La Commissione ha presentato ieri un piano d’azione dell’UE volto a rafforzare la cibersicurezza degli ospedali e dei prestatori di assistenza sanitaria. Tale piano d’azione è stato annunciato negli orientamenti politici della presidente von der Leyen come una priorità fondamentale entro i primi 100 giorni del nuovo mandato. L’iniziativa rappresenta un passo importante per proteggere il settore sanitario dalle minacce informatiche. Migliorando le capacità di rilevamento, preparazione e risposta alle minacce degli ospedali e degli operatori sanitari, creerà un ambiente più sicuro per i pazienti e gli operatori sanitari.
La digitalizzazione sta portando una rivoluzione nell’assistenza sanitaria, consentendo servizi migliori ai pazienti attraverso innovazioni come le cartelle cliniche elettroniche, la telemedicina e la diagnostica basata sull’intelligenza artificiale. Tuttavia, gli attacchi informatici possono ritardare le procedure mediche, creare ingorghi nei pronto soccorso e interrompere i servizi vitali che, nei casi più gravi, potrebbero avere un impatto diretto sulla vita degli europei. Nel 2023 gli Stati membri hanno segnalato 309 incidenti significativi di cibersicurezza che hanno colpito il settore sanitario, più che in qualsiasi altro settore critico.
Il piano d’azione propone, tra l’altro, che l’ENISA, l’agenzia dell’UE per la cibersicurezza, istituisca un centro paneuropeo di sostegno alla cibersicurezza per gli ospedali e i prestatori di assistenza sanitaria, fornendo loro orientamenti, strumenti, servizi e formazione su misura. L’iniziativa si basa sul più ampio quadro dell’UE per rafforzare la cibersicurezza in tutte le infrastrutture critiche e segna la prima iniziativa settoriale specifica per attuare l’intera gamma di misure dell’UE in materia di cibersicurezza.
In sintesi, il piano d’azione si concentra su quattro priorità:
- Prevenzione rafforzata. Il piano contribuisce a sviluppare le capacità del settore sanitario di prevenire gli incidenti di cibersicurezza attraverso misure di preparazione rafforzate, quali orientamenti sull’attuazione di pratiche critiche di cibersicurezza. In secondo luogo, gli Stati membri possono anche introdurre buoni per la cibersicurezza per fornire assistenza finanziaria agli ospedali e ai prestatori di assistenza sanitaria di micro, piccole e medie dimensioni. Infine, l’UE svilupperà anche risorse di apprendimento in materia di cibersicurezza per gli operatori sanitari.
- Migliorare l’individuazione e l’identificazione delle minacce. Il Centro di sostegno alla cibersicurezza per gli ospedali e i prestatori di assistenza sanitaria svilupperà un servizio di allarme rapido a livello dell’UE, che fornirà avvisi quasi in tempo reale sulle potenziali minacce informatiche, entro il 2026.
- Risposta agli attacchi informatici per ridurre al minimo l’impatto. Il piano propone un servizio di risposta rapida per il settore sanitario nell’ambito della riserva dell’UE per la cibersicurezza. Istituita nel regolamento sulla cibersolidarietà, la riserva fornisce servizi di risposta agli incidenti da fornitori privati di fiducia. Nell’ambito del piano, possono svolgersi esercitazioni nazionali di cibersicurezza insieme allo sviluppo di manuali per guidare le organizzazioni sanitarie a rispondere a specifiche minacce alla cibersicurezza, compreso il ransomware. Gli Stati membri sono incoraggiati a chiedere la segnalazione dei pagamenti di riscatto da parte delle entità, per poter fornire loro il sostegno di cui hanno bisogno e consentire il follow-up da parte delle autorità di contrasto.
- Deterrenza: Proteggere i sistemi sanitari europei dissuadendo gli attori delle minacce informatiche dall’attaccarli. Ciò include l’uso del pacchetto di strumenti della diplomazia informatica, una risposta diplomatica congiunta dell’UE alle attività informatiche dolose.
Il piano d’azione sarà attuato di concerto con i prestatori di assistenza sanitaria, gli Stati membri e la comunità della cibersicurezza. Per perfezionare ulteriormente le azioni più incisive in modo che i pazienti e i prestatori di assistenza sanitaria possano beneficiarne, la Commissione avvierà presto una consultazione pubblica su questo piano, aperta a tutti i cittadini e le parti interessate.
I prossimi passi
Il piano d’azione è l’inizio di un processo volto a migliorare la cibersicurezza nel settore sanitario. Azioni specifiche saranno attuate progressivamente nel 2025 e nel 2026. I risultati della consultazione confluiranno in ulteriori raccomandazioni entro la fine dell’anno.
Contesto
L’UE opera su vari fronti per promuovere la ciberresilienza e proteggere i suoi cittadini e le sue imprese dalle minacce informatiche in un’Europa sempre più digitale e connessa. Il piano d’azione risponde all’urgenza della situazione e alle minacce uniche che il settore deve affrontare. Si basa sul quadro legislativo esistente nel settore della cibersicurezza. Gli ospedali e gli altri prestatori di assistenza sanitaria sono considerati un settore ad alta criticità ai sensi della direttiva NIS2. Il quadro di cibersicurezza NIS2 funziona di pari passo con la legge sulla ciberresilienza, la prima normativa dell’UE che introduce requisiti obbligatori di cibersicurezza per i prodotti che includono elementi digitali, entrata in vigore il 10 dicembre 2024. La Commissione ha inoltre istituito un meccanismo per le emergenze di cibersicurezza nell’ambito della legge sulla cibersolidarietà, che rafforza la solidarietà e le azioni coordinate dell’UE per individuare, preparare e rispondere efficacemente alle crescenti minacce e incidenti di cibersicurezza.
Garantire un’infrastruttura digitale resiliente e sicura è essenziale per la piena diffusione dello spazio europeo dei dati sanitari, che porrà i cittadini al centro della loro assistenza sanitaria, garantendo loro il pieno controllo dei loro dati.
