Proteggere il settore sanitario dagli attacchi informatici: il Piano d’azione della Commissione europea

La digitalizzazione dell’assistenza sanitaria sta portando enormi benefici ai pazienti e agli operatori sanitari, grazie a innovazioni come le cartelle cliniche elettroniche, la telemedicina e la diagnostica basata su IA. Ma il contraltare di questi vantaggi sono le minacce informatiche, che quando colpiscono il sistema sanitario si traducono in ritardi nelle procedure mediche, ingorghi nei Pronto soccorso, fino alle interruzioni di servizi vitali, con minaccia diretta alla vita dei pazienti.
Dei 309 incidenti di cibersicurezza che hanno colpito i 27 Stati Ue nel 2023, il numero più alto ha riguardato il settore sanitario.

Image

Per affrontare queste problematiche e garantire che la trasformazione digitale dell’assistenza sanitaria sia sicura ed affidabile la Commissione europea ha pubblicato il primo Piano d’azione per proteggere il settore sanitario dagli attacchi informatici, volto a rafforzare la cibersicurezza degli ospedali e dei prestatori di assistenza sanitaria.

Elemento portante del Piano è la creazione di un hub europeo di sostegno alla cibersicurezza per gli ospedali e i prestatori di assistenza sanitaria, che sarà istituito all’interno di ENISA, l’Agenzia UE per la cibersicurezza. L’hub avrà svariati compiti relativi all’attuazione del Piano, compreso lo sviluppo di un catalogo completo di soluzioni concrete che rafforzeranno la cibersicurezza del settore.

I quattro pilastri

Il piano si concentra in particolare su 4 dimensioni:

• La prevenzione degli incidenti di cibersicurezza attraverso misure di preparazione rafforzate, come gli orientamenti sull'attuazione di pratiche critiche in materia di cibersicurezza (che saranno preparati dall’hub europeo di sostegno alla cibersicurezza) e attraverso lo sviluppo di risorse di apprendimento in materia di cibersicurezza destinate agli operatori sanitari. A sostegno della preparazione il piano propone che gli Stati membri possano introdurre voucher per la cibersicurezza per fornire assistenza finanziaria alle micro, piccole e medie strutture ospedaliere e di prestazione di assistenza sanitaria.

• Un migliore rilevamento e identificazione delle minacce, grazie allo sviluppo di un sistema di allarme rapido a livello di UE, gestito dall’hub europeo di sostegno alla cibersicurezza, che trasmetterà un'allerta in tempo quasi reale in caso di potenziali minacce informatiche.

  Image

  

• La capacità di risposta agli attacchi informatici per minimizzarne l'impatto: il piano propone un servizio di risposta rapida per il settore sanitario nel quadro della riserva dell'UE per la cibersicurezza (che prevede che operatori privati di fiducia prestino servizi di risposta agli incidenti). In particolare si potranno svolgere esercitazioni nazionali di cibersicurezza in parallelo allo sviluppo di protocolli destinati a guidare gli istituti sanitari nella risposta a minacce specifiche, compreso il ransomware. Gli Stati membri sono incoraggiati a chiedere agli istituti sanitari di segnalare il pagamento di riscatti, affinché sia possibile fornire loro il sostegno di cui hanno bisogno e garantire il seguito da parte delle autorità di contrasto.

• La deterrenza, compreso l'uso del pacchetto di strumenti della diplomazia informatica, per dissuadere gli autori di minacce informatiche dal metterle in atto e una risposta diplomatica comune dell'UE alle attività informatiche dolose.

Le azioni di attuazione

A livello nazionale il piano invita gli Stati membri a designare i Centri nazionali di supporto alla cibersicurezza specifici per gli ospedali e i fornitori di servizi sanitari, che costituiranno i punti di contatto nazionale (PCN) primari per il settore sanitario, collaborando strettamente con l’hub europeo di sostegno alla cibersicurezza. Gli Stati membri dovrebbero inoltre preparare i loro piani d'azione nazionali sulla sicurezza informatica nel settore sanitario che identifichino i rischi specifici di cibersicurezza affrontati dai sistemi sanitari e le azioni nazionali intraprese per affrontarli.

Il Piano d’azione della Commissione sosterrà inoltre lo Spazio europeo dei dati sanitari (la cui approvazione è alle battute finali), uno degli elementi portanti dell’Unione europea della salute, che stabilisce norme chiare per l’uso dei dati sanitari al fine di migliorare l'erogazione dell'assistenza sanitaria, la ricerca, l'innovazione e l'elaborazione delle politiche.

L’attuazione del Piano prevede diverse azioni specifiche fra il 2025 e il 2026, elencate e delineate nell’Annex del piano. In primis, fra aprile e giugno 2025, la creazione presso ENISA dell’hub europeo di sostegno alla cibersicurezza per gli ospedali e i prestatori di assistenza sanitaria e l’istituzione di un Advisory board per la cibersicurezza nel settore sanitario, che fornirà consulenza alla Commissione e all’Hub.

La Commissione lancerà prossimamente una call for action rivolta alle aziende, alle fondazioni, alle istituzioni educative e alle parti interessate del settore della cibersicurezza affinché si impegnino ad affrontare le sfide del settore.

Nelle prossime settimane si aprirà inoltre un’ampia consultazione sul Piano d’azione, tesa a mettere ulteriormente a punto le azioni più incisive, che confluiranno in ulteriori raccomandazioni verso la fine del 2025.

Aggiornamento di aprile 2025: la consultazione sul Piano d'azione è stata aperta il 7 aprile. E' possibile rispondere fino al 30 giugno . Leggi tutto