¿Por qué este tema es relevante para mi organización?

El comportamiento humano es la causa más frecuente de incidentes de seguridad. Conocer y concienciar sobre este tema reduce el riesgo de forma directa y demostrable.

¿Cómo ayuda 2LRN4 con este tema?

2LRN4 enlaza este tema con un módulo formativo basado en riesgos, una simulación de phishing opcional e informes, para que pueda demostrar el cumplimiento ante supervisores y consejo.

¿Basta con una formación de concienciación o hace falta más?

La formación es una pieza necesaria pero no un escudo completo. Combínela con medidas técnicas (MFA, filtrado de correo), procedimientos y cultura de notificación para una protección óptima.

NEN 7510 y concienciación en sanidad

NEN 7510 es la norma neerlandesa de seguridad de la información en sanidad. Desde 2024, la mayoría de las organizaciones sanitarias también entran en la Cyberbeveiligingswet (Cbw, la transposición neerlandesa de NIS2) como sector esencial. La concienciación es un requisito en ambos marcos, pero el énfasis difiere. NEN 7510 enfatiza datos de pacientes y secreto profesional, la Cbw medidas organizativas y responsabilidad del consejo. ¿Cómo construir un programa de concienciación que cumpla ambos sin administración duplicada?

Por qué la sanidad tiene un marco doble

Las organizaciones sanitarias deben cumplir tanto NEN 7510:2024 (versión actual de la norma Seguridad de la información en sanidad) como la Cyberbeveiligingswet (Cbw). NEN 7510 no es una ley sino una norma sectorial, supervisada por la IGJ como interpretación práctica de los requisitos de diligencia Wkkgz.

La Cbw es además una ley nacional con requisitos organizativos, técnicos y de gobernanza específicos. Para entidades sanitarias designadas como esenciales (la mayoría de hospitales, salud mental, cuidados de larga duración), los artículos 21 (deber de diligencia) y 24 (formación del consejo) de la Cbw son obligatorios.

En la práctica los dos marcos se solapan en un 60–70 %, ambos exigen gestión de riesgos, gestión de incidentes, concienciación, gestión de proveedores. El 30–40 % restante difiere en énfasis: NEN 7510 más profundo en datos de paciente y secreto profesional, Cbw más amplio en ciber-resiliencia y responsabilidad del consejo.

Requisitos NEN 7510 sobre concienciación

NEN 7510 remite a ISO 27001/27002 para la estructura general pero añade requisitos específicos del sector. En concienciación y personal, los apartados principales son:

§7.2.2 (Concienciación, formación y capacitación): todos los empleados y terceros relevantes reciben formación adecuada sobre sus responsabilidades de seguridad, repetida periódicamente.
§9.2 (Política de accesos): los empleados deben saber qué datos de paciente pueden/no pueden consultar, el secreto profesional es aquí el marco principal.
§16.1 (Gestión de incidentes): los empleados deben reconocer y notificar brechas y incidentes de seguridad, directamente vinculado a la obligación de notificación a la AP y al paciente.
NEN 7510-2 (extensión): directrices sectoriales de gestión de riesgos para el tratamiento electrónico de datos de paciente.

Temas de concienciación propios del sector

El contenido genérico funciona peor en sanidad. Lo que en otros sectores se reconoce como "phishing" tiene aquí un contexto específico: una notificación de HCE pidiendo reautenticación, un proveedor solicitando autorización urgente para exportar datos de paciente, un familiar llamando haciéndose pasar por médico.

Una concienciación sanitaria efectiva cubre al menos: datos de paciente y secreto profesional (jurídico y ético), detección y notificación de brechas, fraude por suplantación de profesionales registrados, infección por USB en planta, MDM/BYOD para puestos móviles e ingeniería social específica para personal de recepción y triaje.

La segmentación de audiencias es crucial. Un enfermero en planta, un administrativo y el director médico tienen riesgos y reflejos necesarios distintos. Una concienciación no segmentada se siente abstracta para el personal sanitario, lo que reduce demostrablemente compromiso y efectividad.

Formación del consejo: NEN 7510 vs Cbw art. 24

NEN 7510 exige implicación del consejo en el SGSI, pero no especifica formación obligatoria del consejo. La Cbw sí: el artículo 24 exige expresamente formación del consejo demostrable, con responsabilidad personal por negligencia culpable.

Para los consejos sanitarios un programa conforme con la Cbw cubre automáticamente la implicación del consejo NEN 7510 mejor que al revés. Empiece, por tanto, por el más estricto de los dos, Cbw art. 24, y deje que la implicación del consejo NEN 7510 se derive de ahí.

En la práctica: una sesión anual del consejo de 2–3 horas sobre ciber-riesgos específicos del sector (impacto del ransomware en la atención al paciente, responsabilidad por brechas, riesgo de proveedores en la cadena), complementada con actualizaciones cortas ante incidentes relevantes. La documentación (fecha, asistencia, contenido) sirve como evidencia para ambos marcos.

Un programa, dos informes

El mayor escollo al combinar NEN 7510 y Cbw es la administración duplicada. Muchas organizaciones sanitarias llevan dos pistas de cumplimiento paralelas con acciones de concienciación solapadas y reportes separados.

Enfoque coherente: un programa de concienciación con una capa de reporting, donde cada participación se vincula tanto a controles NEN 7510 como a artículos Cbw. Para supervisión IGJ exporte por control NEN 7510; para supervisión Cbw, por artículo Cbw. Los datos subyacentes son los mismos.

Las plataformas modernas de concienciación (como 2LRN4) soportan este mapeo doble por defecto. Por evento de formación se registra qué párrafo NEN 7510 y qué artículo Cbw cumple, además de audiencia, fecha, proveedor y resultado de evaluación. En auditoría se selecciona la vista relevante.

De la explicación a la acción

Descubra cómo 2LRN4 convierte este tema en un programa funcional con formación, simulación de phishing e informes para la dirección.

Ver la página de plataforma

Fuentes

FAQ

¿Es NEN 7510 obligatoria para los proveedores sanitarios?

NEN 7510 no es ley pero se vuelve de facto obligatoria porque la IGJ la supervisa como interpretación práctica del requisito de diligencia Wkkgz. Para proveedores que trabajan con datos de paciente, el cumplimiento es necesario en la práctica.

¿Qué marco es más exigente, NEN 7510 o Cbw?

La Cbw tiene más peso formal (ley nacional, responsabilidad personal del consejo, multas mayores). NEN 7510 es más rica en detalle en temas específicos del sector. Cumplir ambas no es opción sino obligación; en la práctica, un buen programa Cbw cubre ya la mayor parte de NEN 7510.

¿Todas las organizaciones sanitarias entran en la Cbw?

La mayoría sí, hospitales, salud mental, geriatría, discapacidad y grandes redes de atención primaria están designadas como esenciales. Las consultas pequeñas (<50 empleados) suelen quedar fuera, pero deben seguir cumpliendo el RGPD y NEN 7510.

¿Con qué frecuencia debe repetirse la formación de concienciación?

NEN 7510 habla de "periódicamente". En las directrices prácticas se aplica al menos anualmente, con onboarding para nuevas incorporaciones y formación adicional tras incidentes o cambios de política. Más efectivos son módulos cortos repartidos por el año (microlearning) que una única sesión anual larga.

¿Diferencia entre NEN 7510 e ISO 27001?

NEN 7510 se basa en ISO 27001/27002 pero añade requisitos específicos del sector (apartados sobre datos de paciente, secreto profesional, tratamiento electrónico). A veces se utiliza la certificación ISO 27001 como antesala de la conformidad NEN 7510, pero no son intercambiables.

¿Cómo se conecta esto con el RGPD?

El RGPD es la base legal del tratamiento de datos personales, incluyendo datos médicos como categoría especial. NEN 7510 da la interpretación práctica de los requisitos de diligencia del RGPD para el sector sanitario. Una brecha en datos de paciente desencadena tanto notificación RGPD (AP) como tratamiento NEN 7510 y obligación Cbw, tres vías de notificación para un mismo incidente, a coordinar.