La Direttiva NIS 2 (Direttiva UE 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 sulla sicurezza delle reti e delle informazioni) – entrata in vigore a gennaio 2023, gli Stati membri hanno tempo fino al 17 ottobre 2024 per recepirlo nel proprio ordinamento nazionale – ha segnato un passo importante verso la piena definizione della strategia per la cyber sicurezza dell’Unione Europea.
Indice degli argomenti
NIS 2: perché la Sanità è uno dei settori più importanti
La Direttiva parte dal presupposto che i sistemi informatici e di rete usati per fornire servizi essenziali in settori chiave occupino una posizione centrale nel percorso di trasformazione digitale e di interconnessione della società.
NIS2 impone un quadro normativo più stringente e armonizzato a livello europeo con lo scopo di proteggere tutte le infrastrutture critiche.
Tra di esse, con un impatto importante per la Sanità, vanno ovviamente annoverati anche tutti i sistemi sanitari e quelli di Medicina Digitale.
Come sottolineato in questo approfondimento di Healthtech360 su NIS 2 e cybersecurity in Sanità, il settore sanitario si trova al centro di due gravi problemi: il fatto che le informazioni sono fondamentali per le cure mediche e che la maggior parte degli ospedali e dei sistemi sanitari ha accumulato un significativo gap tecnologico. Gli ospedali si affidano spesso a più piattaforme legacy, ognuna sviluppata e gestita in modo isolato, con livello di sicurezza e resilienza inadeguati. Ciò rende molti enti sanitari un bersaglio facile: i malfattori sanno che possono introdursi e interrompere le operazioni e che gli ospedali non hanno altra scelta che pagare riscatti per riottenere l’accesso a dati salvavita.
Non sorprende, quindi, come la Sanità sia uno dei soggetti più importanti della Direttiva NIS 2, che mira a rafforzare il livello di cybersecurity all’interno dell’UE, sanando gli approcci divergenti e frammentati adottati dagli Stati membri.
Tutta l’industria sanitaria (fornitori, produttori e laboratori) è chiamata quindi ad adottare misure adeguate di analisi e gestione del rischio in ambito di cybersecurity, proporzionate non solo a sé stesse, ma anche alla loro supply chain.
NIS 2: obiettivi e contesto normativo
A seguito della crescente espansione delle minacce informatiche, e la Sanità è tra i settori più colpiti, la Direttiva NIS 2 nasce dalla necessità di gestire in sicurezza e in piena conformità normativa gli scambi transfrontalieri di dati. L’obiettivo è garantire la continuità dei servizi digitali in caso di incidenti di sicurezza mediante risposte coordinate da parte di tutti gli Stati membri. Essa è il risultato di una profonda revisione della precedente Direttiva NIS (Direttiva UE 2016/1148) che aveva rivelato alcune carenze intrinseche nel rispondere efficacemente alle sfide emergenti in materia di sicurezza informatica.
La precedente Direttiva NIS, infatti, aveva l’obiettivo di instaurare un mercato interno per la cyber security mediante l’avvicinamento delle normative nazionali. Tuttavia, si sono evidenziate notevoli divergenze nell’attuazione di questi obblighi da parte degli Stati membri, con variazioni significative in termini di tipo di obbligo, livello di dettaglio e metodo di vigilanza. Queste disparità hanno comportato costi aggiuntivi e difficoltà applicative per i soggetti che offrono beni e servizi transfrontalieri. Inoltre, divergenze nelle modalità di attuazione da parte degli Stati membri avrebbero potuto esporre alcuni Paesi a maggiori vulnerabilità informatiche.
Ambiti di applicazione e criteri della Direttiva
La Direttiva NIS 2 ha introdotto criteri uniformi per una più semplice e coerente identificazione degli operatori pubblici e privati inclusi nelle categorie di “soggetti essenziali” e “soggetti importanti”. Essa si applica a tutti quei soggetti pubblici o privati compresi nelle tipologie “alta criticità” o “altri settori critici” che prestano i loro servizi o svolgono le loro attività all’interno dell’Unione Europea.
Oltre ai settori già coperti dalla precedente direttiva – tra i quali la Sanità e i Dispositivi Medici – la NIS 2 estende l’ambito ai fornitori di servizi digitali come l’e-commerce, motori di ricerca, cloud computing, gestione dei servizi ICT, della pubblica amministrazione e dello Spazio.
NIS 2 e strategie nazionali degli Stati membri dell’UE
Per raggiungere una piena definizione della strategia per la cybersicurezza dell’Unione Europea, la Direttiva assegna agli Stati membri la facoltà di designare o istituire una o più autorità nazionali competenti responsabili della cybersicurezza.
Ogni Stato membro deve adottare una strategia nazionale per la cybersicurezza che preveda obiettivi strategici, risorse necessarie e adeguate misure strategiche e normative.
Questo quadro deve chiarire i ruoli dei portatori d’interesse a livello nazionale per sostenere la cooperazione tra autorità competenti, punti di contatto unici e CSIRT (Computer Security Incident Response Team).
Sanzioni e compliance
La Direttiva NIS 2 pone particolare attenzione ai rischi della supply chain e alla compliance della catena di fornitura, soprattutto per quanto riguarda i fornitori più critici. Essa concede maggiori poteri alle autorità competenti per il monitoraggio delle entità essenziali, che saranno soggette a vigilanza ex ante ed ex post.
Le sanzioni possono arrivare fino a 10 milioni di euro o il 2% del fatturato globale annuo totale per le entità “essenziali” (7 milioni di euro o l’1,4% del fatturato per i soggetti “importanti”).
NIS 2: l’impatto sulla Sanità
L’introduzione della direttiva NIS 2 segna un passo decisivo verso un rafforzamento normativo nel contesto della sicurezza delle reti e delle informazioni in Europa, con particolare attenzione ai servizi essenziali, come quelli che appartengono all’ambito della Sanità.
Questo nuovo quadro legislativo impone agli operatori del settore e agli enti governativi standard più elevati in termini di misure preventive, capacità di reazione a incidenti informatici e collaborazione tra gli stati membri.
L’obiettivo è creare un ambiente digitale europeo più resiliente agli attacchi informatici e più capace di proteggere le infrastrutture critiche – come, appunto, quelle delle organizzazioni sanitarie – che sostengono servizi fondamentali quali la cura della Salute.
L’adozione della direttiva NIS 2 in Sanità, quindi, richiede non solo aggiornamenti tecnologici ma anche una nuova cultura organizzativa, dove la sicurezza informatica diventa parte integrante della strategia operativa delle strutture sanitarie.
Un efficace gestione del rischio informatico nel settore sanitario, inoltre, richiede un approccio olistico e metodico. È essenziale implementare una strategia che vada oltre la mera difesa perimetrale o la reazione agli incidenti.
Le organizzazioni sanitarie devono adottare framework di gestione del rischio che prevedano l’identificazione continua delle vulnerabilità, l’analisi delle minacce potenziali e lo sviluppo di piani di mitigazione adeguati.
Questo processo deve essere dinamico e supportato da una costante valutazione delle nuove tecnologie disponibili, nonché da una formazione continua del personale sulle migliori pratiche in materia di sicurezza informatica.
Solo attraverso una nuova cultura organizzativa e un impegno costante, dunque,è possibile costruire un sistema in grado di proteggere efficacemente i dati dei pazienti e, al contempo, garantire la continuità delle operazioni sanitarie.
NIS 2 in Sanità e Telemedicina
La Telemedicina sta cambiando il modo in cui viene fornita l’assistenza sanitaria: visite online e monitoraggio da remoto sono divenute ormai la prassi, rendendo la Sanità più snella e gestibile, sia dal punto di vista dei pazienti che degli operatori sanitari.
Tuttavia, i referti, le informazioni personali e le cartelle cliniche sono un tesoro per i criminali informatici, come dimostrato ampiamente dalle compromissioni che, con estrema frequenza, colpiscono le strutture sanitarie.
Con l’espansione della Telemedicina, infatti, la sicurezza dei dati sanitari è diventata una questione di primaria importanza. Ogni giorno, enormi volumi di informazioni sensibili vengono scambiati attraverso reti digitali, esponendoli a potenziali rischi di violazioni e cyber-attacchi.
La sfida, per i responsabili della sicurezza informatica, è quindi duplice: da un lato proteggere l’integrità e la confidenzialità dei dati dei pazienti, dall’altro garantire che l’accessibilità non venga compromessa.
Questo equilibrio richiede un approccio robusto e multidimensionale alla cybersecurity, che includa non solo avanzate soluzioni tecnologiche, ma anche una rigorosa formazione del personale e una costante revisione delle politiche di sicurezza interna. Solo così sarà possibile costruire un ambiente digitale sicuro che sia la base per un sistema sanitario efficiente e rispettoso della privacy dei pazienti.
È proprio in un simile contesto che entra in gioco la direttiva NIS 2 in Sanità, normativa europea che prova a venire incontro alle esigenze di cybersicurezza per il sistema sanitario (e non solo) imponendo regole e, conseguentemente, sanzioni più severe in ottica di protezione dei dati e di rafforzamento della sicurezza informatica.
L’obiettivo, nel caso della Telemedicina, è rendere quest’ultima un’opportunità per tutti senza mettere a rischio la privacy e, soprattutto, la salute dei soggetti coinvolti.
Sfide e investimenti delle strutture sanitarie per l’adeguamento alla NIS 2
L’implementazione della Direttiva NIS 2 in Sanità comporta significative sfide economiche e organizzative per le strutture sanitarie, specialmente per quelle meno dotate in termini di risorse finanziarie e umane.
Gli investimenti necessari per adeguarsi ai nuovi standard sono notevoli: si spazia dall’aggiornamento delle infrastrutture IT all’introduzione di sofisticati sistemi di monitoraggio e risposta agli incidenti. A questo si aggiunge la necessità di formare o assumere personale qualificato in cybersecurity, una professione già in carenza a livello globale.
In un primo momento, conformarsi alla Direttiva NIS 2 in Sanità potrebbe equivalere a un importante investimento in nuove tecnologie che consentano agli operatori sanitari di garantire la sicurezza dei loro servizi, proteggendo i dati di clienti e pazienti, prevenendo l’interruzione del servizio.
Nonostante queste difficoltà, l’adeguamento alla NIS 2 non deve essere visto solo come un onere finanziario ma come un investimento strategico che può portare a una maggiore efficienza operativa, ridurre i costi a lungo termine legati a eventuali violazioni dei dati e migliorare sostanzialmente la fiducia degli utenti nei servizi sanitari digitalizzati.
In sostanza, se correttamente applicata, la direttiva NIS 2 può rappresentare una svolta nella regolamentazione informatica del settore sanitario.
Riferimenti bibliografici
- Telemedicina e NIS 2, la sicurezza dei pazienti al centro: un approccio metodico e avanzato – Cybersecurity360
- Cybersecurity in Sanità: stato dell’arte e ruolo dell’Intelligenza Artificiale (HealthTech360)
- Direttiva NIS 2: la sicurezza delle infrastrutture critiche, tra normativa e buone prassi – Cybersecurity360