A seguito della forte digitalizzazione è essenziale che anche il settore sanitario sia difeso dalle numerose e pericolose minacce cyber che mettono in pericolo sistemi e privacy. Per questo motivo, la Commissione Europea ha presentato, il 15 gennaio, un piano d’azione volto a rafforzare la cybersicurezza del settore sanitario. Tale piano d’azione è stato annunciato dalla presidente Ursula von der Leyen come una priorità fondamentale entro i primi cento giorni del nuovo mandato.
Misure di cybersicurezza urgenti per il settore sanitario
La ragione di questa scelta discende dal fatto che la digitalizzazione a tappe forzate di tutta la società sta portando anche una notevole rivoluzione nell’assistenza sanitaria, consentendo di offrire servizi migliori ai pazienti attraverso innovazioni quali il fascicolo elettronico, la telemedicina e la diagnostica basate sull’intelligenza artificiale. Tuttavia, gli attacchi informatici possono interferire con le procedure mediche, creare ingorghi nei pronto soccorso e interrompere i servizi vitali che, nei casi più gravi, potrebbero avere un impatto diretto sulla vita degli europei. Solo nel 2023 gli Stati membri hanno segnalato 309 incidenti significativi di cybersicurezza che hanno colpito il settore sanitario, più che in qualsiasi altro settore critico.
L’Agenzia per la cybersicurezza nazionale sin dai suoi esordi si è occupata di garantire la resilienza delle strutture sanitarie attraverso una serie di azioni, intervenendo anche direttamente per ripristinarne i servizi di oncologia, radiologia, Cup e pronto soccorso. Consapevoli dell’importanza della protezione dei dati sanitari e del ruolo cruciale degli operatori del settore nel garantire la loro sicurezza, il Servizio Operazioni e gestione delle crisi cyber di ACN ha realizzato dei report specifici sul tema della protezione delle strutture medico-sanitarie che è stato presentato in Regione Lazio e Regione Lombardia alla presenza dei vertici istituzionali.
Le priorità del piano d’azione
Adesso il piano d’azione europeo propone che l’ENISA, istituisca un centro paneuropeo di sostegno alla cybersecurity per gli ospedali e i prestatori di assistenza sanitaria, fornendo loro strumenti, servizi e formazione su misura. L’iniziativa si basa sul più ampio quadro dell’UE per rafforzare la cibersicurezza in tutte le infrastrutture critiche del sistema sanitario e segna la prima iniziativa settoriale specifica per attuare l’intera gamma di misure dell’UE in materia di cibersicurezza.
Il piano d’azione si concentra su quattro priorità:
- Prevenzione rafforzata. Il piano contribuisce a sviluppare le capacità del settore sanitario di prevenire gli incidenti di cybersicurezza attraverso misure di prevenzione rafforzate. Gli Stati membri possono anche introdurre buoni per la cybersicurezza per fornire assistenza finanziaria agli ospedali e ai prestatori di assistenza sanitaria di micro, piccole e medie dimensioni. L’UE svilupperà iniziative formative in materia di cybersicurezza per gli operatori sanitari.
- Migliorare l’individuazione e l’identificazione delle minacce. Il Centro di sostegno alla cibersicurezza per il settore sanitario svilupperà un servizio di allerta rapida sulle potenziali minacce informatiche entro il 2026.
- Risposta agli attacchi informatici per ridurre al minimo l’impatto. Il piano propone un servizio di risposta rapida per il settore sanitario nell’ambito della riserva dell’UE per la cybersicurezza. Nell’ambito del piano, possono svolgersi esercitazioni nazionali di cibersicurezza insieme allo sviluppo di manuali per guidare le organizzazioni sanitarie a rispondere a specifiche minacce alla cibersicurezza, compreso il ransomware.
- Deterrenza: Proteggere i sistemi sanitari europei dissuadendo gli attori delle minacce informatiche dall’attaccarli compresa l’eventuale risposta diplomatica congiunta dell’UE alle attività informatiche dolose.
Il piano d’azione, che prevede anche una consultazione pubblica, è l’inizio di un processo volto a migliorare la cibersicurezza nel settore sanitario. I risultati della consultazione confluiranno in ulteriori raccomandazioni entro la fine dell’anno.