La Commissione presenta un piano d’azione per proteggere il settore sanitario dai cyberattacchi

La Commissione ha presentato un piano d’azione europeo volto a rafforzare la sicurezza informatica degli ospedali e dei fornitori di servizi sanitari. Questo piano d'azione è stato annunciato negli orientamenti politici della Presidente von der Leyen come una priorità fondamentale nei primi cento giorni del nuovo mandato. L’iniziativa rappresenta un passo importante per proteggere il settore sanitario dalle minacce informatiche. Migliorando le capacità di rilevamento, preparazione e risposta alle minacce di ospedali e fornitori di servizi sanitari, si creerà un ambiente più sicuro e protetto per i pazienti e gli operatori sanitari.

La digitalizzazione sta rivoluzionando l’assistenza sanitaria, consentendo di fornire servizi migliori ai pazienti grazie a innovazioni come le cartelle cliniche elettroniche, la telemedicina e la diagnostica guidata dall’intelligenza artificiale. Tuttavia, i cyberattacchi possono ritardare le procedure mediche, creare blocchi nei pronto soccorso e interrompere servizi vitali che, in casi gravi, potrebbero avere un impatto diretto sulla vita dei cittadini europei. Gli Stati membri hanno segnalato 309 incidenti significativi di cybersecurity che hanno interessato il settore sanitario nel 2023, più di qualsiasi altro settore critico.

Il piano d’azione propone, tra l’altro, che l’ENISA, l’agenzia dell’UE per la sicurezza informatica, istituisca un Centro paneuropeo di sostegno alla sicurezza informatica per gli ospedali e i fornitori di servizi sanitari, fornendo loro orientamenti, strumenti, servizi e formazione su misura. L’iniziativa si basa sul più ampio quadro dell’UE per rafforzare la sicurezza informatica nelle infrastrutture critiche e segna la prima iniziativa settoriale specifica per l'impiego dell'intera gamma di misure di sicurezza informatica dell’UE.

In breve, il piano d’azione si concentra su quattro priorità:

1.   Prevenzione rafforzata. Il piano aiuta a costruire le capacità del settore sanitario di prevenire gli incidenti di cybersecurity attraverso misure di preparazione rafforzate, come ad esempio orientamenti sull'attuazione di pratiche critiche di cybersecurity. In secondo luogo, gli Stati membri potranno introdurre voucher per la cybersecurity per fornire assistenza finanziaria a ospedali e fornitori di servizi sanitari di micro, piccole e medie dimensioni. Infine, l’UE svilupperà anche risorse di apprendimento sulla cybersicurezza per gli operatori sanitari.

2.   Migliore individuazione e identificazione delle minacce. Il Centro di supporto alla sicurezza informatica per gli ospedali e i fornitori di servizi sanitari svilupperà entro il 2026 un servizio di allerta precoce a livello europeo, che fornirà avvisi quasi in tempo reale su potenziali minacce informatiche.

3.   Risposta ai cyberattacchi per ridurre al minimo l’impatto. Il piano propone un servizio di risposta rapida per il settore sanitario nell’ambito della Riserva UE per la sicurezza informatica. Istituita nel Cyber Solidarity Act, la Riserva fornisce servizi di risposta agli incidenti da parte di fornitori di servizi privati di fiducia. Nell’ambito del piano, possono essere organizzate esercitazioni nazionali di cybersecurity e lo sviluppo di playbook per guidare le organizzazioni sanitarie a rispondere a minacce specifiche di cybersecurity, tra cui il ransomware. Gli Stati membri sono incoraggiati a richiedere la segnalazione dei pagamenti di riscatto da parte degli enti, per poter fornire loro il supporto necessario e consentire il follow-up da parte delle autorità di polizia.

4.   Deterrenza. Proteggere i sistemi sanitari europei dissuadendo gli attori delle minacce informatiche dall’attaccarli. Ciò include l’uso del Cyber Diplomacy Toolbox, una risposta diplomatica congiunta dell’UE alle attività informatiche dannose.

Il piano d’azione sarà attuato in collaborazione con gli operatori sanitari, gli Stati membri e la comunità della sicurezza informatica. Per affinare ulteriormente le azioni di maggiore impatto, in modo che i pazienti e gli operatori sanitari possano beneficiarne, la Commissione avvierà presto una consultazione pubblica sul piano, aperta a tutti i cittadini e alle parti interessate.

Prossime tappe

Il piano d’azione è l’inizio di un processo volto a migliorare la sicurezza informatica nel settore sanitario. Le azioni specifiche saranno attuate progressivamente nel 2025 e nel 2026. I risultati della consultazione confluiranno in ulteriori raccomandazioni entro la fine dell’anno.

Contesto

L’UE lavora su vari fronti per promuovere la resilienza informatica e proteggere i cittadini e le imprese dalle minacce informatiche in un’Europa sempre più digitale e connessa. Il presente piano d’azione risponde all’urgenza della situazione e alle minacce uniche che il settore deve affrontare. Si basa sul quadro legislativo esistente in materia di sicurezza informatica. Gli ospedali e gli altri fornitori di servizi sanitari sono considerati un settore ad alta criticità ai sensi della direttiva NIS2. Il quadro di cybersecurity NIS2 va di pari passo con il Cyber Resilience Act, la prima normativa dell’UE che impone requisiti obbligatori di cybersecurity per i prodotti che includono elementi digitali, entrata in vigore il 10 dicembre 2024. La Commissione ha inoltre istituito un meccanismo di emergenza informatica nell'ambito dell’Atto di solidarietà informatica, che rafforza la solidarietà e le azioni coordinate dell’UE per individuare, preparare e rispondere efficacemente alle crescenti minacce e incidenti di sicurezza informatica.

Garantire un’infrastruttura digitale resiliente e sicura è essenziale per la piena realizzazione dello Spazio europeo dei dati sanitari, che metterà i cittadini al centro della loro assistenza sanitaria, garantendo loro il pieno controllo sui propri dati.

Maggiori informazioni

Piano d’azione sulla cybersicurezza di ospedali e fornitori di servizi sanitari

Domande e risposte

Scheda informativa

Redazione Europe Direct Lombardia
@ED_Lombardia