Il Piano dell’UE per rafforzare la cybersecurity in campo sanitario

La crescente digitalizzazione sta profondamente trasformando il settore sanitario, introducendo innovazioni come cartelle cliniche elettroniche, telemedicina e strumenti diagnostici basati sull'intelligenza artificiale.

Come ogni altro settore, la digitalizzazione e la telematica espongono soggetti, strutture e infrastrutture sanitarie a nuove minacce informatiche, con potenziali conseguenze gravi: ritardi nelle cure, paralisi nei pronto soccorso e interruzioni di servizi vitali. Nel 2023, tale settore è stato il più colpito da attacchi informatici a infrastrutture critiche europee, con 309 incidenti segnalati; secondo l’Agenzia dell'Unione europea per la cibersicurezza (ENISA), il ransomware ha rappresentato il 54% degli incidenti di sicurezza informatica analizzati nel settore sanitario nel 2021-2023.

Per affrontare questa sfida, la Commissione Europea ha lanciato un Piano di Azione per innalzare per la resilienza del sistema sanitario, rafforzando la sicurezza informatica con l’obiettivo di proteggere i pazienti, le istituzioni e i dispositivi connessi, garantendo al contempo la fiducia nei sistemi digitali.

Migliorare il rilevamento delle minacce

Il piano d'azione si concentra sul miglioramento del rilevamento delle minacce, della preparazione e della risposta alle crisi nel settore sanitario. Mira a fornire orientamenti, strumenti, servizi e formazione personalizzati a ospedali e operatori sanitari. Diverse azioni specifiche saranno implementate progressivamente nel 2025 e nel 2026, in collaborazione con gli operatori sanitari, gli Stati membri e la comunità della sicurezza informatica.

Il Piano rappresenta la prima iniziativa settoriale volta a implementare l'intera gamma di misure di sicurezza informatica dell'UE e mira a garantire: 

• la protezione dei dati personali e delle cartelle cliniche
• la continuità operativa dei servizi sanitari 
• il rafforzamento della fiducia nei sistemi digitali e nei fornitori di servizi sanitari.

Fra l’altro il Piano prospetta il coinvolgimento dell’ENISA per l’istituzione di un centro di supporto alla sicurezza informatica paneuropeo per ospedali e operatori sanitari, fornendo loro linee guida, strumenti, servizi e formazione personalizzati.

Quattro aree di intervento

L’iniziativa è articolata in quattro aree di intervento volte ad affrontare le minacce informatiche in modo strategico e integrato: 

• Sviluppo delle capacità di prevenzione, come linee guida, cybersecurity voucher e promozione di misure di apprendimento per gli operatori;
•  Rafforzamento capacità nella rilevazione e identificazione delle minacce, con lo sviluppo, previsto per il 2026, di un sistema di allerta precoce;
•  misure di risposta agli attacchi per ridurne gli impatti, con iniziative nell’alveo del Cyber Solidarity Act, previsione di esercitazioni e incentivazione della segnalazione di richieste di riscatto da parte delle organizzazioni prese di mira, per supportarle e seguire la vicenda; 
•  Strumenti di deterrenza per scoraggiare gli attaccanti, fra cui il Cyber Diplomacy Toolbox, per una risposta diplomatica congiunta dell'UE alle minacce cyber .

L’attuazione del piano sarà condotta in stretta collaborazione con gli operatori sanitari, gli Stati membri e la comunità della sicurezza informatica; essenziale sarà il ruolo dell’ENISA.

Le tappe previste: 

• Primo trimestre 2025: Consultazione con le parti interessate e istituzione di un comitato consultivo sulla sicurezza informatica sanitaria.
• Secondo trimestre 2025: Avvio dei lavori per il Centro europeo di supporto alla sicurezza informatica.
• Entro fine 2025: Presentazione di raccomandazioni per perfezionare il piano.
  4. 2025-2026: Implementazione progressiva delle azioni previste.

Il Piano prevede, poi, che il Centro di supporto effettui un Health Cyber Maturity Assessment, sia a livello nazionale che a livello dell’UE.

Articolo di Pasquale Mancino, Componente del Gruppo di Lavoro per la privacy nella Pubblica Amministrazione