un operador de infraestructura crítica o un prestador cualificado de servicios de confianza?
Sí▼!La NIS2 podría aplicarse a su organización — solicite asesoramiento jurídico para confirmar su estatus.
1¿Opera su organización en un sector esencial o importante (energía, transporte, salud, infraestructura digital, etc.)?
Sí ↓No →2¿Tiene su organización 50 o más empleados, o un volumen de negocio anual superior a 10 millones de euros?
Sí ↓No →3¿Es su organización un operador de infraestructura crítica o un prestador cualificado de servicios de confianza?
Sí ↓No →✗La NIS2 no se aplica directamente a su organización.
✓La NIS2 se aplica a su organización como entidad esencial o importante.
!La NIS2 podría aplicarse a su organización — solicite asesoramiento jurídico para confirmar su estatus.
Se aplicaPosiblemente aplicaNo se aplica
El consejo responde personalmente, y las revisiones trimestrales deben quedar registradas
El Article 20 de NIS2 sitúa el riesgo cibernético en el órgano de dirección. Para un hospital, esto significa que el consejo o el equipo directivo no puede delegar esta responsabilidad en "TI" y olvidarse del tema. Deben aprobar las medidas de gestión de riesgos, supervisar su implementación y completar formación en ciberseguridad.
La prueba práctica que aplican los auditores es la documentación. ¿Puede la entidad demostrar revisiones registradas del riesgo cibernético a nivel de consejo al menos trimestralmente? ¿Existen registros de la participación de la dirección en la formación? ¿Hay un registro de cuestionamientos que muestre que el consejo interrogó la postura de seguridad en lugar de aprobarla sin más?
Ante incumplimientos reiterados o graves, los supervisores pueden imponer una prohibición temporal a las personas que ocupan cargos directivos. Un director de hospital puede, en principio, ser inhabilitado para el cargo. Ese es el tipo de consecuencia que hace que un consejo se tome en serio una revisión trimestral: tu trabajo consiste en proporcionarles el rastro de evidencias que demuestre que lo hicieron.
Las diez medidas del Article 21, traducidas a un entorno clínico
El Article 21 enumera diez medidas básicas que toda entidad dentro del ámbito debe implementar. En el sector sanitario, estas se materializan de formas específicas y, a veces, incómodas:
El análisis de riesgos y las políticas de seguridad de los sistemas de información tienen que cubrir sistemas clínicos que nunca se diseñaron pensando en la seguridad: servidores de imagen PACS heredados, bombas de infusión y monitores de cabecera que ejecutan sistemas operativos sin soporte. No puedes parchear un controlador de resonancia magnética de 12 años de antigüedad, así que la medida se convierte en segmentación de red y controles compensatorios, documentados como tales.
La gestión de incidentes tiene que funcionar cuando quienes detectan el incidente son personal clínico, no analistas de seguridad. El control que importa es el que permite a un hospital detectar un incidente de seguridad antes de que afecte a la atención al paciente.
La continuidad del negocio y la gestión de copias de seguridad es donde la seguridad vital se cruza con el cumplimiento. La entidad debe poder seguir prestando atención cuando los sistemas están caídos, lo que implica un failover probado para la historia clínica electrónica y copias de seguridad sin conexión que el ransomware no pueda alcanzar.
La seguridad de la cadena de suministro es la medida que deja al descubierto a la mayoría de los hospitales. El sector sanitario funciona con proveedores externos de diagnóstico por imagen, sistemas de información de laboratorio, flotas de dispositivos gestionados y, cada vez más, plataformas de diagnóstico con AI. NIS2 exige que la entidad gestione el riesgo de esas relaciones, y que sea capaz de aislar rápidamente una que esté comprometida.
Artículo 21 — 10 Medidas de Ciberseguridad NIS2
Artículo 21
10 Medidas de Ciberseguridad
Gobernanza & Estrategia
1Análisis de riesgos & políticas de seguridad de la información6Evaluación de la eficacia de las medidas de seguridadIncidentes & Continuidad
2Gestión de incidentes & notificación3Continuidad del negocio & recuperación ante desastresCadena de Suministro & Sistemas
4Seguridad de la cadena de suministro5Seguridad en el desarrollo de sistemas de redes e informaciónControles Técnicos
8Criptografía & cifrado10Autenticación multifactor & comunicaciones segurasPersonas & Activos
7Ciberhigiene & formación9Seguridad de RRHH & control de acceso
Si quieres el desglose completo de las diez medidas, consulta nuestra guía sobre las diez medidas del Article 21 explicadas.
El riesgo de proveedores es la medida que fallará primero en las auditorías
Vale la pena detenerse en la cifra de aislamiento de proveedores: menos de un tercio de los proveedores sanitarios europeos cree que puede aislar por completo a un proveedor Tier-1 o a una plataforma de AI en hora y media. Muchos responsables de ciberseguridad consideran ya que el aislamiento en menos de una hora es el verdadero objetivo para la seguridad del paciente.
NIS2 no permite que un hospital señale a su proveedor y se desentienda. La directiva hace responsable a la entidad de gestionar el riesgo de la cadena de suministro, lo que implica entregables concretos: un inventario de proveedores que mapee qué tercero toca cada sistema clínico, cláusulas de seguridad redactadas en los contratos con proveedores y un procedimiento probado para desconectar a un proveedor comprometido sin interrumpir la atención al paciente.
Este es un terreno fértil para los MSP y consultores. La mayoría de los hospitales no tiene actualmente un mapa de su conectividad con proveedores, ni una línea base de seguridad contractual, ni un manual de aislamiento ensayado. Construir esos tres artefactos es un proyecto limpio y bien delimitado que cierra directamente la brecha de mayor riesgo del Article 21. Para la parte contractual en concreto, nuestro desglose de los contratos con proveedores bajo el Article 21 cubre las cláusulas que resisten.
Escalada de sanciones NIS2 — Más allá de la multa
!Desencadenante
Incumplimiento detectado o incidente ocurrido
Una autoridad supervisora identifica una brecha de cumplimiento o una organización no cumple los requisitos NIS2
Las autoridades pueden imponer▼Sanciones no financieras1Órdenes de cumplimiento con plazos vinculantes
2Auditorías de seguridad obligatorias a tu cargo
3Divulgación pública de infracciones
4Instrucciones vinculantes sobre medidas de seguridad específicas
Escala hacia▼Consecuencias operativas y personales1Suspensión de certificaciones o licencias de operación
2Prohibición temporal de funciones directivas para individuos
3Identificación pública de personas físicas responsables
DesencadenanteNo financieroOperativo / personal
La notificación de incidentes corre contra un reloj que ignora las prioridades clínicas
Cuando se produce un incidente notificable, NIS2 impone un calendario en cadena que no se detiene por las rondas de planta. Una alerta temprana al CSIRT nacional o a la autoridad competente en un plazo de 24 horas. Una notificación completa del incidente en 72 horas, que incluya una evaluación inicial de gravedad e impacto. Un informe final en un mes.
En un hospital, la parte difícil no es el detalle técnico, sino contar con alguien cuyo trabajo sea presentar esas notificaciones mientras el personal clínico gestiona las consecuencias operativas. El control que pasa una auditoría es un rol designado, una plantilla de notificación probada y un árbol de decisión sobre qué se considera notificable.
Cronología de Notificación de Incidentes NIS2
24hAlerta Temprana
Notifique a la autoridad competente (CSIRT/ANC) en las 24 horas siguientes a tener conocimiento de un incidente significativo.
Paso 172hNotificación de Incidente
Presente una notificación detallada en 72 horas con una evaluación inicial de la gravedad, el impacto y los indicadores de compromiso.
Paso 21moInforme Final
Entregue un informe final completo en el plazo de un mes que cubra la causa raíz, las medidas adoptadas y el impacto transfronterizo.
Paso 324hAlerta Temprana
Notifique a la autoridad competente (CSIRT/ANC) en las 24 horas siguientes a tener conocimiento de un incidente significativo.
72hNotificación de Incidente
Presente una notificación detallada en 72 horas con una evaluación inicial de la gravedad, el impacto y los indicadores de compromiso.
1moInforme Final
Entregue un informe final completo en el plazo de un mes que cubra la causa raíz, las medidas adoptadas y el impacto transfronterizo.
Un hospital que descubre sus obligaciones de notificación durante el incidente ya ha fallado la prueba de preparación. La plantilla y la persona responsable designada tienen que existir de antemano. Nuestro desglose de los plazos de notificación de incidentes recorre el calendario en detalle.
La EU está construyendo apoyo específico para el sector sanitario: úsalo como hoja de ruta
En enero de 2025, la Comisión publicó un Plan de Acción de la EU para la ciberseguridad de hospitales y proveedores sanitarios. Se está desplegando a lo largo de 2025 y 2026, y te indica hacia dónde se dirige la atención regulatoria.
El plan propone un Centro de Apoyo a la Ciberseguridad paneuropeo gestionado por ENISA, que ofrecerá orientación, herramientas y formación a medida para los proveedores sanitarios. Incluye un servicio de alerta temprana a escala de la EU que entregará avisos de amenazas casi en tiempo real, previsto para 2026. Y contempla manuales de respuesta específicos para ransomware dirigidos a las organizaciones sanitarias.
Para un consultor, el Plan de Acción es un mapa de priorización gratuito. Los temas en los que invierte la Comisión —alerta temprana, manuales de ransomware, riesgo de proveedores— son exactamente los controles que los auditores esperarán ver madurar. Construye los programas de tus clientes sanitarios en esa línea y estarás alineado tanto con la directiva como con la dirección que toma todo.
Por dónde empezar con un cliente sanitario
La vía más rápida hacia una postura defendible es encontrar las brechas antes de que lo haga un auditor. Empieza con una evaluación de preparación estructurada: confirmación del ámbito, un mapa honesto de los sistemas clínicos y su deuda de seguridad, el inventario de conectividad con proveedores y una comprobación de las evidencias de gobernanza a nivel de consejo.
Eso te da una lista de remediación priorizada en lugar de una vaga sensación de que "deberíamos hacer algo con NIS2". Para la mayoría de los clientes sanitarios, los tres primeros puntos serán los mismos: capacidad de aislamiento de proveedores, copias de seguridad probadas de la historia clínica y un proceso de notificación de incidentes documentado con un responsable designado.
Si quieres un punto de partida rápido y estructurado que puedas poner en marcha con un cliente sanitario esta misma semana, nuestro quick scan mapea su postura actual frente a los requisitos de NIS2 y te da la lista de brechas sobre la que construir el proyecto.
El sector sanitario es donde lo que está en juego con NIS2 es más alto, donde la deuda técnica heredada es más profunda y donde el riesgo de proveedores está más expuesto. Esa combinación es difícil para los hospitales, y es exactamente el tipo de trabajo que los MSP y consultores están en posición de asumir.