Data protection

Piano d’azione europea sulla sicurezza informatica di ospedali e fornitori di servizi sanitari.

In data 15 gennaio 2024 la Commissione europea ha varato un piano d’azione europeo per rafforzare la cybersicurezza degli ospedali e dei prestatori di assistenza sanitaria.[1]

Questo documento fa parte degli orientamenti politici del mandato 2024-2029 della Commissione, il piano d’azione si concentra sul miglioramento dell’individuazione delle minacce, della preparazione e della risposta alle crisi nel settore sanitario. Mira a fornire orientamenti, strumenti, servizi e formazione su misura agli ospedali e ai prestatori di assistenza sanitaria. Diverse azioni specifiche saranno attuate progressivamente nel 2025 e nel 2026, in collaborazione con i fornitori di servizi sanitari, gli Stati membri e la comunità della cibersicurezza. L’iniziativa rappresenta la prima iniziativa settoriale ad attuare l’intera gamma di misure dell’UE in materia di cibersicurezza

Il piano d’azione dell’UE è volto a rafforzare la cibersicurezza degli ospedali e dei prestatori di assistenza sanitaria.[2] Il piano d’azione è stato annunciato negli orientamenti politici della presidente von der Leyen come una delle priorità fondamentali nei primi 100 giorni del nuovo mandato e costituisce un passo importante nella protezione del settore sanitario dalle minacce informatiche. L’iniziativa porterà alla creazione di un ambiente più sicuro e protetto per i pazienti[3] e gli operatori sanitari, rafforzando le capacità di individuazione delle minacce, nonché di preparazione e risposta alle stesse, degli ospedali e dei prestatori di servizi sanitari.

La digitalizzazione sta rivoluzionando il settore dell’assistenza sanitaria, rendendo possibili servizi migliori per i pazienti grazie a innovazioni quali le cartelle cliniche elettroniche, la telemedicina e la diagnostica basata sull’IA. Gli attacchi informatici possono tuttavia ritardare le procedure mediche, paralizzare i reparti di pronto soccorso e ostacolare servizi essenziali; in casi gravi ciò potrebbe avere un impatto diretto sulla vita dei cittadini europei. Secondo le segnalazioni degli Stati membri sono stati 309 gli incidenti di cibersicurezza significativi che hanno colpito il settore sanitario nel 2023, un numero superiore a quello di qualsiasi altro settore critico.

Il piano d’azione propone tra l’altro che l’ENISA, l’agenzia dell’UE per la cibersicurezza, istituisca un centro di sostegno paneuropeo alla cibersicurezza per gli ospedali e i prestatori di assistenza sanitaria che fornisca loro orientamenti, strumenti, servizi e attività di formazione su misura.[4] L’iniziativa si basa sul più ampio quadro dell’UE volto a rafforzare la cibersicurezza di tutte le infrastrutture critiche ed è la prima iniziativa settoriale ad attuare l’intera gamma di misure dell’UE in materia di cibersicurezza.

In sintesi, il piano d’azione è incentrato su quattro priorità:

  • prevenzione rafforzata: il piano contribuisce a sviluppare le capacità del settore sanitario per quanto riguarda la prevenzione degli incidenti di cibersicurezza attraverso misure di preparazione rafforzate, quali ad esempio degli orientamenti sull’attuazione di pratiche critiche in materia di cibersicurezza.

Gli Stati membri possono inoltre introdurre voucher per la cibersicurezza per fornire assistenza finanziaria alle micro, piccole e medie strutture ospedaliere e di prestazione di assistenza sanitaria. Infine l’UE svilupperà anche risorse di apprendimento in materia di cibersicurezza per gli operatori sanitari;

  • migliore rilevamento e identificazione delle minacce: il centro di sostegno alla cibersicurezza per gli ospedali e i prestatori di assistenza sanitaria svilupperà entro il 2026 un servizio di allarme rapido a livello di UE, che trasmetterà un’allerta in tempo quasi reale in caso di potenziali minacce informatiche;
  • risposta agli attacchi informatici per ridurne al minimo l’impatto: il piano propone un servizio di risposta rapida per il settore sanitario nel quadro della riserva dell’UE per la cibersicurezza, che è stata istituita dal regolamento sulla cibersolidarietà e prevede che operatori privati di fiducia prestino servizi di risposta agli incidenti. Nell’ambito del piano sarà possibile svolgere esercitazioni nazionali di cibersicurezza in parallelo allo sviluppo di protocolli destinati a guidare gli istituti sanitari nella risposta a minacce specifiche alla cibersicurezza, compreso il ransomware. Gli Stati membri sono incoraggiati a chiedere a tali enti di segnalare il pagamento di riscatti, affinché sia possibile fornire loro il sostegno di cui hanno bisogno e garantire il seguito da parte delle autorità di contrasto;
  • deterrenza: proteggere i sistemi sanitari europei dissuadendo gli autori di minacce informatiche dall’attaccarli. Ciò comprende l’uso del pacchetto di strumenti della diplomazia informatica, una risposta diplomatica comune dell’UE alle attività informatiche dolose.

Il piano d’azione sarà attuato di concerto con i prestatori di assistenza sanitaria, gli Stati membri[5] e la comunità della cibersicurezza. Per perfezionare ulteriormente le azioni più incisive affinché i pazienti e i prestatori di assistenza sanitaria possano trarne beneficio, la Commissione avvierà a breve una consultazione pubblica sul piano d’azione, aperta a tutti i cittadini e ai portatori di interessi.

Prossime tappe

Il piano d’azione segna l’inizio di un processo volto a migliorare la cibersicurezza nel settore sanitario. Azioni specifiche saranno realizzate progressivamente nel 2025 e nel 2026. Entro la fine dell’anno i risultati della consultazione confluiranno in ulteriori raccomandazioni.

Contesto

L’UE lavora su vari fronti per promuovere la ciberresilienza e proteggere i suoi cittadini e le sue imprese dalle minacce informatiche in un’Europa sempre più digitale e connessa. Il piano d’azione, che risponde all’urgenza della situazione e alle minacce specifiche a cui è esposto il settore, è basato sul quadro legislativo vigente nel settore della cibersicurezza. Gli ospedali e gli altri prestatori di assistenza sanitaria costituiscono un settore ad alta criticità a norma della direttiva NIS 2.

 Il quadro per la cibersicurezza NIS 2 è attuato di pari passo con il regolamento sulla ciberresilienza, entrato in vigore il 10 dicembre 2024, che è la prima normativa dell’UE a introdurre requisiti obbligatori di cibersicurezza per i prodotti con elementi digitali.[6]

La Commissione ha inoltre istituito, a norma del regolamento sulla cibersolidarietà, un meccanismo per le emergenze di cibersicurezza che rafforza la solidarietà e le azioni coordinate dell’UE in materia di rilevamento delle minacce e degli incidenti informatici e di preparazione e risposta agli stessi.

Garantire un’infrastruttura digitale resiliente e sicura è essenziale per la piena realizzazione dello spazio europeo dei dati sanitari, che porrà i cittadini al centro della loro assistenza sanitaria, assicurando loro il pieno controllo dei loro dati.[7]

Di seguito si riporta la tabella di marcia prevista dalla Commissione, con l’indicazione dei soggetti competenti, delle azioni proposte e dei tempi di attuazione.[8]

ENISA:

[1] Link:  https://ec.europa.eu/commission/presscorner/detail/it/ip_25_262

[2] Le minacce informatiche ai sistemi sanitari sono in aumento, sia in termini di frequenza che di sofisticazione. Gli ospedali e gli operatori sanitari, che sono infrastrutture critiche dei nostri sistemi sanitari, sono particolarmente vulnerabili agli attacchi informatici, come ransomware o violazioni dei dati. Questi incidenti possono interrompere i servizi medici vitali e compromettere la sicurezza dei pazienti e dei loro dati. La Commissione sta agendo con urgenza per affrontare queste sfide, garantendo che la trasformazione digitale dell’assistenza sanitaria sia sicura e affidabile.

[3] Ai pazienti è richiesto un ruolo proattivo al fine di contribuire al raggiungimento dei risultati che la Commissione si è prefissa; infatti, essi possono contribuire rimanendo informati sulla cibersicurezza e adottando misure per proteggere i propri dati sanitari digitali. Ad esempio: Utilizzare meccanismi di autenticazione affidabili (ad esempio il portafoglio di identità digitale dell’UE) per i portali sanitari online. Segnalazione di attività sospette, come tentativi di phishing. Fidarsi dei prestatori di assistenza sanitaria che seguono le misure di cibersicurezza raccomandate dall’UE. Un ecosistema sanitario sicuro dipende dalla partecipazione attiva di tutti.

[4] Il piano d’azione propone, tra l’altro, di istituire un centro paneuropeo di sostegno alla cibersicurezza per gli ospedali e i prestatori di assistenza sanitaria al fine di fornire loro orientamenti, strumenti e servizi su misura. L’ENISA, l’agenzia dell’UE per la ibersicurezza, istituirà il Centro all’interno delle proprie strutture. Garantirà l’attuazione del piano d’azione in modo coerente e razionalizzato, evitando nel contempo la creazione di nuove strutture amministrative. Il Centro di sostegno svilupperà un catalogo completo di servizi di soluzioni concrete che rafforzeranno la cibersicurezza del settore. Lavorerà con gli Stati membri e attingerà alle esperienze pratiche delle organizzazioni sanitarie.

[5] Gli Stati membri svolgeranno un ruolo fondamentale nell’attuazione del piano d’azione: Coordinare le strategie nazionali di cibersicurezza per l’assistenza sanitaria. Condivisione delle informazioni sulle minacce e delle migliori pratiche a livello transfrontaliero. Sostenere gli ospedali e i prestatori di assistenza sanitaria nell’adozione delle misure necessarie. Gli Stati membri sono incoraggiati a elaborare piani d’azione nazionali incentrati sulla cibersicurezza nel settore sanitario. Tali piani delineerebbero i rischi specifici per la cibersicurezza cui devono far fronte i sistemi sanitari e le azioni nazionali adottate per farvi fronte, garantendo nel contempo che le risorse e le pratiche a livello europeo siano impiegate in modo efficace.

[6] Il piano d’azione si basa sul quadro legislativo esistente nel settore della cibersicurezza, in particolare la direttiva NIS2, il regolamento sulla cibersolidarietà (compreso il meccanismo per le emergenze di cibersicurezza), il regolamento sulla cibersicurezza (compresa la certificazione europea della cibersicurezza), il regolamento sui dispositivi medici e il regolamento sulla ciberresilienza. che garantiscono un elevato livello comune di cibersicurezza in tutta l’UE.

La direttiva NIS2, che stabilisce obblighi per i settori critici, compresa l’assistenza sanitaria, estende l’ambito di applicazione dei requisiti di cibersicurezza ai servizi essenziali riguardanti i laboratori di riferimento dell’UE, i soggetti che svolgono attività di ricerca e sviluppo di medicinali, i fabbricanti di prodotti e preparati farmaceutici di base (compresi i vaccini), i fabbricanti di dispositivi medici considerati critici durante un’emergenza di sanità pubblica.

Per quanto riguarda il piano d’azione, l’attenzione si concentra in particolare sulle vulnerabilità e le esigenze uniche degli ospedali e dei siti sanitari.

Il piano d’azione riguarda innanzitutto il sostegno al settore affinché adotti le misure di sicurezza informatica di base che sappiamo sposteranno le probabilità di un incidente informatico. Garantisce che i sistemi sanitari siano attrezzati per gestire i rischi specifici che devono affrontare. Presta particolare attenzione allo sviluppo di capacità, agli investimenti e ad aiutare gli ospedali e i prestatori di assistenza sanitaria ad adottare le necessarie misure di preparazione alla cibersicurezza. Stabilisce inoltre modi per aiutare tali entità in caso di incidente, per garantire che la risposta e il recupero siano il più rapidi ed efficienti possibile, in modo che le normali operazioni possano essere ripristinate rapidamente.

[7] Lo spazio europeo dei dati sanitari (EHDS) è il progetto faro dell’UE per digitalizzare l’assistenza sanitaria, che stabilisce norme chiare per l’uso dei dati sanitari per migliorare l’erogazione dell’assistenza sanitaria, la ricerca, l’innovazione e l’elaborazione delle politiche. Un’infrastruttura resiliente e sicura è essenziale per l’attuazione dello spazio europeo dei dati sanitari. Il presente piano d’azione definisce azioni concrete per garantire il trattamento dei dati negli ospedali e nei prestatori di assistenza sanitaria, che fungono sia da fornitori che da utenti dei dati sanitari nello spazio europeo dei dati sanitari. Oltre al presente piano d’azione e alla legislazione in materia di cibersicurezza, il prossimo regolamento sullo spazio europeo dei dati sanitari prevede anche garanzie specifiche per il trattamento dei dati sanitari personali. Ad esempio, contiene garanzie in relazione alla gestione dell’accesso e dell’identificazione nei sistemi di cartelle cliniche elettroniche o al riutilizzo dei dati in ambienti di trattamento sicuri.

[8] N.b. “Q1” sta per 1° Quadrimestre .

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn
governance-sicurezza-digitale

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

Elenco dipendenti
La trasmissione degli elenchi del personale ai sindacati in caso di elezioni delle RSU aziendali
22 Febbraio 2025
Garante per la protezione dei dati
Garante per la protezione dei dati personali Linee guida cookie e altri strumenti di tracciamento.” Prescrizione resa ai sensi dell’art. 39 del Regolamento UE 2016/679.
26 Marzo 2024
conformita
NIS2: oltre la ISO 27001, cosa serve davvero per la conformità
10 Aprile 2025

Start typing and press Enter to search