Nel cuore di gennaio la Commissione Europea ha annunciato un piano d’azione per rafforzare la cybersecurity in sanità, negli ospedali come tra i fornitori di servizi sanitari. Inserito tra le priorità fondamentali dei primi cento giorni del nuovo mandato dalla presidente Ursula von der Leyen, vuole rappresentare un passo avanti verso la protezione delle infrastrutture sanitarie critiche nell’Unione Europea e si basa sul quadro legislativo esistente nel settore della cybersecurity, in particolare la direttiva Nis2, il regolamento sulla cybersolidarietà (compreso il meccanismo per le emergenze di cybersecurity), il regolamento sulla cybersecurity e quello sui dispositivi medici con il regolamento sulla cyber-resilienza. 

La scelta di mettere la cybersecurity sanitaria al centro dell’agenda politica deriva dalla consapevolezza che la digitalizzazione a tappe forzate porta anche cambiamenti nell’assistenza sanitaria. Fascicolo elettronico, telemedicina e sistemi di diagnostica basati sull’AI migliorano la qualità dell’assistenza offerta ai pazienti, ma al tempo stesso rendono il settore sanitario vulnerabile agli attacchi informatici. Gli incidenti di questo tipo non solo minacciano la sicurezza dei dati sanitari personali, ma interferiscono con le  procedure mediche essenziali, creano ingorghi nei pronto soccorso e possono interrompere servizi vitali

Ursula Von der Leyen, presidente della Commissione europea
Ursula Von der Leyen, presidente della Commissione europea

Alcuni riferimenti: un dato significativo che sottolinea l’urgenza di un intervento mirato è rappresentato dal numero crescente di attacchi informatici contro il settore sanitario: nel solo 2023, gli Stati membri dell’UE hanno registrato ben 309 incidenti significativi di cybersecurity (fonte: Annual Report Nis Directive Incidents 2023), cresciuti ulteriormente nel 2024. Questo numero, comunque, supera quello di qualsiasi altro settore critico, dimostra come la sanità sia un obiettivo privilegiato per i cybercriminali. Tra gli attacchi più frequenti vi sono i ransomware, che bloccano l’accesso a sistemi e dati cruciali fino al pagamento di un riscatto, causando disagi enormi alle strutture sanitarie.

L’importanza della protezione del settore sanitario è riconosciuta dall’Agenzia per la cybersecurity Nazionale (Acn), che è impegnata a garantire la resilienza delle infrastrutture sanitarie. Attraverso interventi diretti e specifici, l’Acn contribuisce al ripristino di servizi essenziali come quelli di oncologia, radiologia, i sistemi di prenotazione (Cup) e i pronto soccorso, e dimostra come una risposta tempestiva e coordinata possa limitare i danni di un attacco informatico. Inoltre, il Servizio Operazioni e Gestione delle Crisi Cyber di Acn, di cui il Csirt è articolazione, realizza report dettagliati sulla protezione delle strutture medico-sanitarie, presentati in regioni come Lazio e Lombardia alla presenza delle autorità istituzionali, sottolineando l’importanza di un approccio collaborativo e informato per affrontare le minacce digitali.

Le misure del piano europeo

Ora, il piano d’azione europeo è un passo avanti. Tra le misure più rilevanti, si propone l’istituzione di un centro paneuropeo per il sostegno alla cybersecurity sanitaria, affidato all’Agenzia dell’Unione Europea per la cybersecurity (Enisa). Questo centro vuole offrire agli ospedali e ai prestatori di assistenza sanitaria strumenti avanzati, servizi mirati e programmi di formazione progettati su misura per rispondere alle loro specifiche esigenze. L’iniziativa si colloca all’interno di un più ampio quadro strategico dell’UE volto a rafforzare la resilienza di tutte le infrastrutture critiche, ma assume una particolare rilevanza poiché è la prima iniziativa settoriale dedicata specificamente alla sanità.

Un'azione basata su quattro priorità in sanità
Un’azione basata su quattro priorità in sanità

Quattro i binari entro cui si muove l’azione. Il primo è legato alla creazione del centro paneuropeo, appena citato, con l’obiettivo del miglioramento nell’individuazione e nell’identificazione delle minacce. Il secondo invece riguarda la prevenzione rafforzata. L’obiettivo è sviluppare le capacità del settore sanitario di prevenire gli incidenti di cybersecurity attraverso misure di preparazione avanzate. Questo include la fornitura di orientamenti personalizzati, strumenti, servizi e formazione su misura per gli ospedali e i fornitori di assistenza sanitaria. Inoltre, gli Stati membri possono introdurre voucher per la cybersecurity, offrendo assistenza finanziaria agli ospedali e ai fornitori di assistenza sanitaria di piccole e medie dimensioni. L’UE svilupperà anche risorse di apprendimento in materia di cibersicurezza per gli operatori sanitari. Un ulteriore punto riguarda la risposta agli attacchi informatici per ridurre al minimo l’impatto. Il piano mira a migliorare la capacità di risposta agli attacchi informatici per minimizzare l’impatto su servizi medici vitali, garantendo una rapida ripresa delle operazioni ospedaliere e la continuità dell’assistenza ai pazienti ed infine l’iniziativa promuove una stretta collaborazione tra i fornitori di servizi sanitari, gli Stati membri e la comunità della cybersecurity per attuare efficacemente le misure proposte. 

L’implementazione di questo piano d’azione rappresenta una sfida significativa, data la complessità e la diversità dei sistemi sanitari nei Paesi membri. Tuttavia, la Commissione Europea è determinata a collaborare con tutte le parti interessate per garantire che le misure proposte siano efficaci e adattate alle specifiche esigenze di ciascun paese. La creazione di un ambiente sanitario digitale sicuro si vuole non solo protegga i dati sensibili dei pazienti, ma contribuisca anche a rafforzare la fiducia del pubblico nei servizi sanitari digitali, promuovendo ulteriormente l’innovazione e l’efficienza nel settore.

© RIPRODUZIONE RISERVATA

Condividi l'articolo:

ARTICOLI CORRELATIWHITEPAPER CORRELATIALTRO DALL'AUTORE