Garantizando la Seguridad en el Sector Sanitario Digital: el Esquema Nacional de Seguridad (ENS)

En el actual entorno sanitario, donde la digitalización avanza a pasos agigantados, la seguridad de la información y los sistemas es crucial, especialmente cuando se trata de datos sensibles de pacientes. En España, el marco que regula esta seguridad para las entidades públicas y sus proveedores es el Esquema Nacional de Seguridad (ENS).

El ENS, regulado por el Real Decreto 311/2022, es un marco de seguridad obligatorio que deben cumplir las entidades públicas españolas. Pero su alcance va más allá: también se aplica a las entidades privadas que prestan servicios o proveen soluciones a estas entidades públicas para el ejercicio de sus funciones administrativas. Esto incluye, de forma destacada, a los proveedores de soluciones digitales al sector público de la salud, como los laboratorios de hospitales públicos.

El objetivo principal del ENS es garantizar la seguridad de la información tratada y los servicios electrónicos prestados, protegiendo aspectos fundamentales como la disponibilidad, autenticidad, integridad, confidencialidad y trazabilidad.

Los sistemas de información utilizados en el sector sanitario público a menudo manejan datos de salud de alta sensibilidad. Un incidente de seguridad que afecte a estos sistemas podría tener consecuencias muy graves para los pacientes y para el correcto funcionamiento de los servicios sanitarios. Por ello, la normativa del sector público y de protección de datos, como la Ley 39/2015 (LPAC), la Ley 40/2015 (LRJSP), el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD), se alinea con el ENS, exigiendo medidas de seguridad que garanticen la protección de los documentos y datos almacenados. La disposición adicional primera de la LOPDGDD, por ejemplo, subraya que las medidas de seguridad en el sector público corresponden a las del ENS cuando un tercero presta un servicio contractual.

Para poder participar en licitaciones públicas y prestar servicios a entidades del sector público sujetas al ENS, las empresas privadas deben cumplir con sus disposiciones y requisitos. La acreditación de este cumplimiento es fundamental y, de hecho, no disponer de esta acreditación en el momento oportuno puede ser causa de exclusión de una licitación.

La forma de acreditar la conformidad con el ENS depende del nivel de seguridad del sistema:

●      Para sistemas de categoría BÁSICA, se requiere una Declaración de Conformidad.

●      Para sistemas de categoría MEDIA o ALTA, se exige una Certificación de Conformidad con el ENS.

Es la entidad pública contratante quien tiene la responsabilidad de determinar el nivel de seguridad del ENS que debe acreditar el licitador. Esta determinación se basa en un análisis del impacto que un incidente de seguridad tendría sobre las dimensiones de seguridad de la información y los servicios: Confidencialidad, Integridad, Trazabilidad, Autenticidad y Disponibilidad. Según el perjuicio que pueda causar (LIMITADO, GRAVE o MUY GRAVE), el nivel de seguridad para cada dimensión se categoriza como BAJO, MEDIO o ALTO. La categoría final del sistema será la más alta alcanzada en cualquiera de sus dimensiones.

Roche Diagnostics, como proveedor de soluciones digitales y servicios para laboratorios de hospitales públicos en España y en línea con su compromiso con la seguridad y protección de la información, reconoce la importancia estratégica y legal del ENS. Actualmente, Roche Diagnostics, S.L.U. cuenta con dos certificados de nivel MEDIO que acreditan la conformidad con el ENS para servicios prestados a laboratorios de hospitales con las soluciones digitales navify®.

Con estas certificaciones, Roche Diagnostics se alinea con las expectativas más altas del sector público sanitario y fortalece su posición como proveedor de confianza y líder en la aplicación de estándares de seguridad.

Además, el ENS se extiende a la cadena de suministro, lo que implica que Roche también evalúa y recomienda que sus proveedores cumplan con medidas de seguridad adecuadas, anticipándose a posibles exigencias futuras en los pliegos.

En conclusión, el ENS es un pilar fundamental para la seguridad digital en el sector sanitario público español. Roche Diagnostics no solo cumple activamente con los requisitos actuales, sino que invierte y trabaja para alcanzar los niveles de seguridad más exigentes, garantizando la máxima protección para la información y los servicios que ofrece a los profesionales de la salud.