TransformacióDigital

La consulta pública de la Comissió Europea revela mancances en flexibilitat, accés al mercat i resiliència de les Directives vigents, i apunta a la necessitat d’una reforma que simplifiqui els procediments, reforci els objectius estratègics i adapti el sistema als nous reptes econòmics i socials.

Durant el mes de maig de 2025, la Comissió Europea va publicar l’informe de resultats de la consulta pública sobre l’avaluació de les Directives de Contractació Pública de 2014. Amb la participació de 733 respostes provinents d’agents públics, privats i de la societat civil, l’informe ofereix una visió crítica i reflexiva sobre els èxits i les mancances del marc actual. Com a jurista especialitzat en contractació pública, aquestes conclusions conviden a reflexionar sobre el present i el futur de la regulació en aquest àmbit clau per al funcionament del mercat interior europeu.

Un dels aspectes més destacats és la percepció generalitzada que les Directives no han assolit els objectius de flexibilitat i simplificació normativa: el 54 % dels participants considera que no s’han establert normes més simples, i el 49 % creu que el sistema continua sent poc flexible. Tot i això, es valora positivament la digitalització, especialment per part del sector privat, on el 57 % de les empreses afirma que la contractació electrònica (eProcurement) ha reduït la càrrega administrativa i ha agilitzat els procediments.

Pel que fa a la integritat i la transparència, la valoració és més favorable: un 62 % reconeix que les Directives han incrementat la transparència gràcies a l’estandardització de la publicitat dels procediments. No obstant això, només un 38 % percep que s’hagi reduït la corrupció, la qual cosa suggereix que encara hi ha marge per reforçar els controls i la supervisió.

L’accés al mercat, especialment per a les pimes, continua essent un repte. El 46 % dels enquestats no observa un augment de la competència com a conseqüència del marc actual.

Cal destacar també el component estratègic de la contractació pública, un dels grans eixos de les Directives del 2014. Tot i que els poders adjudicadors afirmen haver incorporat criteris ambientals, socials i d’innovació, els operadors privats discrepen: més del 50 % considera que les Directives no han fomentat activament aquestes pràctiques. Paral·lelament, prop d’un terç dels enquestats qüestiona la rellevància actual d’aquestes normes, fet que reflecteix una desconnexió entre el marc jurídic i les capacitats reals dels operadors econòmics per adaptar-s’hi.

Els reptes relacionats amb la resiliència, com ara la resposta a crisis sanitàries o de seguretat, posen de manifest les limitacions estructurals del model actual: el 49 % considera que les Directives no estan preparades per contribuir eficaçment a l’autonomia estratègica de la UE, i el 44 % dubta de la seva adequació per afrontar disrupcions en les cadenes de subministrament.

Aquestes conclusions reflecteixen una tensió entre els principis rectors de la contractació pública i la creixent pressió perquè aquesta compleixi objectius estratègics, socials i ambientals, fet que planteja la necessitat d’una revisió normativa que abordi una simplificació real i efectiva del règim jurídic (especialment en els procediments de menor valor i en l’aplicació de criteris qualitatius), l’enfortiment de les capacitats tècniques i digitals tant en les administracions com en els operadors econòmics i l’adequació del marc normatiu als contextos d’emergència, que permetin garantir l’interès general sense sacrificar la legalitat.

En definitiva, l’informe posa de manifest allò que el conjunt d’operadors econòmics detectem amb l’aplicació pràctica: que el model europeu de contractació pública necessita evolucionar cap a una major coherència entre mitjans i finalitats, evitant tant el formalisme excessiu com el voluntarisme retòric, i apostant per una contractació pública professional, estratègica i transversal.

La contínua evolució de les amenaces cibernètiques ha donat origen a nous desafiaments, posant de manifest certes limitacions que dificulten abordar de manera eficaç els reptes actuals i emergents en l’àmbit de la ciberseguretat. En aquest context, la Directiva NIS2 sorgeix com a resposta a aquesta necessitat d’actualització i enfortiment de les mesures establertes en la Directiva NIS1, erigint-se com un marc normatiu estratègic per a abordar els reptes actuals en matèria de ciberseguretat en el marc de la Unió Europea. La Directiva NIS2 va entrar en vigor el 16 de gener de 2023, i la seva transposició a Espanya es farà a través de l’avantprojecte de Llei de Coordinació i Governança de la Ciberseguretat aprovat el passat 14 de gener de 2025 pel Consell de Ministres.

La NIS2 amplia l’àmbit d’aplicació, dotant així d’una major cobertura als sectors i serveis de més rellevància social i econòmica, considerant-los com a entitats essencials o importants, en funció del grau de criticitat dels seus sectors, de la seva mida o del tipus de servei prestat. El sector sanitari forma part dels sectors d’alta criticitat, i en ell s’hi inclou: laboratoris de referència de la UE, entitats que realitzen activitats d’investigació i desenvolupament de medicaments, entitats que fabriquen productes farmacèutics de base i especialitats farmacèutiques i entitats que fabriquen productes sanitaris que es consideren essencials en situacions d’emergència de salut pública.

A més, la NIS2 reforça els requisits de seguretat que han de complir les entitats afectades, precisa el procés de notificació d’incidents, aborda la seguretat en la cadena de subministrament i les relacions amb proveïdors, reforça l’intercanvi d’informació sobre incidents i la divulgació de vulnerabilitats i estableix una xarxa europea de suport de crisis (EU-CYCLONe). Totes les mesures han de ser proporcionades al risc, tamany, cost i impacte i gravetat dels incidents; i, per altra banda, tenir en compte l’estat de la tècnica, i quan procedeixi, les normes europees i internacionals.

Quant a la notificació d’incidents, només el 2023, els països de la UE notificaren 309 incidents de ciberseguretat greus contra el sector sanitari, més que en qualsevol altre sector crucial. A més, cal considerar que el 54% dels ciberatacs en aquest sector impliquen ransomware.

Tal com s’indica en l’Informe de prospectives de ciberseguretat per al 2024 de l’Agència de Ciberseguretat de Catalunya  “S’identifica, en primer lloc, que el sector salut emergeix com un objectiu principal, ja que s’enfronta a amenaces que poden paralitzar els sistemes crítics de salut pública i comprometre dades sensibles de pacients. (…) El repte d’implementar un entorn de ciberseguretat robust i avançat a Cavàriestalunya també exigeix adquirir i desplegar de forma efectiva noves capacitats. L’aplicació d’intel·ligència artificial, per a automatitzar i escalar les defenses cibernètiques, junt amb la incorporació d’altres tecnologies punteres, és imprescindible per a fer front a l’evolució de les ciberamenaces. A més, s’ha d’adoptar una estratègia de ciberseguretat proactiva, flexible i adaptable àgilment als canvis dinàmics i a l’evolució de les amenaces cibernètiques.”

Els ciberatacs també tenen conseqüències en la normativa de protecció de dades. Per això  és important que el responsable sigui conscient de com ha evolucionat el context de bretxes de dades personals en l’àmbit de la salut i, en particular, dels ciberincidents de tipus ransomware que s’han multiplicat en els últims anys, i que afecten a tot tipus d’organitzacions assistencials. Són diverses les resolucions sancionadores de l’Agència Espanyola de Protecció de Dades que s’han publicat en els últims temps derivades de ransomware, per exemple, el PS/00529/2022 contra Institut Marquès Obstetrícia i Ginecologia SLP, en què s’imputen infraccions dels arts. 5.1.f), 32 i 34 del Reglament General de Protecció de Dades (RGPD); o els procediments de l’Autoritat Catalana de Protecció de Dades PS 1/2024 i PS 4/2024, referents a l’Hospital Clínic de Barcelona i Fundació de Recerca Clínic Barcelona-Institut d’Investigacions Biomèdiques August Pi i Sunyer, en els que es declara una infracció de l’art. 83.4.a en relació amb l’art. 32.1 RGPD i infracció de l’art. 83.4.a en relació amb l’art. 32.2 RGPD.

En definitiva, de l’exposat es desprèn que la ciberseguretat seguirà marcant l’agenda de les organitzacions del sector salut durant els pròxims exercicis, així com també de la política comunitària. El passat 15 de gener de 2025 la Comissió Europea presentà un pla d’acció de la UE destinat a reforçar la ciberseguretat dels hospitals i els prestadors d’assistència sanitària, que té com a objectiu crear un entorn més segur i protegit per als pacients. Aquesta iniciativa marca la primera iniciativa sectorial específica per a desplegar tota la gamma de mesures de ciberseguretat de la UE. El Pla es basa en les quatre prioritats següents:

1. Prevenció millorada.  El pla ajuda a desenvolupar les capacitats del sector sanitari per a prevenir incidents de ciberseguretat a través de mesures de preparació millorades, com orientacions sobre l’aplicació de pràctiques crítiques de ciberseguretat.
2. Millor detecció i identificació d’amenaces. Es desenvoluparà un servei d’alerta primerenca a escala de la UE, que oferirà alertes quasi a temps real sobre possibles ciberamenaces, d’aquí a 2026.
3. Resposta als ciberatacs per a minimitzar l’impacte. El pla proposa un servei de resposta ràpida pel sector sanitari en el marc de la Reserva de Ciberseguretat de la UE.
4. Dissuasió. Protegir els sistemes sanitaris europeus dissuadint als agents de ciberamenaces d’atacar-los. Això inclouria una resposta diplomàtica conjunta de la UE a les activitats informàtiques malintencionades.

Seguirem amb interès els passos previstos pel 2025-2026 definits en el Pla i analitzarem si aquests eviten que segueixi augmentant any rere any el nombre de ciberatacs a hospitals i altres prestadors d’assistència sanitària.