Aprobada la Estrategia de Ciberseguridad del Sistema Nacional de Salud 2025-2028

• La Estrategia establece un marco integral para proteger la información sanitaria, asegurar la continuidad asistencial y fortalecer la confianza ciudadana en el entorno digital.
• Supone un paso decisivo para posicionar al SNS como referente en ciberseguridad en Europa, cumpliendo con las directrices de la UE y recomendaciones de la OCDE.
• El plan cuenta con 12 ejes estratégicos, 8 objetivos principales y un modelo de gobernanza colaborativa entre el Ministerio de Sanidad y las CCAA.

Madrid, 12 de noviembre de 2025.- El Consejo Interterritorial del Sistema Nacional de Salud (CISNS) ha aprobado la Estrategia de Ciberseguridad del SNS 2025-2028, un documento clave para afrontar los retos de la digitalización sanitaria desde un enfoque integral, preventivo y colaborativo, que ha sido elaborado con la participación activa de las comunidades autónomas, especialmente Andalucía, Cataluña, Comunidad Valenciana, Galicia e Islas Baleares, cuyas experiencias en la protección de activos digitales han contribuido de forma significativa a su definición.

La iniciativa, impulsada por el Ministerio de Sanidad, se enmarca en la Estrategia de Salud Digital y responde a un contexto marcado por el creciente número de ataques cibernéticos dirigidos a infraestructuras sanitarias, tanto a nivel nacional como internacional. En los últimos años, se ha producido un aumento significativo de incidentes como ataques de ransomware, intentos de robo de datos clínicos o de accesos no autorizados a sistemas críticos, que han puesto en riesgo la operatividad de servicios asistenciales y la confidencialidad de millones de historiales médicos. Estas amenazas, cada vez más sofisticadas, suponen un desafío estructural para la continuidad y seguridad del Sistema Nacional de Salud.

Según datos del Instituto Nacional de Ciberseguridad (INCIBE), los ataques más frecuentes al sector sanitario en 2024 fueron malware, intrusiones, robo de datos y ransomware, afectando a centros de atención primaria y hospitales. A ello se suma la necesaria interconexión entre servicios sanitarios y el creciente despliegue de tecnologías digitales, lo que incrementa la superficie de exposición ante posibles vulnerabilidades. Esta situación ha impulsado la necesidad de dotar al SNS de un marco robusto y preventivo que asegure la resiliencia operativa, el cumplimiento normativo y la confianza ciudadana en un entorno sanitario cada vez más digital.

El documento establece ocho objetivos estratégicos entre los que destacan: crear una red nacional de colaboración sobre ciberincidentes, garantizar la integridad y disponibilidad de los datos sanitarios, promover la formación continua en ciberseguridad para el personal sanitario, asegurar la continuidad asistencial frente a incidentes, y fomentar el cumplimiento normativo con estándares europeos como NIS2 o ENS.

Además, se persigue posicionar al SNS como referente en Europa en ciberseguridad sanitaria, mediante el impulso a la innovación, la vigilancia tecnológica y la cooperación institucional.

La Estrategia se articula a través de 12 ejes estratégicos, que abarcan desde la gobernanza del modelo de ciberseguridad hasta la gestión de crisis, la protección de la cadena de suministro, la creación de un observatorio de madurez cibernética y la contratación segura de tecnologías y servicios. Cada eje incluye programas y proyectos concretos que serán implementados gradualmente, según una hoja de ruta nacional.

Esta Estrategia está alineada con la Estrategia Nacional de Ciberseguridad y las directrices europeas para sectores críticos. Su gobernanza será coordinada por la Secretaría General de Salud Digital, Información e Innovación, con la creación de una subcomisión específica de Ciberseguridad en el seno de la Comisión de Salud Digital.

La implementación de esta Estrategia representa un avance decisivo para reforzar la resiliencia operativa del sistema sanitario público, garantizar la privacidad de los datos personales en un contexto de creciente digitalización y uso de soluciones de inteligencia artificial, y construir una cultura sólida de ciberseguridad en todo el SNS.