Cybersicurezza nel settore sanitario: strategie UE per proteggere dati e servizi essenziali

Come Data Protection Officer (DPO), sono stato direttamente coinvolto nel piano di adeguamento delle strutture sanitarie che seguo, in conformità alla Direttiva NIS2 e alle normative europee e nazionali volte a rafforzare la cyber resilienza dei sistemi informativi sanitari. ù

L’evoluzione della normativa, unita alla crescente minaccia rappresentata dagli attacchi informatici, ha reso cruciale adottare misure proattive per proteggere i dati sensibili dei pazienti e garantire la continuità operativa dei servizi essenziali. Questo impegno non solo rappresenta un obbligo legale, ma è anche una responsabilità etica nei confronti delle persone e delle comunità che si affidano quotidianamente a tali strutture per la propria salute e sicurezza.

Negli ultimi anni, gli attacchi informatici sono diventati una minaccia sempre più pressante per il settore sanitario.

Gli ospedali e le strutture sanitarie, che gestiscono dati sensibili e forniscono servizi vitali, sono diventati bersagli frequenti di criminali informatici.

La crescente digitalizzazione del settore sanitario, con l’adozione di cartelle cliniche elettroniche, telemedicina e diagnostica basata sull’intelligenza artificiale, ha portato notevoli vantaggi, ma ha anche creato nuove vulnerabilità. Questi progressi tecnologici, sebbene essenziali per migliorare l’efficienza e la qualità delle cure, espongono le infrastrutture sanitarie a rischi sempre maggiori di cyberattacchi.

Gli attacchi informatici al settore sanitario sono in aumento in tutta Europa, con un totale di 309 incidenti significativi segnalati nel 2023.

Questo numero supera quello di qualsiasi altro settore critico, evidenziando la vulnerabilità specifica del comparto.

Questi attacchi possono causare gravi interruzioni dei servizi, ritardi nelle procedure mediche, blocchi nei pronto soccorso e compromettere la sicurezza dei dati sensibili dei pazienti.

La natura critica dei servizi sanitari rende questi attacchi particolarmente dannosi, con ripercussioni dirette sulla salute e sulla sicurezza dei cittadini.

Le conseguenze di tali attacchi includono non solo l’interruzione dei servizi medici vitali e i ritardi nelle cure, ma anche la compromissione della privacy dei pazienti e la perdita di fiducia nel sistema sanitario.

 Gli attacchi di tipo ransomware, in particolare, sono una minaccia crescente, con un costo medio per le fughe di dati che ammonta a 8 milioni di euro.

Nel 2024, circa 50 strutture sanitarie italiane sono state colpite da cyberattacchi, causando gravi ripercussioni sui servizi essenziali come il pronto soccorso e la radioterapia. Questi attacchi hanno mandato in tilt i sistemi di prenotazione di esami e visite.

L’Agenzia per la Cybersicurezza Nazionale (ACN) ha evidenziato la crescita delle minacce informatiche e la vulnerabilità dei dati sanitari. Gli attacchi colpiscono direttamente i servizi essenziali, rendendo cruciale la cybersecurity per la sicurezza delle persone e del paese.

I dati sanitari sono considerati una “materia prima preziosa” per commettere reati come frodi e ricatti. Una cartella clinica può valere tra i 300 e i 1.000 dollari, sottolineando quanto siano delicate queste informazioni che includono dati finanziari, codici fiscali e dettagli intimi sulle patologie delle persone.

L’ACN ha anche rilevato che da gennaio 2022, in Italia si sono verificati in media 2,6 eventi informatici dannosi al mese ai danni di strutture sanitarie, con circa la metà che ha avuto un impatto effettivo sui servizi erogati.

Le analisi dell’ACN mostrano che i tentativi di attacco spesso hanno successo a causa di pratiche di sicurezza ignorate o mal implementate. Questo è spesso dovuto alla scarsa attenzione alla sicurezza nella gestione dei sistemi digitali o alla carente formazione del personale sulla cybersecurity.

Inoltre, l’ACN ha rilevato che nel 2024 il numero complessivo degli eventi cyber è quasi raddoppiato rispetto al 2023, con 51 eventi contro i 27 dell’anno precedente. Anche il numero di incidenti è aumentato (57 rispetto ai 12 del 2023), in parte a causa di un attacco alla supply chain che ha colpito un fornitore di servizi IT nel settore sanitario. Nel 2023, gli attacchi ransomware hanno rappresentato il 35% degli eventi informatici e il 43% degli incidenti.

Il Piano d’Azione Europeo

La Commissione Europea, riconoscendo l’urgenza della situazione, ha delineato un piano d’azione basato su quattro pilastri fondamentali:

1. Prevenzione rafforzata

Uno dei pilastri fondamentali di questo piano è la prevenzione rafforzata, che mira a proteggere le infrastrutture sanitarie prima che gli attacchi si verifichino.

Ecco i dettagli relativi alla prevenzione rafforzata:

Misure di preparazione preventiva: il piano si concentra sull’implementazione di misure di preparazione per creare la capacità di risposta del settore sanitario agli attacchi informatici. Questo include lo sviluppo di linee guida e migliori pratiche per la gestione della cybersicurezza nel settore sanitario. Le linee guida mirano a fornire alle strutture sanitarie indicazioni chiare su come proteggere i propri sistemi e dati.

Voucher per la cybersicurezza: per aiutare le piccole e medie strutture sanitarie a migliorare la loro sicurezza informatica, il piano prevede l’introduzione di voucher specifici. Questi voucher rappresentano un’assistenza finanziaria che gli Stati membri possono erogare agli ospedali e ai fornitori di assistenza sanitaria di micro, piccole e medie dimensioni. Questo supporto finanziario è essenziale per permettere alle strutture sanitarie più piccole di investire in misure di sicurezza che altrimenti potrebbero non essere in grado di permettersi.

Risorse di apprendimento per gli operatori sanitari: il piano riconosce che la formazione del personale sanitario è un elemento cruciale nella prevenzione degli attacchi informatici. A tal fine, l’UE si impegna a sviluppare risorse di apprendimento specifiche per gli operatori sanitari. Queste risorse saranno progettate per aumentare la consapevolezza del personale sui rischi informatici e per fornire loro le competenze necessarie per proteggere i sistemi informatici che utilizzano quotidianamente.

Le iniziative di prevenzione rafforzata sono fondamentali per creare una cultura della sicurezza informatica nel settore sanitario. La consapevolezza del personale, insieme alle risorse finanziarie e alle linee guida appropriate, può ridurre significativamente la vulnerabilità del settore agli attacchi informatici. L’obiettivo è quello di garantire che le strutture sanitarie siano preparate a rispondere alle minacce in modo proattivo, proteggendo i dati dei pazienti e la continuità dei servizi. La Commissione Europea sottolinea che “prevenire è meglio che curare” evidenziando l’importanza di queste misure preventive.

2. Miglioramento dell’individuazione delle minacce: il piano d’azione europeo per la cybersicurezza nel settore sanitario mira a rafforzare la capacità di individuare e identificare le minacce informatiche attraverso la creazione di un Centro paneuropeo di sostegno alla cybersicurezza, gestito dall’Agenzia dell’Unione Europea per la cybersicurezza (ENISA). Questo centro rappresenta un pilastro fondamentale del piano, con l’obiettivo di fornire un supporto coordinato e centralizzato a ospedali e fornitori di servizi sanitari in tutta Europa.

Ecco i dettagli relativi al miglioramento dell’individuazione delle minacce:

• Creazione del Centro di Sostegno Paneuropeo: l’ENISA è incaricata di istituire un centro dedicato alla cybersicurezza per ospedali e fornitori di servizi sanitari. Questo centro agirà come un punto di riferimento per le strutture sanitarie, offrendo orientamenti, strumenti, servizi e formazione su misura per migliorare la loro resilienza informatica.

• Sviluppo di un sistema di allerta precoce: entro il 2026, il Centro di Sostegno dovrà sviluppare un servizio di allerta precoce a livello europeo. Questo sistema fornirà avvisi “quasi in tempo reale” sulle potenziali minacce informatiche, consentendo alle strutture sanitarie di agire prontamente per prevenire o mitigare gli attacchi. Il sistema di allerta precoce è progettato per rilevare tempestivamente le minacce e allertare le strutture sanitarie in modo rapido e coordinato, permettendo loro di rispondere agli incidenti con maggiore efficacia.

• Funzioni del Centro: il centro fornirà orientamenti, strumenti, servizi e formazione su misura. Questi servizi includeranno la condivisione di informazioni sulle minacce, l’assistenza tecnica e il supporto nella gestione degli incidenti. Il centro collaborerà con gli Stati membri e attingerà dalle esperienze pratiche delle organizzazioni sanitarie per sviluppare soluzioni concrete che rafforzino la cybersicurezza del settore.

• Implementazione del Piano: il centro assicurerà che il piano d’azione sia implementato in modo coerente e semplificato, evitando la creazione di nuove strutture amministrative. L’obiettivo è di creare un sistema centralizzato e coordinato che sia facile da utilizzare per le strutture sanitarie di tutta Europa, con un approccio pragmatico che tenga conto delle esigenze specifiche del settore.

Questo approccio coordinato a livello europeo è essenziale per affrontare la crescente minaccia di attacchi informatici al settore sanitario, perché questi attacchi possono provenire da diverse fonti e possono colpire qualsiasi struttura sanitaria. L’iniziativa della Commissione Europea mira a creare un ambiente più sicuro e protetto per i pazienti e gli operatori sanitari, garantendo la continuità dei servizi sanitari e la protezione dei dati sensibili.

3. Risposta rapida agli attacchi: il piano d’azione europeo per la cybersicurezza nel settore sanitario prevede una risposta rapida agli attacchi informatici come elemento cruciale per minimizzare l’impatto degli incidenti e garantire la continuità dei servizi sanitari. Questa componente del piano si concentra sull’attivazione di meccanismi efficienti per affrontare le minacce una volta che si sono verificate, riducendo al minimo i danni e accelerando il recupero.

Ecco i dettagli relativi alla risposta rapida agli attacchi:

• Servizio di risposta rapida: il piano istituisce un servizio di risposta rapida dedicato al settore sanitario, accessibile attraverso la Riserva UE per la sicurezza informatica. Questa riserva, creata con il Cyber Solidarity Act, fornisce servizi di risposta agli incidenti da parte di fornitori di servizi privati di fiducia. L’obiettivo è di avere un meccanismo pronto e operativo per intervenire tempestivamente in caso di attacco, limitando i danni e accelerando il ripristino dei sistemi.

• Esercitazioni nazionali di cybersicurezza: il piano prevede lo svolgimento di esercitazioni nazionali di cybersicurezza. Queste esercitazioni sono progettate per testare e migliorare la capacità delle strutture sanitarie di rispondere efficacemente agli attacchi informatici. Le simulazioni di emergenza permettono al personale di familiarizzare con le procedure di risposta e di individuare eventuali punti deboli nei sistemi di sicurezza.

• Sviluppo di manuali per la gestione delle minacce: il piano prevede lo sviluppo di manuali per guidare le organizzazioni sanitarie nella gestione delle diverse minacce informatiche, incluso il ransomware. Questi manuali forniranno istruzioni dettagliate su come rispondere a specifici tipi di attacchi, come identificare le vulnerabilità e come ripristinare i sistemi compromessi. L’obiettivo è fornire strumenti pratici e di facile consultazione per aiutare il personale sanitario a gestire gli incidenti in modo efficace.

L’importanza di una risposta rapida è sottolineata dal fatto che gli attacchi informatici possono causare interruzioni immediate dei servizi sanitari, mettendo a rischio la salute e la sicurezza dei pazienti. Una risposta tempestiva e ben coordinata può minimizzare l’impatto degli attacchi, ridurre i tempi di inattività dei sistemi e proteggere le informazioni sensibili.

Inoltre, gli Stati membri sono incoraggiati a chiedere la segnalazione dei pagamenti di riscatto da parte delle entità colpite da ransomware, per poter fornire loro il supporto necessario e consentire il follow-up da parte delle autorità di contrasto. Questo approccio coordinato e reattivo è essenziale per garantire un livello elevato di sicurezza nel settore sanitario e per costruire una maggiore resilienza contro le minacce informatiche.

L’obiettivo ultimo è quello di assicurare che i servizi sanitari essenziali rimangano operativi anche in caso di attacco informatico, proteggendo la salute e la sicurezza dei cittadini.

• Deterrenza: il piano d’azione europeo per la cybersicurezza nel settore sanitario include la deterrenza come quarta priorità, con l’obiettivo di proteggere i sistemi sanitari europei dissuadendo gli attori delle minacce informatiche attraverso l’uso del Cyber Diplomacy Toolbox. Questo strumento rappresenta una risposta diplomatica congiunta dell’UE, pensata per scoraggiare attacchi informatici dannosi.

Ecco i dettagli relativi alla deterrenza:

• Cyber Diplomacy Toolbox: il piano prevede l’utilizzo del Cyber Diplomacy Toolbox, che è uno strumento che permette all’UE di rispondere agli attacchi informatici con azioni diplomatiche coordinate. Questo include la possibilità di imporre sanzioni, condanne pubbliche e altre misure diplomatiche contro gli stati o gli attori non statali che conducono attacchi informatici. L’obiettivo è di far capire ai potenziali aggressori che gli attacchi informatici contro il settore sanitario non rimarranno impuniti e che ci saranno conseguenze.

Il Cyber Diplomacy Toolbox è un framework sviluppato dall’Unione Europea per rispondere in modo coordinato e diplomatico alle attività informatiche dannose. È stato adottato nel 2017 come parte della strategia dell’UE per affrontare le crescenti minacce informatiche che possono compromettere la sicurezza esterna dell’Unione.

Il principale obiettivo del Cyber Diplomacy Toolbox è quello di prevenire, scoraggiare e rispondere a comportamenti malevoli nel cyberspazio, promuovendo al contempo la stabilità e la sicurezza internazionale. Il toolbox prevede una serie di misure diplomatiche, economiche e cooperative, che possono includere:

Misure diplomatiche: risposte politiche e comunicative per affrontare le minacce informatiche.

Misure restrittive: sanzioni contro individui o entità responsabili di attacchi informatici.

Cooperazione e coordinamento: collaborazione tra gli Stati membri dell’UE per unire le forze contro attacchi informatici.

Costruzione di capacità: sviluppo delle competenze necessarie per migliorare la resilienza informatica.

Difesa cibernetica e azioni esterne: iniziative per proteggere le infrastrutture critiche e garantire una risposta efficace agli attacchi.

• Risposta congiunta dell’UE: la risposta diplomatica è congiunta a livello dell’Unione Europea, il che significa che tutti gli stati membri collaborano per formulare e implementare le misure di deterrenza. Questo approccio coordinato rende la risposta più efficace e invia un messaggio forte ai potenziali aggressori.

• Scopo della deterrenza: lo scopo principale della deterrenza è quello di proteggere i sistemi sanitari europei, dissuadendo gli attori delle minacce informatiche dal prendere di mira le infrastrutture sanitarie. Questo approccio mira a ridurre il numero e la gravità degli attacchi informatici, creando un ambiente più sicuro per i pazienti e gli operatori sanitari.

L’importanza della deterrenza nel piano d’azione è sottolineata dalla crescente sofisticazione e frequenza degli attacchi informatici contro il settore sanitario. Le minacce informatiche possono compromettere la privacy dei dati dei pazienti, interrompere i servizi sanitari vitali e mettere a rischio la sicurezza delle informazioni mediche.

L’uso del Cyber Diplomacy Toolbox fa parte di una strategia più ampia per migliorare la resilienza del settore sanitario agli attacchi informatici. Il piano mira a creare un sistema di sicurezza robusto e integrato che include non solo la prevenzione, l’individuazione e la risposta agli attacchi, ma anche la deterrenza.

L’obiettivo è quello di creare un ambiente in cui gli attori delle minacce informatiche siano scoraggiati dall’attaccare le infrastrutture sanitarie europee, contribuendo a garantire la continuità dei servizi e la sicurezza dei dati dei pazienti. La deterrenza è essenziale per costruire una cybersicurezza solida e duratura nel settore sanitario.

Il piano in sintesi

Il piano d’azione europeo per la cybersicurezza nel settore sanitario è una risposta strategica alle crescenti minacce informatiche che colpiscono ospedali e fornitori di servizi sanitari. Questo piano, presentato dalla Commissione Europea, mira a rafforzare la resilienza del settore sanitario attraverso una serie di misure concrete.

• Creazione di un Centro paneuropeo di sostegno alla cybersicurezza: L’Agenzia dell’Unione Europea per la cybersicurezza (ENISA) è incaricata di istituire questo centro. Il centro fungerà da punto di riferimento per ospedali e fornitori di servizi sanitari, offrendo orientamenti, strumenti, servizi e formazione su misura per migliorare la loro sicurezza informatica. Questo centro non creerà nuove strutture amministrative, ma opererà all’interno delle strutture di ENISA per garantire un’implementazione coerente e semplificata del piano. Il centro collaborerà con gli Stati membri e attingerà dalle esperienze pratiche delle organizzazioni sanitarie per sviluppare soluzioni concrete che rafforzino la cybersicurezza del settore.

• Servizio di allerta precoce a livello europeo entro il 2026: Il centro di sostegno alla cybersicurezza svilupperà un servizio di allerta precoce che fornirà avvisi “quasi in tempo reale” sulle potenziali minacce informatiche. Questo sistema di allerta precoce permetterà alle strutture sanitarie di agire prontamente per prevenire o mitigare gli attacchi, migliorando la loro capacità di risposta.

• Servizio di risposta rapida agli attacchi informatici: Il piano prevede l’istituzione di un servizio di risposta rapida dedicato al settore sanitario, accessibile attraverso la Riserva UE per la sicurezza informatica. Questa riserva, creata con il Cyber Solidarity Act, fornisce servizi di risposta agli incidenti da parte di fornitori privati di fiducia. L’obiettivo è di avere un meccanismo pronto e operativo per intervenire tempestivamente in caso di attacco, limitando i danni e accelerando il ripristino dei sistemi.

• Esercitazioni nazionali di cybersicurezza: Il piano prevede lo svolgimento di esercitazioni nazionali di cybersicurezza per testare e migliorare la capacità delle strutture sanitarie di rispondere efficacemente agli attacchi informatici. Queste esercitazioni simulano scenari di emergenza, permettendo al personale di familiarizzare con le procedure di risposta e individuare eventuali punti deboli nei sistemi di sicurezza. Verranno inoltre sviluppati manuali per guidare le organizzazioni sanitarie nella gestione di diverse minacce, incluso il ransomware.

• Utilizzo del Cyber Diplomacy Toolbox per la deterrenza: Per proteggere i sistemi sanitari europei, il piano prevede l’uso del Cyber Diplomacy Toolbox. Questo strumento permette all’UE di rispondere agli attacchi informatici con azioni diplomatiche coordinate. Queste azioni possono includere sanzioni, condanne pubbliche e altre misure diplomatiche contro gli stati o gli attori non statali che conducono attacchi informatici, comunicando che tali attacchi non rimarranno impuniti.

Il piano include anche misure di prevenzione, come la creazione di voucher di sicurezza informatica con cui gli Stati membri possono fornire assistenza finanziaria a micro, piccole e medie strutture sanitarie. Verranno inoltre sviluppate risorse di apprendimento sulla sicurezza informatica per i professionisti sanitari.

L’iniziativa si basa su un quadro normativo esistente come la direttiva NIS2, il Cyber Resilience Act, e il Cyber Solidarity Act, e mira a creare un ambiente più sicuro e protetto per i pazienti, garantendo che i dati personali e le cartelle cliniche siano protetti, che i servizi sanitari non siano interrotti dagli attacchi informatici e che la fiducia non sia compromessa.

Il piano prevede la costituzione di un Comitato consultivo per la sicurezza informatica in ambito sanitario nei prossimi due anni, per offrire assistenza ai fornitori di servizi sanitari che vogliono evitare di pagare riscatti e per istituire servizi di risposta rapida.

Il Ruolo Cruciale degli Stati Membri Gli Stati membri dell’Unione Europea svolgono un ruolo fondamentale nel successo del piano d’azione per la cybersicurezza del settore sanitario. Non sono semplici destinatari passivi delle direttive europee, ma attori chiave con responsabilità specifiche e compiti ben definiti. La loro partecipazione attiva è indispensabile per garantire che le misure di sicurezza siano implementate in modo efficace e uniforme in tutta l’UE.

Responsabilità principali degli stati Membri

Le principali responsabilità degli Stati membri possono essere riassunte nei seguenti punti:

• Coordinamento delle Strategie Nazionali di Cybersicurezza: gli Stati membri sono incaricati di sviluppare e coordinare le proprie strategie nazionali di cybersicurezza per il settore sanitario. Questo significa che ogni paese deve adattare le direttive europee al proprio contesto specifico, tenendo conto delle peculiarità del proprio sistema sanitario e delle sfide specifiche che affronta. Questo coordinamento è essenziale per evitare sovrapposizioni e garantire che tutte le strutture sanitarie, pubbliche e private, siano adeguatamente protette.

• Condivisione delle Informazioni sulle Minacce: un altro compito fondamentale è la condivisione di informazioni sulle minacce informatiche. Gli stati membri devono collaborare attivamente per scambiare dati e informazioni riguardanti attacchi, vulnerabilità e tecniche utilizzate dai criminali informatici. Questa condivisione di informazioni è cruciale per prevenire attacchi simili in altri paesi e per rafforzare la risposta collettiva a livello europeo.

• Diffusione delle Migliori Pratiche: gli stati membri sono responsabili della diffusione delle migliori pratiche in materia di cybersicurezza nel settore sanitario. Questo include la condivisione di linee guida, strumenti e metodologie efficaci per proteggere le infrastrutture digitali e i dati dei pazienti. Questa collaborazione garantisce che tutti gli stati membri possano beneficiare delle esperienze positive degli altri e migliorare continuamente i propri standard di sicurezza.

• Supporto agli Ospedali e ai Fornitori di Servizi Sanitari: gli stati membri devono supportare attivamente gli ospedali e i fornitori di servizi sanitari nell’adozione delle misure di sicurezza necessarie. Questo supporto può includere assistenza tecnica, finanziaria e formativa. È importante che gli stati membri aiutino le strutture sanitarie a valutare i rischi, implementare le misure di sicurezza adeguate e formare il personale sulla cybersicurezza.

• Creazione di Piani d’Azione Nazionali: gli stati membri sono incoraggiati a sviluppare piani d’azione nazionali focalizzati sulla cybersicurezza del settore sanitario. Questi piani devono delineare i rischi specifici che i sistemi sanitari affrontano a livello nazionale e le azioni che si intendono intraprendere per contrastarli. I piani devono anche garantire che le risorse e le pratiche a livello europeo siano implementate in modo efficace.

Integrazione delle Direttive Europee gli Stati membri devono recepire e integrare le direttive europee, come la direttiva NIS2, nel proprio ordinamento giuridico. La direttiva NIS2, in particolare, impone obblighi specifici per i settori critici, incluso quello sanitario, ampliando le esigenze di cybersicurezza ai laboratori di riferimento dell’UE, agli enti che conducono attività di ricerca e sviluppo di medicinali, ai produttori di prodotti farmaceutici di base e di preparati (inclusi i vaccini), e ai produttori di dispositivi medici considerati critici durante un’emergenza sanitaria pubblica.

Tuttavia, l’attuazione della direttiva NIS2 sta incontrando ritardi in diversi Stati membri, che non hanno rispettato la scadenza del 17 ottobre 2024. Questo ritardo sottolinea la necessità di un impegno maggiore e di una maggiore coordinazione a livello nazionale per garantire che tutte le direttive europee siano implementate tempestivamente e correttamente.

Sfide e Ostacoli Nonostante l’importanza del ruolo degli Stati membri, ci sono diverse sfide che possono ostacolare la loro azione:

Disparità di Risorse: alcuni stati membri potrebbero avere difficoltà a destinare risorse sufficienti alla cybersicurezza sanitaria a causa di vincoli di bilancio o priorità diverse. Questa disparità di risorse potrebbe creare disuguaglianze nella protezione delle infrastrutture sanitarie in tutta l’UE.

Complessità dei Sistemi Sanitari: i sistemi sanitari nazionali sono spesso complessi e frammentati, rendendo difficile l’implementazione di strategie di cybersicurezza uniformi. Ogni stato membro deve adattare il piano d’azione alla propria realtà specifica, tenendo conto delle diverse strutture, procedure e sistemi IT.

Mancanza di personale specializzato: come discusso in precedenza, la carenza di personale specializzato in cybersicurezza nel settore sanitario è un problema diffuso. Questa mancanza di competenze rende difficile per gli stati membri supportare adeguatamente le strutture sanitarie nell’implementazione delle misure di sicurezza necessarie.

Ritardi nell’adozione delle direttive: i ritardi nell’adozione della direttiva NIS2 dimostrano la difficoltà per gli stati membri nel recepire e implementare le direttive europee nei tempi previsti. Questi ritardi possono compromettere l’efficacia del piano d’azione e lasciare vulnerabili alcune strutture sanitarie.

La Necessità di Investimenti Significativi

Il piano d’azione europeo sottolinea con forza che la sicurezza informatica nel settore sanitario necessita di investimenti comparabili a quelli destinati alle attrezzature mediche. Questo riconoscimento è fondamentale perché evidenzia come la protezione dei dati e delle infrastrutture digitali non sia un aspetto secondario, ma una componente essenziale per la fornitura di servizi sanitari efficienti e sicuri. La crescente digitalizzazione del settore sanitario, con l’introduzione di cartelle cliniche elettroniche, telemedicina e diagnostica basata sull’intelligenza artificiale, rende indispensabile un adeguato investimento in cybersecurity per proteggere le informazioni sensibili dei pazienti e garantire la continuità dei servizi.

Le Sfide del Finanziamento Nonostante la chiara necessità di investimenti, emergono diverse sfide e interrogativi su come questi saranno effettivamente realizzati:

Prioritizzazione degli investimenti: le strutture sanitarie, soprattutto quelle pubbliche, spesso si trovano a dover scegliere tra investimenti in attrezzature mediche e investimenti in cybersecurity. Il piano d’azione cerca di ribaltare questa visione, equiparando l’importanza dei due tipi di investimento, ma resta da vedere come questo principio sarà attuato nella pratica.

Distribuzione efficace dei fondi: anche se a livello europeo vengono stanziati fondi strutturali, è fondamentale capire come questi saranno accessibili e distribuiti in modo equo e trasparente. La burocrazia, la mancanza di informazioni e le difficoltà amministrative potrebbero ostacolare l’accesso ai finanziamenti per le strutture che ne hanno più bisogno.

Sostenibilità a lungo termine: oltre agli investimenti iniziali, è necessario garantire una sostenibilità finanziaria a lungo termine per la sicurezza informatica. La manutenzione delle infrastrutture, gli aggiornamenti software e la formazione del personale richiedono un impegno finanziario costante e non una tantum.

Fonti di finanziamento e meccanismi di supporto Il piano d’azione indica alcune possibili fonti di finanziamento e meccanismi di supporto:

Fondi strutturali dell’UE: il commissario Várhelyi ha menzionato la possibilità di utilizzare fondi strutturali dell’UE per la cybersicurezza nel settore sanitario. Questi fondi potrebbero rappresentare una risorsa cruciale per gli stati membri che non dispongono di risorse sufficienti, offrendo un supporto finanziario per l’implementazione delle misure di sicurezza. Tuttavia, è necessario approfondire le modalità di accesso a questi fondi e i criteri di assegnazione per garantire un utilizzo efficace e mirato.

Voucher per la Cybersicurezza: il piano prevede l’introduzione di voucher per la cybersicurezza, che gli Stati membri possono utilizzare per fornire assistenza finanziaria a micro, piccole e medie strutture sanitarie. Questo meccanismo potrebbe contribuire a ridurre le disparità tra le strutture sanitarie, garantendo anche alle piccole realtà l’accesso a servizi di sicurezza informatica.

Investimenti Privati: in alcuni contesti, soprattutto nei paesi dove la sanità pubblica è sotto pressione, gli investimenti privati potrebbero rappresentare un’alternativa per finanziare la sicurezza informatica. Tuttavia, questa opzione solleva preoccupazioni riguardo al rischio di un’ulteriore divisione tra sanità pubblica e privata.

Collaborazione pubblico-privato: la collaborazione tra il settore pubblico e quello privato potrebbe rappresentare una soluzione per combinare le risorse e le competenze di entrambi i settori, garantendo un’implementazione più efficiente ed efficace delle misure di sicurezza.

Cybersecurity voucher: Il piano propone l’utilizzo di “voucher di sicurezza informatica” attraverso i quali gli stati membri possono fornire assistenza finanziaria a ospedali di micro, piccole e medie dimensioni.

Supporto Tecnico di ENISA: la Commissione Europea può offrire supporto tecnico tramite ENISA (Agenzia dell’Unione Europea per la Cybersicurezza), fornendo orientamenti, strumenti, servizi e formazione su misura per il settore sanitario.

Implicazioni e possibili contromisure

La mancanza di finanziamenti adeguati potrebbe comportare diverse implicazioni negative:

Vulnerabilità del sistema sanitario: Strutture sanitarie non adeguatamente protette diventano facili bersagli per i criminali informatici, mettendo a rischio la sicurezza dei dati dei pazienti e la continuità dei servizi.

Disparità nell’accesso alle cure: Il divario tra sanità pubblica e privata potrebbe ampliarsi, con le strutture private in grado di investire maggiormente nella sicurezza informatica rispetto a quelle pubbliche.

Danno Reputazionale: attacchi informatici potrebbero causare danni reputazionali significativi alle strutture sanitarie, minando la fiducia dei pazienti e della comunità.

Per affrontare queste sfide, è necessario:

Aumentare la trasparenza e l’accessibilità dei fondi: gli stati membri devono garantire che i fondi strutturali dell’UE siano facilmente accessibili e distribuiti in modo equo e trasparente, con particolare attenzione alle strutture sanitarie che ne hanno più bisogno.

Promuovere la pianificazione a lungo termine: è necessario che le strutture sanitarie adottino un approccio di pianificazione a lungo termine, che consideri gli investimenti in cybersecurity come una priorità strategica e non come un costo aggiuntivo.

Formazione e sensibilizzazione: le strutture sanitarie devono investire nella formazione del personale sulla cybersicurezza, sensibilizzando i professionisti sanitari sui rischi e sulle migliori pratiche per proteggere i dati dei pazienti.

Incentivi per investimenti privati: gli stati membri potrebbero valutare l’adozione di incentivi fiscali o altri strumenti per promuovere gli investimenti privati nella sicurezza informatica del settore sanitario, garantendo al contempo l’equità e l’accesso universale ai servizi sanitari.

Il Problema critico della carenza di personale specializzato

La mancanza di personale specializzato in cybersicurezza all’interno degli ospedali, in particolare nelle strutture pubbliche, è un problema significativo che mina la resilienza del settore sanitario agli attacchi informatici. Questa carenza non è solo quantitativa, ma anche qualitativa, e deriva da una combinazione di fattori che rendono difficile attrarre e trattenere professionisti qualificati in questo ambito.

Fattori che contribuiscono alla carenza

Scarsa attrattività dei salari: uno dei principali motivi per cui gli ospedali, soprattutto quelli pubblici, faticano a reclutare esperti di cybersicurezza è la scarsa attrattività dei salari. Gli stipendi offerti nel settore pubblico spesso non sono competitivi rispetto a quelli proposti dal settore privato, dove la domanda di professionisti della cybersecurity è in costante crescita. Di conseguenza, molti esperti preferiscono lavorare per aziende private o società di consulenza, lasciando gli ospedali con personale insufficiente e spesso non adeguatamente qualificato.

Mancanza di formazione adeguata: un altro fattore critico è la mancanza di una formazione specifica e adeguata in cybersicurezza per il personale sanitario. Molti operatori sanitari non hanno le competenze necessarie per riconoscere e gestire le minacce informatiche, il che li rende vulnerabili agli attacchi. Inoltre, spesso non esistono programmi di formazione continua che consentano al personale di aggiornarsi sulle ultime novità in materia di cybersecurity.

Mancanza di riconoscimento professionale: la figura del professionista della cybersicurezza spesso non è adeguatamente riconosciuta e valorizzata all’interno delle strutture sanitarie. Questo si traduce in una mancanza di incentivi e opportunità di crescita professionale, che rende ancora meno attraente questo settore per i talenti della cybersecurity.

Sottovalutazione del rischio cyber: in alcune strutture sanitarie, la cybersecurity non è percepita come una priorità strategica. Questa sottovalutazione del rischio si traduce in una minore allocazione di risorse e personale dedicato, aggravando ulteriormente la situazione.

Difficoltà nel reclutamento: la ricerca di personale specializzato in cybersicurezza può essere difficile e dispendiosa per gli ospedali. Spesso mancano le competenze interne per selezionare i candidati più adatti e i processi di assunzione possono essere lunghi e complessi.

Dati Rilevanti sulla Carenza di Personale la Corte dei conti francese ha rilevato che solo il 7% dei dipendenti degli ospedali pubblici si occupa di sicurezza, e che questi guadagnano la metà dei loro colleghi nel settore privato. Questa statistica evidenzia la gravità della situazione e sottolinea la necessità di un intervento urgente e coordinato.

Strategie per attrarre e formare professionisti della cybersicurezza per affrontare efficacemente la carenza di personale specializzato, è necessario adottare una serie di strategie, tra cui:

Aumento degli stipendi e incentivi: è fondamentale aumentare gli stipendi offerti ai professionisti della cybersecurity nel settore sanitario, rendendoli competitivi con quelli del settore privato. Inoltre, si potrebbero introdurre incentivi, come bonus o progressioni di carriera, per attrarre e trattenere i migliori talenti.

Programmi di formazione finanziati dall’UE: l’Unione Europea può svolgere un ruolo cruciale nel finanziare programmi di formazione specifici in cybersicurezza per il personale sanitario. Questi programmi dovrebbero essere strutturati in modo da fornire le competenze necessarie per prevenire, rilevare e gestire le minacce informatiche.

Collaborazione con istituzioni formative: gli ospedali dovrebbero collaborare con università, istituti tecnici e centri di formazione per sviluppare percorsi formativi in cybersecurity. Questi percorsi dovrebbero essere progettati per rispondere alle esigenze specifiche del settore sanitario, fornendo una formazione pratica e aggiornata.

Creazione di figure professionali specifiche: è necessario creare nuove figure professionali dedicate alla cybersicurezza all’interno degli ospedali, definendo ruoli, responsabilità e percorsi di carriera chiari. Questo aiuterebbe a valorizzare il ruolo dei professionisti della cybersecurity e a renderlo più attraente per i giovani talenti.

Voucher per la formazione: similmente ai voucher per la cybersecurity, si potrebbero introdurre voucher per la formazione, con cui finanziare l’aggiornamento e la specializzazione del personale in questo ambito.

Sensibilizzazione e cultura della cybersicurezza: è necessario promuovere una cultura della cybersecurity all’interno delle strutture sanitarie, sensibilizzando il personale sull’importanza della protezione dei dati e sulla necessità di adottare comportamenti responsabili.

Il ruolo del Centro Europeo di Supporto alla Cybersicurezza il Centro europeo di sostegno alla cybersicurezza per ospedali e operatori sanitari, istituito da ENISA, avrà un ruolo fondamentale nel fornire formazione e supporto al personale sanitario. Questo centro offrirà “orientamenti, strumenti, servizi e formazione su misura”, contribuendo a colmare il divario di competenze e a migliorare la sicurezza informatica delle strutture sanitarie.

Il Rischio di un divario crescente tra ospedali pubblici e privati

Il piano d’azione europeo per la cybersicurezza nel settore sanitario, pur essendo essenziale per proteggere le infrastrutture digitali e i dati dei pazienti, potrebbe inavvertitamente esacerbare le disuguaglianze esistenti tra strutture sanitarie pubbliche e private. Questo rischio è particolarmente evidente in paesi come l’Italia, dove i tagli al finanziamento della sanità pubblica e la crescente digitalizzazione del settore possono creare uno squilibrio significativo nelle capacità di risposta agli attacchi informatici.

Fattori che contribuiscono al divario

Tagli alla sanità pubblica: in Italia, come evidenziato dalle fonti, i tagli al sistema sanitario nazionale hanno portato a una riduzione dei fondi disponibili per gli ospedali pubblici. Questa situazione rende difficile per queste strutture investire in nuove tecnologie, formazione del personale e misure di sicurezza informatica, creando un divario significativo rispetto al settore privato.

Investimenti privati: le strutture sanitarie private, al contrario, hanno maggiori risorse finanziarie per investire in tecnologie avanzate e in personale specializzato nella cybersecurity. Questo permette loro di implementare misure di protezione più robuste e di rispondere più efficacemente agli attacchi informatici, creando un vantaggio competitivo rispetto agli ospedali pubblici.

Differenze di priorità: mentre le strutture private possono focalizzarsi maggiormente sulla sicurezza informatica come investimento per la propria efficienza e la fidelizzazione dei pazienti, le strutture pubbliche sono spesso vincolate da budget limitati e da priorità di spesa diverse, come la gestione delle emergenze e la fornitura di servizi essenziali.

Mancanza di personale specializzato: la carenza di personale specializzato nella cybersecurity, come discusso in precedenza, colpisce in modo più significativo le strutture pubbliche, che hanno difficoltà a offrire stipendi competitivi e a reclutare esperti del settore. Questo aumenta ulteriormente la loro vulnerabilità agli attacchi informatici.

Infrastrutture obsolete: gli ospedali pubblici spesso utilizzano infrastrutture IT obsolete, che sono più vulnerabili agli attacchi informatici e difficili da proteggere con le moderne tecnologie di sicurezza. La mancanza di investimenti in nuove tecnologie aggrava ulteriormente il divario.

Implicazioni del divario

Accesso diseguale ai servizi sanitari: se gli ospedali pubblici non riescono a tenere il passo con le misure di sicurezza informatica, potrebbero diventare più suscettibili a interruzioni dei servizi a causa di attacchi cyber. Questo potrebbe limitare l’accesso ai servizi sanitari per i cittadini, soprattutto per coloro che dipendono maggiormente dal sistema pubblico.

Maggiore vulnerabilità per gli ospedali pubblici: gli ospedali pubblici potrebbero diventare bersagli più facili per i criminali informatici, consapevoli delle loro minori difese e delle conseguenze più gravi che potrebbero derivare da un attacco.

Perdita di fiducia nel sistema pubblico: la percezione di una maggiore vulnerabilità degli ospedali pubblici agli attacchi informatici potrebbe erodere la fiducia dei cittadini nel sistema sanitario nazionale, favorendo ulteriormente il ricorso alle strutture private.

Aumento dei costi per il settore pubblico: gli attacchi informatici possono portare a costi significativi per gli ospedali pubblici, sia in termini di ripristino dei sistemi, che di perdita di dati, che di potenziali risarcimenti per violazioni della privacy.

Possibili contromisure

per mitigare il rischio di un divario crescente tra ospedali pubblici e privati, è necessario adottare una serie di contromisure:

Aumento dei finanziamenti per la sanità pubblica: È fondamentale aumentare gli investimenti nella sanità pubblica, destinando una quota significativa di fondi alla cybersecurity. Questi fondi dovrebbero essere utilizzati per migliorare le infrastrutture IT, formare il personale e implementare misure di protezione avanzate.

Fondi strutturali europei: l’Unione Europea dovrebbe mettere a disposizione fondi strutturali per supportare gli ospedali pubblici nell’adozione delle misure di sicurezza informatica. Questi fondi potrebbero essere utilizzati per finanziare progetti di aggiornamento tecnologico e per la formazione del personale.

Voucher di cybersicurezza: l’introduzione di voucher di cybersicurezza potrebbe aiutare le piccole e medie strutture sanitarie, spesso pubbliche, ad accedere a servizi e consulenze specialistiche a costi ridotti.

Standard minimi di sicurezza: è necessario stabilire standard minimi di sicurezza informatica per tutti gli ospedali, pubblici e privati, garantendo un livello di protezione uniforme. Questi standard dovrebbero essere basati sulle migliori pratiche del settore e aggiornati regolarmente.

Collaborazione pubblico-privato: promuovere la collaborazione tra ospedali pubblici e privati, favorendo lo scambio di conoscenze e competenze in materia di cybersecurity. Questa collaborazione potrebbe contribuire a ridurre il divario e a creare un sistema sanitario più resiliente.

Interventi mirati: le misure di sostegno dovrebbero essere calibrate in base alle specifiche esigenze di ogni struttura, tenendo conto delle loro dimensioni, risorse e vulnerabilità. Gli ospedali pubblici dovrebbero essere prioritari nell’allocazione dei fondi e delle risorse.

Formazione gratuita e accessibile: l’UE e gli stati membri dovrebbero fornire programmi di formazione gratuita e accessibile a tutti gli operatori sanitari, sia pubblici che privati, per accrescere la consapevolezza e la competenza in materia di cybersecurity.

Centralizzazione della gestione della sicurezza: le strutture sanitarie pubbliche dovrebbero centralizzare la gestione della sicurezza informatica, creando un’unica unità responsabile della protezione dei sistemi e dei dati.

Monitoraggio continuo: implementare sistemi di monitoraggio continuo delle minacce informatiche, al fine di individuare tempestivamente potenziali attacchi e di rispondere in modo efficace.

Il Ruolo del centro europeo di supporto il centro europeo di supporto alla cybersecurity (ENISA) avrà un ruolo cruciale nel fornire assistenza tecnica e formazione a tutte le strutture sanitarie, contribuendo a ridurre il divario e a garantire un livello di protezione uniforme.

Vulnerabilità specifiche del Settore Sanitario

Le analisi dell’Agenzia per la Cybersicurezza Nazionale (ACN) e di altre fonti rivelano che il settore sanitario è particolarmente vulnerabile agli attacchi informatici a causa di una combinazione di fattori strutturali, tecnologici e gestionali. Queste vulnerabilità, spesso definite “bad practices”, creano una superficie di attacco ampia e facilmente sfruttabile dai criminali informatici.

Le Principali Vulnerabilità (Bad Practices)

Gestione decentralizzata dei Sistemi Digitali: una delle principali criticità riscontrate è la gestione decentralizzata dei sistemi digitali all’interno delle strutture sanitarie. Reparti e uffici diversi spesso acquistano hardware, software e servizi IT in modo autonomo, senza un coordinamento centrale o politiche di sicurezza comuni. Ciò porta a una mancanza di uniformità nelle misure di sicurezza, creando sistemi eterogenei e difficili da proteggere.

Questa decentralizzazione comporta la presenza di diverse configurazioni, spesso non allineate alle best practices di sicurezza, aumentando la vulnerabilità dell’intera struttura. La mancanza di una visione centralizzata impedisce l’implementazione di misure di sicurezza coerenti e aggiornate.

Obsolescenza dei Dispositivi molte strutture sanitarie utilizzano dispositivi medici e sistemi IT obsoleti, spesso a causa degli alti costi di sostituzione. Questi dispositivi, non più supportati dai produttori e quindi non aggiornabili, diventano facili bersagli per gli attacchi informatici. La loro longevità contrasta con la rapida evoluzione delle minacce informatiche.

L’obsolescenza dei dispositivi non solo espone le strutture a vulnerabilità note, ma impedisce anche l’adozione di nuove tecnologie e protocolli di sicurezza più efficaci. Questo rende l’ecosistema IT più fragile e difficile da difendere.

Esposizione inconsapevole di servizi su internet: molti servizi e dispositivi critici del settore sanitario sono inavvertitamente esposti su Internet. L’analisi di oltre 50.000 indirizzi IP associati al settore sanitario ha rilevato che, in media, 2.174 indirizzi espongono servizi pubblicamente su Internet ogni giorno.

Questa esposizione aumenta notevolmente la superficie di attacco, rendendo i sistemi vulnerabili a scansioni e attacchi da parte di malintenzionati. Molti di questi servizi presentano configurazioni errate o vulnerabilità note che possono essere facilmente sfruttate.

Mancanza di aggiornamenti e Patch di Sicurezza: a causa dell’obsolescenza dei dispositivi e della mancanza di risorse, spesso gli aggiornamenti di sicurezza non vengono installati tempestivamente. Ciò lascia i sistemi vulnerabili a exploit noti e facilmente sfruttabili.

La mancanza di aggiornamenti e patch di sicurezza rende i sistemi facili bersagli per i criminali informatici, che possono sfruttare vulnerabilità note per accedere ai dati e interrompere i servizi.

Uso di credenziali deboli e mancanza di autenticazione a due fattori: l’utilizzo di password deboli e la mancata implementazione di sistemi di autenticazione a due fattori rende facile per gli attaccanti ottenere accessi non autorizzati ai sistemi.

Questa pratica errata è una delle principali cause di violazione dei dati e di compromissione dei sistemi.

La Direttiva NIS2 e altre normative per la Cybersicurezza nel Settore Sanitario

Il piano d’azione dell’Unione Europea per rafforzare la cybersicurezza nel settore sanitario si basa su un quadro normativo esistente, che include la Direttiva NIS2, il Cyber Resilience Act e il regolamento sui dispositivi medici. Queste normative sono fondamentali per garantire un livello elevato e uniforme di cybersicurezza in tutta l’UE, ma la loro implementazione presenta sfide significative.

Direttiva NIS2

La Direttiva NIS2 (Network and Information Security Directive) è un’evoluzione della precedente direttiva NIS e mira a rafforzare la sicurezza delle reti e dei sistemi informativi in settori critici, tra cui il settore sanitario. La direttiva espande l’ambito delle entità soggette a obblighi di sicurezza, includendo laboratori di riferimento UE, entità che svolgono attività di ricerca e sviluppo di medicinali, produttori di prodotti farmaceutici di base (inclusi i vaccini) e produttori di dispositivi medici considerati critici durante un’emergenza sanitaria.

La NIS2 impone agli Stati membri di adottare strategie nazionali di cybersicurezza, di creare CSIRT (Computer Security Incident Response Team) nazionali e di richiedere alle entità designate di implementare misure di sicurezza adeguate e di notificare gli incidenti di sicurezza. Le strutture sanitarie, in quanto infrastrutture critiche, sono tenute a rispettare questi obblighi.

Nonostante la sua importanza, l’implementazione della NIS2 sta incontrando notevoli ritardi. Molti Stati membri non hanno rispettato la scadenza del 17 ottobre 2024 per l’adozione della direttiva. Questi ritardi rappresentano un problema serio, poiché lasciano le infrastrutture sanitarie vulnerabili e non adeguatamente protette.

Le sfide principali per l’implementazione della NIS2 includono la complessità delle normative, la necessità di investimenti significativi in sicurezza informatica, la mancanza di personale qualificato e la difficoltà nel coordinare le azioni tra i diversi livelli amministrativi. Inoltre, in alcuni paesi, come l’Italia, la carenza di fondi per il sistema sanitario potrebbe ostacolare l’implementazione efficace delle misure richieste dalla direttiva.

Cyber Resilience Act

Il Cyber Resilience Act è una proposta legislativa volta a rafforzare la sicurezza dei prodotti digitali, inclusi i dispositivi medici. L’obiettivo è garantire che i prodotti immessi sul mercato dell’UE siano sicuri fin dalla progettazione e che i produttori siano responsabili della loro sicurezza durante tutto il ciclo di vita.

Il Cyber Resilience Act è particolarmente rilevante per il settore sanitario, che utilizza un numero crescente di dispositivi medici connessi a internet, spesso con vulnerabilità di sicurezza. Questa normativa mira a ridurre il rischio di attacchi informatici attraverso dispositivi medici compromessi.

La normativa stabilisce requisiti di sicurezza per i produttori, come la valutazione del rischio, la gestione delle vulnerabilità e la fornitura di aggiornamenti di sicurezza.

Il piano d’azione sulla cybersicurezza degli ospedali e dei fornitori di servizi sanitari si integra con il Cyber Resilience Act per garantire una protezione completa sia a livello di infrastrutture che a livello di dispositivi medici.

Regolamento sui Dispositivi Medici

Il regolamento sui dispositivi medici mira a garantire la sicurezza e le prestazioni dei dispositivi medici immessi sul mercato dell’UE. Questo regolamento stabilisce requisiti rigorosi per la certificazione e la supervisione dei dispositivi, inclusi quelli digitali.

Con la crescente digitalizzazione del settore sanitario, i dispositivi medici connessi sono diventati un elemento cruciale dell’assistenza sanitaria. Il regolamento, mira a garantire che questi dispositivi siano sicuri e affidabili, proteggendo i pazienti da rischi connessi alla sicurezza informatica.

Anche il regolamento sui dispositivi medici sta affrontando problemi di attuazione, con ripetute proroghe del periodo di transizione per la certificazione dei dispositivi secondo le nuove regole. Questa situazione rende più complessa la gestione della sicurezza, in quanto i dispositivi non certificati potrebbero non rispettare i requisiti di sicurezza più recenti.

Integrazione con il Piano d’Azione: Il piano d’azione sulla cybersicurezza collabora con il regolamento sui dispositivi medici per aumentare la resilienza delle infrastrutture sanitarie.

Altre Normative Rilevanti

Cyber solidarity act

Il Cyber Solidarity Act è un meccanismo dell’UE per la gestione delle emergenze di cybersicurezza. Questo atto istituisce una Riserva UE per la sicurezza informatica, che fornisce servizi di risposta rapida agli incidenti. Il piano d’azione per la sanità si avvale di questo meccanismo per offrire un servizio di risposta rapida agli attacchi informatici nel settore sanitario.

Spazio Europeo dei Dati Sanitari (EHDS)

L’EHDS è un’iniziativa dell’UE per digitalizzare il settore sanitario e migliorare l’accesso e la condivisione dei dati sanitari. Il piano d’azione per la cybersicurezza è strettamente legato all’EHDS, poiché infrastrutture resilienti e sicure sono essenziali per la sua implementazione. L’EHDS stabilisce regole chiare per l’uso dei dati sanitari, garantendo la protezione della privacy dei pazienti. Il piano d’azione mira a garantire la sicurezza dei dati nei sistemi di ospedali e fornitori sanitari, che sono al contempo fornitori e utenti dei dati nell’EHDS.

Tipologie di attacchi informatici nel settore sanitario

Il settore sanitario è sempre più esposto a una varietà di minacce informatiche, che possono compromettere la sicurezza dei dati dei pazienti, interrompere i servizi sanitari essenziali e mettere a rischio la vita delle persone. Le tipologie di attacchi più comuni includono:

Ransomware

questo tipo di attacco è particolarmente diffuso e dannoso. I cybercriminali utilizzano ransomware per crittografare i dati delle strutture sanitarie, rendendoli inaccessibili fino a quando non viene pagato un riscatto. Gli attacchi ransomware non solo bloccano i sistemi, ma possono anche portare all’esfiltrazione di dati sensibili, con gravi conseguenze per la privacy dei pazienti e la reputazione delle strutture sanitarie.

Nel 2023, gli attacchi ransomware hanno rappresentato il 35% degli eventi informatici e il 43% degli incidenti nel settore sanitario.

Le analisi dell’Agenzia per la Cybersicurezza Nazionale (ACN) mostrano che gli attacchi ransomware sono in aumento, con una lieve flessione nel 2024 ma mantenendosi sostanzialmente in linea con gli anni precedenti.

Un tipico attacco ransomware include fasi di intrusione, cifratura dei dati e richiesta di riscatto.

L’impatto di un attacco ransomware può includere il blocco temporaneo dei servizi, l’esfiltrazione di dati, modifiche all’integrità dei dati e la cancellazione di file.

Malware

La diffusione di malware attraverso e-mail o altre vie è un’altra minaccia significativa. Il malware può compromettere i sistemi, rubare dati, spiare le attività e causare malfunzionamenti.

Nel 2023, la diffusione di malware tramite e-mail è stata rilevata nel 10% degli eventi e nel 15% degli incidenti.

Nel 2024, le compromissioni da malware sono in aumento rispetto agli anni precedenti.

Violazioni di Dati (Data Breach): Gli attacchi informatici possono portare alla divulgazione non autorizzata di informazioni sanitarie sensibili. Queste violazioni possono avvenire attraverso l’accesso non autorizzato ai sistemi, la sottrazione di dispositivi o l’esfiltrazione di dati durante un attacco ransomware.

Le cartelle cliniche online sono un bersaglio prezioso per i criminali informatici, con un costo medio di 8 milioni di euro per le fughe di dati causate da ransomware.

Sfruttamento di Vulnerabilità

i cybercriminali possono sfruttare vulnerabilità nei sistemi software, nei dispositivi medici connessi e nelle configurazioni dei servizi per infiltrarsi nelle reti sanitarie.

Nel 2023, lo sfruttamento di vulnerabilità ha caratterizzato il 10% degli eventi.

Le vulnerabilità più comuni includono la gestione decentralizzata dei sistemi, l’obsolescenza dei dispositivi e la carenza di personale specializzato.

Attacchi alla Supply Chain

Gli attacchi che colpiscono i fornitori di servizi IT possono avere un impatto esteso su numerose strutture sanitarie. Questi attacchi possono sfruttare le vulnerabilità dei sistemi di terze parti per accedere alle reti delle strutture sanitarie.

Nel 2024, un attacco alla supply chain ha influenzato significativamente il numero di incidenti nel settore sanitario.

Denial of Service (DoS)

Gli attacchi DoS mirano a rendere inaccessibili i servizi sanitari sovraccaricando i sistemi con traffico malevolo, impedendo al personale medico di accedere ai dati e alle risorse necessarie.

Gli attacchi informatici, in particolare quelli di tipo ransomware, rappresentano una minaccia concreta e in crescita per il settore sanitario. Le conseguenze di questi attacchi possono essere molto gravi, con impatti sulla salute dei pazienti, sulla privacy dei dati e sulla continuità dei servizi. Il piano d’azione dell’UE mira ad affrontare queste minacce attraverso una serie di misure che vanno dalla prevenzione alla risposta, passando per il rilevamento precoce e la deterrenza. L’efficacia di questo piano dipenderà dalla collaborazione tra tutti gli attori coinvolti e dall’implementazione tempestiva delle misure previste.

Il Centro di supporto alla Cybersicurezza: funzioni e operatività

Il piano d’azione dell’Unione Europea per la cybersicurezza del settore sanitario prevede la creazione di un Centro paneuropeo di supporto. Questo centro, gestito dall’Agenzia dell’UE per la sicurezza informatica (ENISA), avrà un ruolo cruciale nel coordinamento e nell’implementazione delle misure di sicurezza informatica nel settore sanitario. L’obiettivo principale è quello di fornire supporto pratico e concreto agli ospedali e ai fornitori di servizi sanitari per aiutarli a proteggersi dalle crescenti minacce informatiche.

Il Centro

sarà istituito all’interno delle strutture di ENISA, evitando la creazione di nuove strutture amministrative.

lavorerà in stretta collaborazione con gli Stati membri, le strutture sanitarie e la comunità della cybersicurezza. La collaborazione è fondamentale per garantire che le misure di sicurezza siano adeguate alle esigenze specifiche di ciascun contesto e che le informazioni sulle minacce siano condivise in modo efficace.

fornirà indicazioni pratiche e best practices per l’implementazione di misure di sicurezza informatica. Queste linee guida aiuteranno le strutture sanitarie a comprendere meglio i rischi e ad adottare le misure più appropriate per mitigarli.

metterà a disposizione strumenti operativi per aiutare le strutture sanitarie a valutare le proprie vulnerabilità, rilevare le minacce e rispondere agli incidenti.

offrirà servizi di supporto su misura per aiutare le strutture sanitarie a implementare le misure di sicurezza e a gestire gli incidenti informatici.

fornirà formazione personalizzata per gli operatori sanitari e il personale IT, al fine di aumentare la consapevolezza dei rischi e migliorare le competenze in materia di cybersicurezza. La formazione è essenziale per garantire che tutti gli operatori sanitari comprendano l’importanza della sicurezza informatica e sappiano come proteggere i sistemi e i dati.

svilupperà entro il 2026 un servizio di allerta precoce a livello europeo che fornirà avvisi “quasi in tempo reale” sulle potenziali minacce informatiche. Questo servizio consentirà alle strutture sanitarie di identificare rapidamente le minacce e di adottare le misure di prevenzione necessarie.

In caso di attacchi informatici, faciliterà l’accesso a un servizio di risposta rapida dedicato al settore sanitario. Questo servizio, disponibile attraverso la Riserva UE per la sicurezza informatica, fornirà supporto alle strutture sanitarie per contenere l’impatto degli attacchi, ripristinare i servizi e recuperare i dati. La Riserva UE per la sicurezza informatica include anche un meccanismo di emergenza per la cybersecurity, che permette una risposta rapida in caso di incidenti significativi.

svilupperà un catalogo completo di soluzioni concrete per rafforzare la cybersicurezza del settore. Questo catalogo includerà soluzioni per la prevenzione, il rilevamento, la risposta e il recupero dagli attacchi informatici.

promuoverà la condivisione delle informazioni sulle minacce e le vulnerabilità tra gli Stati membri e le strutture sanitarie. Questa condivisione è fondamentale per aumentare la consapevolezza dei rischi e per migliorare le capacità di risposta collettiva.

si concentrerà sul rafforzamento delle capacità del settore sanitario attraverso investimenti, formazione e supporto nell’adozione di misure di preparazione alla cybersecurity.

Coordinamento con gli stati membri e le strutture Sanitarie

Coinvolgimento degli Stati Membri

Gli Stati membri avranno un ruolo fondamentale nell’implementazione del piano d’azione e nel coordinamento con il Centro di Supporto. Gli Stati membri sono incoraggiati a creare piani d’azione nazionali focalizzati sulla cybersicurezza nel settore sanitario, assicurando che le risorse e le pratiche a livello europeo siano utilizzate in modo efficace.

Consultazioni

La Commissione Europea ha riconosciuto l’importanza cruciale di coinvolgere attivamente tutte le parti interessate per garantire l’efficacia e la pertinenza del suo piano d’azione sulla cybersicurezza nel settore sanitario. Questo approccio partecipativo si concretizza attraverso l’avvio di una consultazione pubblica mirata a raccogliere feedback, suggerimenti e prospettive da una vasta gamma di soggetti.

L’obiettivo primario della consultazione è quello di ottenere un feedback dettagliato sulle proposte del piano d’azione da parte di coloro che saranno direttamente interessati e coinvolti nella sua implementazione. Questo feedback è fondamentale per identificare eventuali punti deboli, lacune o aree che necessitano di maggiore attenzione.

La consultazione

• mira a verificare che le misure proposte dal piano siano adeguate, realistiche e in linea con le esigenze specifiche del settore sanitario. Le diverse parti interessate avranno l’opportunità di esprimere le loro opinioni sull’efficacia e la fattibilità delle misure previste.
• può favorire l’identificazione di best practices, soluzioni innovative e approcci alternativi che potrebbero migliorare l’efficacia del piano d’azione. Il coinvolgimento di esperti e operatori del settore sanitario può portare alla luce nuove idee e prospettive.
• punta a costruire un consenso ampio tra le parti interessate, aumentando l’adesione e la collaborazione necessarie per l’implementazione efficace del piano.
• permetterà di raccogliere informazioni sulle specifiche esigenze e sfide che diverse realtà sanitarie affrontano, consentendo di adattare il piano alle diverse realtà locali.

Soggetti Coinvolti nella Consultazione Pubblica

La consultazione pubblica è aperta a un’ampia gamma di soggetti, tra cui:

Fornitori di servizi sanitari: ospedali pubblici e privati, cliniche, studi medici, laboratori e altri operatori sanitari che forniscono servizi di cura e assistenza.

Professionisti sanitari: medici, infermieri, tecnici, farmacisti e altri operatori che lavorano nel settore sanitario.

Governi degli Stati membri: rappresentanti dei ministeri della salute, agenzie sanitarie e altre autorità competenti a livello nazionale e regionale.

Professionisti, ricercatori e consulenti specializzati nella sicurezza informatica.

Pazienti e associazioni di pazienti: rappresentanti dei diritti dei pazienti e gruppi di interesse che rappresentano le esigenze e le preoccupazioni dei cittadini.

Organizzazioni non governative (ONG): associazioni che si occupano di sanità, diritti dei consumatori, sicurezza e protezione dei dati.

Aziende del settore tecnologico: fornitori di software, hardware e servizi informatici per il settore sanitario.

Agenzie dell’UE: ENISA, Europol e altre agenzie coinvolte nella sicurezza informatica.

L’Importanza della Partecipazione Attiva

La Commissione Europea incoraggia tutte le parti interessate a partecipare attivamente alla consultazione pubblica. La partecipazione attiva è fondamentale per garantire che il piano d’azione sia ben mirato, efficace e sostenibile nel tempo. Attraverso un processo di consultazione aperto e inclusivo, l’UE mira a creare un ambiente sanitario digitale più sicuro e protetto per tutti i cittadini europei.

Risorse Finanziarie

Gli Stati membri sono incoraggiati a utilizzare i fondi strutturali dell’UE per investire nella sicurezza informatica degli ospedali e delle strutture sanitarie. La Commissione può offrire supporto tecnico con ENISA, ma ci sono anche possibilità derivanti da fondi strutturali da utilizzare per questi compiti.

Report Regolari

ENISA, in collaborazione con la Commissione, produrrà report regolari per monitorare i progressi del piano e per valutare l’efficacia delle misure adottate.

L’Importanza dei Dati Sanitari e il collegamento con lo Spazio Europeo dei Dati Sanitari (EHDS)

Il piano d’azione dell’UE per la cybersicurezza nel settore sanitario è intrinsecamente legato alla creazione e al successo dello Spazio europeo dei dati sanitari (EHDS). L’EHDS rappresenta un’iniziativa fondamentale per digitalizzare l’assistenza sanitaria in Europa, mirando a stabilire regole chiare e uniformi per l’uso dei dati sanitari, al fine di migliorare l’assistenza ai pazienti, promuovere la ricerca, stimolare l’innovazione e supportare le politiche sanitarie.

La digitalizzazione dell’assistenza sanitaria attraverso l’EHDS offre numerosi vantaggi:

Migliore Assistenza ai Pazienti

L’EHDS mira a garantire che i pazienti abbiano un accesso sicuro e controllato ai propri dati sanitari, consentendo loro di partecipare attivamente alle decisioni sulla propria cura. La condivisione sicura dei dati tra professionisti sanitari facilita una migliore coordinazione e continuità dell’assistenza, anche a livello transfrontaliero.

Supporto alla Ricerca e all’Innovazione

l’EHDS crea un ambiente in cui i dati sanitari possono essere utilizzati in modo sicuro e responsabile per la ricerca scientifica e l’innovazione nel settore sanitario. Ciò può portare allo sviluppo di nuove terapie, diagnosi più accurate e approcci più efficaci alla cura delle malattie.

Efficienza e sostenibilità del Sistema Sanitario

La digitalizzazione dei processi sanitari e la condivisione dei dati possono migliorare l’efficienza del sistema sanitario, riducendo i costi, eliminando la ridondanza e ottimizzando l’uso delle risorse.

Medicina di precisione

L’accesso a grandi quantità di dati sanitari consente lo sviluppo di approcci di medicina personalizzata, in cui i trattamenti vengono adattati alle caratteristiche specifiche di ogni paziente.