La Commissione Europea ha recentemente presentato un nuovo piano strategico per migliorare la sicurezza informatica nel settore sanitario, in risposta all’aumento degli attacchi ransomware che hanno colpito ospedali e fornitori di servizi sanitari. La proposta è stata illustrata mercoledì scorso ed è un passo importante per rafforzare la capacità di questo settore di prevenire e rispondere agli incidenti di cybersecurity.
Come ha dichiarato Henna Virkkunen, Commissaria Europea per la Sovranità Tecnologica, la Sicurezza e la Democrazia, “In un momento in cui il settore sanitario sta attraversando una trasformazione critica, è fondamentale affrontare le sfide legate alla protezione delle cartelle cliniche elettroniche e all’integrazione dell’intelligenza artificiale nella forza lavoro sanitaria”. La sicurezza delle informazioni sanitarie è diventata una priorità, soprattutto in un contesto in cui l’innovazione tecnologica sta cambiando rapidamente il panorama.
Questa proposta è solo la prima di una serie di misure che saranno implementate nei primi 100 giorni del nuovo mandato. L’obiettivo è sensibilizzare il settore sanitario sui rischi derivanti dalla criminalità informatica e fornire soluzioni pratiche per proteggere le strutture sanitarie. A tal proposito, il Commissario per la Salute, Oliver Várhelyi, ha sottolineato che “i fornitori di servizi sanitari devono investire in cybersicurezza con la stessa attenzione che riservano alle attrezzature mediche per il trattamento dei pazienti”.
Un Centro Europeo per la cybersicurezza sanitaria
Un’importante novità introdotta nel piano è la creazione di un nuovo Centro Europeo di Sostegno alla Cybersicurezza per il Settore Sanitario, che sarà parte integrante dell’Agenzia dell’Unione Europea per la Cybersecurity (ENISA). Questo centro avrà il compito di guidare le iniziative per migliorare la sicurezza informatica e di implementare le misure previste dal piano.
Le priorità del piano di sicurezza informatica
Il piano si articola su quattro aree principali: prevenzione, rilevamento, risposta e recupero e deterrenza. In particolare, nei prossimi due anni verrà istituito un Comitato Consultivo per la Sicurezza Informatica in ambito sanitario, che fornirà supporto alle strutture sanitarie per prevenire il pagamento di riscatti e per sviluppare servizi di risposta rapida agli attacchi informatici.
La sanità è uno dei settori più vulnerabili agli attacchi informatici, in gran parte a causa della sensibilità dei dati trattati. Dopo la pandemia di COVID-19, la situazione è peggiorata, con un aumento significativo degli attacchi. Secondo un’analisi condotta da ENISA, tra gennaio 2021 e marzo 2023, oltre il 50% degli attacchi informatici nel settore sanitario dell’UE ha colpito fornitori di servizi sanitari, e il 42% ha interessato ospedali.
Strumenti esistenti per la cybersicurezza sanitaria
Il piano si integra anche con iniziative già in corso, come il Spazio Europeo dei Dati Sanitari (EHDS), che regola la condivisione dei dati sanitari, e con altre normative come la direttiva NIS2, la legge sulla cybersecurity e il regolamento sui dispositivi medici. Questi strumenti legali costituiscono la base su cui il piano d’azione per la cybersicurezza sanitaria si sviluppa.
Tuttavia, alcune di queste direttive stanno affrontando problemi di attuazione. La direttiva NIS2, che mira a proteggere le entità critiche da attacchi informatici gravi, non è stata ancora adottata dalla maggior parte degli Stati membri, i quali non hanno rispettato la scadenza per la sua implementazione fissata per il 17 ottobre 2024. Allo stesso modo, il regolamento sui dispositivi medici sta affrontando ritardi legati alla certificazione dei dispositivi secondo le nuove normative, con probabilità di ulteriori revisioni nel corso dell’anno.
Il piano della Commissione Europea segna un passo fondamentale verso la protezione del settore sanitario dalle minacce informatiche. Con l’aumento dei cyberattacchi, in particolare quelli di tipo ransomware, è essenziale che ospedali e strutture sanitarie siano preparati a difendere i dati sensibili dei pazienti e a garantire la continuità dei servizi. Questo nuovo approccio, che punta a un rafforzamento globale delle difese, rappresenta una risposta concreta alle crescenti minacce informatiche e un’importante opportunità per migliorare la sicurezza nel settore sanitario europeo.
