_ di Fabio Marinello, Data Protection Officer Afea
Proteggere il dato è oggi più che mai fondamentale, soprattutto in ambito sanitario. Un incidente informatico in un servizio sanitario, infatti, può esporre le persone a conseguenze molto serie.
E proprio in tema di sicurezza informatica, nota anche come cybersecurity, entro ottobre 2024 entrerà in vigore la Direttiva NIS2, che risponde proprio al bisogno di regole condivise di sicurezza informatica nei più importanti settori dell’economia europea.
Ma come dovrà essere applicata la NIS2 in Sanità? Partiamo dal principio.
A cosa serve la Direttiva NIS2
La NIS2 parte proprio da una consapevolezza sulle marcate esigenze organizzative delle autorità pubbliche e delle società private nell’UE. Nell’ottica di tutelare il corretto funzionamento del mercato, prepara il campo con precise misure giuridiche per una trasversale applicazione di strategie di sicurezza di informazioni e infrastrutture.
L’idea generale è quella di proteggere la collettività, poiché la forte accelerazione dei processi di digitalizzazione e interconnessione dei servizi, fa sì che qualsiasi incidente, magari di effetto apparentemente limitato a una singola realtà imprenditoriale o settore, possa avere in realtà conseguenze indirette di più vasta portata.
Come si applica la NIS2 in Sanità
L’applicabilità della NIS2 dovrebbe dipendere, complessivamente:
- dal settore economico. Rispetto alla precedente direttiva, la NIS2 si applica anche a nuovi settori altamente digitalizzati, interconnessi e di importanza per l’economia e la società. In particolare, un incidente informatico all’interno di un servizio sanitario è in grado di esporre le persone a conseguenze molto serie, talvolta fatali, nella vita reale. Un esempio fra tutti gli attacchi ransomware all’AULS di Modena nel dicembre 2023. Il settore economico della Sanità rientra non a caso tra quelli essenziali nell’economia europea, ed è senza dubbio soggetto ai requisiti e agli obblighi derivanti dalla direttiva. Fino a qui, niente di nuovo. Può essere tuttavia importante sottolineare che, rispetto al passato (la prima NIS), l’ambito di applicazione della NIS2 in Sanità è stato ampliato per coprire una gamma più completa di soggetti, tra cui compaiono ora anche i produttori di dispositivi medici, dispositivi medico-diagnostici in vitro, dispositivi medici critici nelle emergenze sanitarie pubbliche, dispositivi indossabili, soluzioni di telemedicina e software classificati come dispositivi medici.
- dalla dimensione dell’organizzazione. I requisiti della NIS2 si applicheranno solo a organizzazioni con almeno 50 dipendenti o con fatturato superiore a 10 milioni di euro. Restano quindi escluse solo le piccole organizzazioni del settore sanitario.
Attenzione, però, perché la nuova direttiva aggiunge e contempla il rischio degli attacchi alla supply chain, imponendo un maggior controllo sulla sicurezza delle catene di approvvigionamento. Ciò significa che tutte le aziende – anche piccole – che fornissero servizi a soggetti tenuti all’applicazione dei requisiti della NIS2, potrebbero essere in qualche misura coinvolte o, in ogni caso, interessate a mantenere un elevato standard di sicurezza delle informazioni per soddisfare i crescenti standard imposti dai clienti.
Cybersecurity: le sfide del settore sanitario
Risulta chiara, quindi, soprattutto per chi opera nel settore sanitario l’esigenza di tutelare la continuità dei servizi allo scopo di proteggere la collettività. La sfida, d’altronde, non è banale. Le organizzazioni sanitarie e le rispettive infrastrutture presentano infatti una serie di caratteristiche, vulnerabilità, o comunque importanti ostacoli alla sicurezza delle informazioni.
- Frammentazione e interconnessione
I flussi di informazioni gestiti dai servizi del settore sanitario sono caratterizzati da un’elevata frammentazione. Complici anche il progresso tecnologico (che sta portando la medicina sempre più “fuori dagli ospedali”) e le molteplici specializzazioni su diverse branche, il mondo dell’healthcare è popolato da molteplici soggetti che utilizzano sistemi, strumenti, tecnologie anche molto diverse tra loro. In un contesto così variegato, può essere molto difficile stabilire e/o adeguarsi a misure di sicurezza coerenti. Al contempo, per questi numerosi servizi è sempre più forte la spinta all’interconnettività e all’interoperabilità. Che tuttavia, a loro volta, possono contribuire ad aumentare i rischi di incidenti informatici, in particolare per le conseguenze a catena derivanti magari anche da un singolo attacco, che potrebbe diffondersi ove non siano state adottate efficaci misure contro la propagazione delle minacce.
- Gestione di informazioni sensibili
Strutture e organizzazioni sanitarie, nonché produttori di dispositivi o fornitori che partecipano alla filiera dei servizi di cura, gestiscono, ovviamente, molti dati sensibili, dati di salute, dati biometrici, talvolta dati genetici. Queste classi di informazioni sono contraddistinte da un elevato valore – banalmente, economico – nell’ambiente della criminalità organizzata. Per un criminale informatico, esfiltrare dati di salute può essere, insomma, molto remunerativo. Rivendendo quelle informazioni nel dark web. O nella consapevolezza che sono un’importante merce su cui fare leva in occasione di una richiesta di riscatto.
- Tecnologia obsoleta, scarsità di risorse e consapevolezza
I dispositivi e la strumentazione utilizzati all’interno di servizi sanitari possono essere estremamente costosi, e difficilmente un’organizzazione potrà utilizzare tutta e solo tecnologia di ultima generazione. Nell’insieme degli asset, potranno facilmente figurare sistemi e tecnologie obsolete, più vulnerabili ai cyberattacchi. La competenza di professionisti della sicurezza informatica potrebbe in qualche modo compensare i limiti tecnologici. Tuttavia, un’ancora troppo poco diffusa cultura generale in materia di cybersecurity e un ridotto impegno del management, si traducono spesso in budget minimi dedicati alla cybersecurity, a personale IT sottorappresentato, e complessivamente a un elevato rischio di errore umano e di vulnerabilità agli attacchi.
Implicazioni generali della NIS2 in Sanità
Si discutono e si sperimentano, ormai, sistemi di intelligenza artificiale a supporto dei servizi di diagnosi e cura, soluzioni che sfruttano la realtà aumentata per supportare l’attività dei professionisti, sistemi di telemedicina, tracker sanitari per l’acquisizione di dati di salute in tempo reale, sempre più sofisticati metodi e strumenti di imaging, robotica, nanotecnologie, ecc. Il mondo della salute è, ragionevolmente, tra quelli più toccati dal progresso tecnologico e tra quelli per cui la digitalizzazione avanza le proposte più affascinanti e promettenti.
Ma affidarsi alla tecnologia, specialmente in Sanità, impone consapevolezza e responsabilità. Scegliendo un approccio moderno, data-driven, non si può ignorare che i dati raccontano anche una realtà di crescente, costante, guerra informatica. Dirigere un servizio sanitario, al giorno d’oggi, significa impegnarsi ad alzare le difese contro quegli attacchi a cui inevitabilmente ci si esporrà. Significa comprendere che la sola e “semplice” gestione di informazioni di salute, va svolta con lo stesso senso di responsabilità con cui si impugnerà il bisturi durante l’intervento. Che gli errori possono costare molto cari. Che non si può essere professionisti sanitari senza una corretta alfabetizzazione digitale e tecnologica.
Tutto il tema della compliance – dalla privacy alla security – è però spesso ancora percepito da molti come uno spreco di tempo e risorse, come un ostacolo alle reali priorità, che ha il solo effetto di costringere ad aumentare i costi dell’assistenza sanitaria. Se ci si allontana dall’idea di compliance come imposizione burocratica, e si tenta di adottare un approccio realistico e sostanziale, può essere però un’occasione di miglioramento. L’impatto della NIS2 andrebbe visto e accolto in questo senso. Forse servirà del tempo, ma la speranza è che possa stimolare a una migliore governance, a una maggiore sicurezza, a una più efficace protezione dei dati dei pazienti. E, sul lungo periodo, a infondere maggiore fiducia – innanzitutto, da parte dei pazienti – per i servizi sanitari digitali.
Attenzione alle sanzioni
Tra le ragioni della Commissione Europea, si legge che nell’applicazione delle norme legate alla NIS, da parte degli Stati dell’UE, vi è stata una generale riluttanza ad applicare sanzioni per misure di sicurezza informatica carente o mancata segnalazione. La NIS2 ha introdotto così dei livelli minimi di sanzione, che potranno comprendere: istruzioni vincolanti, ordini (es. sull’implementazione di misure di sicurezza obbligatorie o sull’attuazione delle raccomandazioni di un audit) e sanzioni amministrative pecuniarie.
La distinzione tra soggetti essenziali e importanti si ripercuoterà sui livelli di sanzione. Al recepimento della direttiva, ogni stato dovrà prevedere:
- soggetti essenziali: sanzione pecuniaria massima di (almeno) 10 milioni di euro o il 2% del fatturato totale annuo mondiale.
- soggetti importanti: sanzione pecuniaria massima di (almeno) 7 milioni di euro o l’1,4 % del fatturato totale annuo mondiale.
Attenzione, infine, anche alla possibilità di nuove disposizioni sulla responsabilità, non solo dell’azienda, ma anche delle persone fisiche che detengono posizioni dirigenziali nelle organizzazioni toccate dalla NIS2.
Infine, un ultimo monito va alle organizzazioni che a una prima analisi ritenessero di non essere “impattate” dalla NIS2. Tale giudizio non sia affrettato: come dicevamo, anche imprese di piccole dimensioni potrebbero vedersi imposti maggiori controlli di sicurezza. O incontrare nuove regole di sicurezza stabilite, se non dalla legge, almeno dal mercato. E dopotutto, la sicurezza delle informazioni ha dimostrato di pretendere standard minimi in regolare crescita. Confermando la chiara intenzione delle autorità europee di sensibilizzare sempre più realtà e ampliare gradualmente il campo di applicazione delle regole di cybersecurity. Si consideri, infine, l’opportunità piuttosto che l’onere: muoversi all’interno del mercato digitale odierno senza le giuste difese significherebbe affidarsi ciecamente alla fortuna. Meglio aiutarsi, invece, con molta strategia.
