In Italia, gli attacchi informatici nel settore sanitario sono diventati sempre più frequenti e sofisticati. La Sanità è un obiettivo particolarmente attraente per i cyber criminali, principalmente a causa della natura sensibile dei dati trattati, che includono informazioni personali e sanitarie dei pazienti, ma anche a causa della necessità critica di mantenere operativi i sistemi per garantire la continua erogazione di prestazioni sanitarie.

Ne deriva che il 92% delle organizzazioni sanitarie ha subito almeno un attacco informatico negli ultimi 12 mesi, in aumento rispetto all’88% del 2023, e il 69% di queste ha dovuto interrompere l’assistenza ai pazienti come conseguenza[1].

Come rilevato dal Rapporto Clusit 2024, le tipologie di attacco più frequenti nel settore sanitario italiano sono ransomware, data breach, social engineering e lo sfruttamento di vulnerabilità di dispositivi medici e applicativi sanitari.

Queste tecniche di attacco possono non solo compromettere la privacy dei pazienti, ma causano interruzioni di servizi che impattano fortemente sulle capacità di cura della struttura e sulla salute del paziente.

Un incidente di portata critica può avere ripercussioni di lungo termine sull’azienda ospedaliera in termini di affidabilità e fiducia da parte dei pazienti, oltre agli impatti economici e legali derivanti da eventuali sanzioni imputabili alla struttura.

L’impatto della Direttiva NIS 2 sul settore sanitario

In questo scenario, l’Unione Europea, tramite la Direttiva NIS 2 (Network and Information Security), ha stabilito una serie di misure di sicurezza al fine di stabilire un livello comune interstatale ed estendere il perimetro dei soggetti a cui è rivolta.

In particolare, la Direttiva NIS 2 e il relativo D.lgs. 4 settembre 2024, n. 138 di recepimento della stessa nel contesto italiano introducono una serie di requisiti da rispettare per i soggetti in perimetro, tra cui le aziende sanitarie. Nello specifico:

1. Registrazione dei soggetti essenziali e importanti: le strutture sanitarie, come ospedali, cliniche e altre istituzioni che forniscono servizi essenziali, devono registrarsi alla piattaforma digitale che sarà messa a disposizione dall’ACN a partire dal primo dicembre 2024 e la cui chiusura è fissata al 28 febbraio 2025. La mancata registrazione costituisce una violazione assistita da una sanzione amministrativa pecuniaria con un importo fino al 0,1% del fatturato annuo su scala mondiale dell’organizzazione.
2. Responsabilizzazione dell’Organo di Gestione: la gestione della sicurezza delle informazioni non è più un compito relegato esclusivamente alla funzione dei sistemi informativi, ma diventa una responsabilità diretta dell’Organo di Gestione (es. Direzione Strategica). La Direttiva NIS 2 con questo requisito non si limita a garantire che l’organo di gestione adotti le misure di sicurezza ma pone il focus sull’accountability degli organi apicali ovvero sulla necessità di rendere conto del proprio operato e affrontare le conseguenze legali delle proprie azioni.
3. Governance: le organizzazioni devono adottare modelli organizzativi per la gestione della cybersecurity prevedendo figure (es. Responsabile della Sicurezza delle Informazioni) e comitati incaricati di gestire le istanze di sicurezza dell’azienda ospedaliera. Tale dimensionamento organizzativo permette di separare le attività relative al governo della sicurezza informatica rispetto a quelle operative/tecniche migliorando le capacità di gestione di entrambe.
4. Gestione del rischio: i soggetti essenziali devono implementare ed adottare una metodologia di analisi del rischio (basata su un approccio multirischio) e misure di sicurezza adeguate a mitigare tali rischi implementando controlli specifici per proteggere le reti e i sistemi informativi utilizzati per la fornitura di servizi sanitari.
5. Garantire la sicurezza della catena di approvvigionamento: i soggetti essenziali devono implementare processi di gestione delle terze parti in termini di valutazione delle stesse sulla base di requisiti di sicurezza definiti dall’azienda ospedaliera in modo tale da allineare le pratiche di sicurezza dei fornitori a quelle dell’Organizzazione.
6. Gestione degli incidenti: i soggetti essenziali devono rilevare, gestire e segnalare tempestivamente gli incidenti informatici significativi alle autorità competenti. Questo include la notifica di attacchi informatici che possono avere un impatto significativo sulla continuità dei servizi sanitari. A tale scopo l’azienda ospedaliera deve definire un processo di gestione che preveda gli aspetti di cui sopra oltre alla definizione di ruoli e responsabilità specifiche.
7. Continuità operativa: le organizzazioni devono garantire che le attività aziendali possano proseguire senza interruzioni a fronte di un incidente significativo o un’interruzione dei servizi. Ciò parte da un’analisi (Business Impact Analysis) dei processi aziendali (terapie intensive, pronto soccorso, sale operatorie, etc.) in termini di impatti e criticità e nella predisposizione di piani di continuità operativa e disaster recovery che siano allineati con i requisiti di disponibilità individuati in fase di analisi.
8. Valutazione della conformità: le autorità competenti possono effettuare valutazioni periodiche per verificare la conformità delle organizzazioni sanitarie ai requisiti della NIS 2.

Dai requisiti imposti dalla Direttiva si evince che la capacità di resilienza dei soggetti in perimetro non si raggiunge esclusivamente attraverso la definizione di processi di gestione degli incidenti e della continuità operativa, bensì deve essere il risultato di un percorso integrato che comprende più aspetti.

Questo percorso è più efficace e gestibile laddove è assicurata una governance solida della cybersecurity e dell’IT, garantendo la separazione di ruoli (segregation of duties), ottenibile con un approccio programmatico, strutturato e integrato, fondato sulla gestione del rischio.

Infatti, solo attraverso la definizione di un corretto assetto organizzativo, in termini di ruoli e responsabilità, efficienti processi di sicurezza e una corretta gestione della catena di approvvigionamento, sarà possibile, insieme all’adozione di soluzioni tecnologiche, ridurre il rischio di rimanere vittime di incidenti informatici.

Gli impatti della Direttiva NIS 2 sull’organizzazione

La Direttiva NIS 2 avrà significativi impatti sull’organizzazione delle aziende sanitarie in quanto impone in primis un approccio strategico nella gestione della sicurezza informatica, coinvolgendo l’organo di gestione nel processo di approvazione delle modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica e nella supervisione di suddette misure.

Gli obblighi, in materia di misure di gestione dei rischi, che le aziende ospedaliere devono adottare, si riferiscono a tutte le operazioni e a tutti i servizi, non solo a risorse informatiche specifiche o a servizi critici forniti dal soggetto.

Oltre a tali responsabilità, all’interno delle aziende sanitarie devono essere previste figure e team specifici incaricati di gestire esclusivamente le istanze di sicurezza (es. Responsabile della sicurezza dele informazioni) in ottemperanza del principio di “segregation of duties”.

Questo cambiamento di tipo strategico/organizzativo deve essere però accompagnato da un cambiamento culturale verso una maggiore consapevolezza della sicurezza informatica tra tutti i dipendenti, non solo per quelli IT.

La Direttiva impone, infatti, che gli organi di amministrazione, gli organi direttivi e i loro dipendenti siano tenuti a seguire una formazione in materia di sicurezza informatica per favorire l’acquisizione di conoscenze e competenze sufficienti al fine di individuare i rischi e adottare comportamenti virtuosi atti a garantire la sicurezza delle informazioni nello svolgimento delle proprie mansioni e in generale una responsabilizzazione diffusa in questo senso.

La sicurezza di un’azienda ospedaliera è data anche dalla capacità di gestire in maniera efficace la propria catena di fornitura.

Il settore sanitario fa affidamento in larga parte a prodotti e servizi forniti da terze parti, che possono rappresentare una via d’accesso, generalmente poco presidiata, ai sistemi dell’Organizzazione per eventuali malintenzionati.

Ne deriva che una corretta gestione dei fornitori, prevedendo requisiti di sicurezza specifici e monitorandone l’applicazione, permette una diminuzione delle probabilità di attacchi perpetrati attraverso di essi.

Il soggetto in perimetro deve garantire la sicurezza della catena di approvvigionamento tenendo delle vulnerabilità specifiche per ogni fornitore e tipologia di fornitura e della qualità complessiva dei prodotti, comprese le loro procedure di sviluppo sicuro.

Infine, la Direttiva richiede che gli organi di amministrazione e gli organi direttivi siano informati su base periodica o, se opportuno, tempestivamente, degli incidenti e delle notifiche, oltre a definire meccanismi e tempistiche di comunicazione degli incidenti alle Autorità competenti.

Conclusioni

In conclusione, la Direttiva NIS 2 rappresenta uno strumento importante con cui l’Unione Europea vuole guidare le organizzazioni verso una resilienza adeguata ad affrontare le difficoltà e le sfide dello scenario geopolitico attuale e futuro.

Essa costituisce un elemento normativo fondamentale che fa da leva per il cambiamento dell’approccio alla sicurezza delle informazioni delle aziende ospedaliere.

La maggior parte del settore risulta ancora poco maturo rispetto a questi aspetti ed è quindi imprescindibile il contributo che tale Direttiva e la relativa legge di recepimento italiano hanno e avranno nell’innescare quel cambio di paradigma necessario a garantire la sicurezza di questo settore.

[1] Cyber Insecurity in Healthcare: The Cost and Impact on Patient Safety and Care 2024