La Ley de Ciberseguridad y Resiliencia del Cuidado de la Salud de 2026 ordena al Departamento de Salud y Servicios Humanos (HHS) y a la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) coordinarse para proteger a hospitales, clínicas y otros proveedores de atención médica contra ciberataques, incluyendo la elaboración de un plan conjunto dentro de un año para responder a incidentes importantes a nivel de todo el sector. Exige que el HHS actualice las reglas de seguridad de HIPAA para que los proveedores de atención médica, las aseguradoras y sus proveedores externos ("entidades cubiertas y socios comerciales") adopten protecciones mínimas como la autenticación multifactor, el cifrado de información de salud protegida y pruebas de penetración, con esas reglas entrando en vigor 36 meses después de la promulgación. El HHS designaría a un representante para liderar su coordinación en ciberseguridad (sin incluir la aplicación de HIPAA) y enviaría al Congreso un informe anual sobre las amenazas cibernéticas y la postura de seguridad del sector de la salud. El proyecto de ley permite que el HHS otorgue subvenciones de hasta tres años a proveedores de la red de seguridad —centros de salud calificados a nivel federal, clínicas de salud rural, instalaciones del Servicio de Salud Indígena y hospitales sin fines de lucro— para contratar personal de ciberseguridad, reemplazar sistemas obsoletos y migrar a plataformas de nube seguras, autorizando "las sumas que sean necesarias" para los años fiscales 2026 a 2030. También añade el número de personas afectadas a los informes de violaciones de datos de salud, ordena al HHS considerar las prácticas de seguridad reconocidas de un proveedor al fijar multas o resolver auditorías, y crea un grupo de trabajo federal-estatal para reducir la presentación de informes duplicados de incidentes cibernéticos. Disposiciones adicionales exigen orientación en ciberseguridad rural con asistencia técnica, un estudio de la GAO sobre la preparación rural, y un plan estratégico para hacer crecer la fuerza laboral de ciberseguridad en el sector de la salud.
Transparencia y Rendición de Cuentas
- Requisitos de informes — Informe anual del HHS al Congreso sobre las amenazas cibernéticas del sector de la salud
- Planificación de respuesta a incidentes — Se exige un plan conjunto del HHS y CISA dentro de un año
- Divulgación en informes de violaciones de datos — Se añade el número de personas afectadas a los informes de violaciones de datos de salud
- Presentación duplicada de informes de incidentes — Se forma un grupo de trabajo federal-estatal para reducirla
- Estudio de supervisión — Se exige una revisión de la GAO sobre la preparación cibernética de proveedores rurales
Beneficios Corporativos
- Exposición a multas de HIPAA — Reducida para entidades que utilizan prácticas de seguridad reconocidas
Impacto en el Hogar Promedio
- Subvenciones de ciberseguridad para proveedores — Autorizadas para proveedores de la red de seguridad y de salud rural, años fiscales 2026–2030
Resumen del Congreso
Ley de Ciberseguridad y Resiliencia del Cuidado de la Salud de 2026. Este proyecto de ley amplía los requisitos y recursos federales para prevenir y responder a incidentes de ciberseguridad en los sectores de atención médica y salud pública. El proyecto de ley ordena al Departamento de Salud y Servicios Humanos (HHS) exigir que las entidades privadas relacionadas con la atención médica adopten prácticas mínimas de ciberseguridad (por ejemplo, autenticación multifactor), identificar de manera más específica los estándares para mitigar las sanciones relacionadas con violaciones de la privacidad y seguridad de la información de salud, ampliar y actualizar cada dos años un plan específico que detalle los protocolos de ciberseguridad para el personal del HHS, proporcionar capacitación y mejores prácticas para apoyar la expansión de la fuerza laboral en ciberseguridad de la atención médica, brindar orientación sobre preparación en ciberseguridad a entidades rurales, y designar a un representante para liderar la supervisión y coordinación de las actividades de ciberseguridad dentro del HHS. Además, el HHS y la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) deben coordinarse para mejorar la ciberseguridad de la atención médica, incluso mediante (1) el suministro de recursos a las entidades que reciben información de programas del HHS o de CISA, y (2) el establecimiento de un plan conjunto de capacidad de ciberseguridad para coordinar las respuestas a incidentes significativos. Adicionalmente, el proyecto de ley exige que los proveedores y planes de atención médica incluyan el número de personas afectadas al notificar a las personas sobre el acceso no autorizado a información de salud (es decir, una violación de datos).
Temas Legislativos
Detalles
- Congreso
- 119th
- Cámara
- Senado
- Estado
- resumido
- Acción
- Informado al Senado
- Fecha de Acción
- 2026-03-23
- Fecha Agregada
- 2026-07-08
- Fuente
- Congress.gov →
¿Te gustó leer un proyecto de ley en español claro?
Estamos creando una App que hace esto para cada proyecto de ley en el Congreso y que te deja decirles a tus representantes cómo quieres que voten. Somos un equipo pequeño a punto de lanzar, y queremos demostrarles a los inversionistas que sí hay gente que lo quiere. Sé uno de ellos. Ayúdanos a construirla. Déjanos tu correo y te avisamos en cuanto la App esté lista.