L’Europa vara una legge per la cybersecurity degli ospedali

La Commissione Europea ha presentato un piano d’azione per rafforzare la cybersecurity degli ospedali e dei fornitori di servizi sanitari, rispondendo all’aumento degli attacchi informatici, in particolare quelli di tipo ransomware, che colpiscono con maggiore intensità il settore medico. L’introduzione della digitalizzazione, se da un lato ha migliorato l’efficienza dei sistemi sanitari, dall’altro ha portato a un’esposizione sempre maggiore ai rischi digitali. L’adozione di tecnologie avanzate come la cartella clinica elettronica, la telemedicina e le diagnosi assistite dall’intelligenza artificiale ha inevitabilmente ampliato la superficie di attacco dei programmi informatici, rendendo il settore particolarmente vulnerabile.

Gli attacchi digitali contro gli ospedali

La cybersecurity nel settore sanitario è diventata una priorità assoluta, soprattutto alla luce degli incidenti registrati negli ultimi anni. Tra gennaio 2021 e marzo 2023, infatti, il 53% degli attacchi informatici che hanno colpito il settore sanitario europeo ha riguardato i fornitori di assistenza sanitaria, mentre il 42% ha colpito direttamente gli ospedali. Questi attacchi non solo minacciano la privacy e la sicurezza dei dati sensibili dei pazienti, ma hanno anche un impatto devastante sui servizi sanitari: ritardi nelle procedure mediche, congestione nei pronto soccorso, interruzione dei servizi vitali e, nei casi più gravi, il rischio di compromettere la vita dei pazienti.

Un piano ambizioso per proteggere il sistema sanitario europeo

Il nuovo piano d’azione fa parte di un pacchetto di misure annunciato dalla Commissione Europea come priorità e si concentra su quattro aree fondamentali: prevenzione, rilevamento, risposta e deterrenza. Primo elemento centrale di questa iniziativa è la creazione di un nuovo Centro di Supporto alla Cybersecurity per il settore sanitario, che sarà gestito dall’Agenzia Europea per la Cybersecurity (ENISA). Questo dipartimento avrà il compito di fornire alle strutture sanitarie gli strumenti necessari per difendersi dalle minacce informatiche, offrendo formazione, supporto tecnico e consulenze personalizzate. Inoltre, sarà sviluppato un servizio di allerta precoce che, entro il 2026, permetterà di monitorare le minacce informatiche a livello europeo, avvisando le strutture sanitarie in tempo quasi reale sui potenziali attacchi.

Cybersecurity per la resilienza

Saranno anche introdotti voucher di cybersecurity, strumenti finanziari destinati a supportare i piccoli ospedali e le strutture sanitarie di dimensioni ridotte nell’adozione di misure di sicurezza informatica. Oltre a questi interventi, il piano prevede l’implementazione di playbook di risposta agli incidenti per fornire linee guida chiare su come gestire le minacce informatiche, in particolare gli attacchi ransomware che continuano a rappresentare una minaccia crescente. Parallelamente, il piano si lega al più ampio Spazio Europeo dei Dati Sanitari, che promuove la condivisione sicura delle informazioni sanitarie e garantisce ai cittadini il pieno controllo sui propri dati. La protezione delle informazioni sanitarie sensibili è un elemento fondamentale per mantenere la fiducia dei cittadini nei sistemi digitalizzati, che offrono vantaggi come la medicina personalizzata e il monitoraggio in tempo reale dei pazienti. A tal fine, il piano d’azione si inserisce anche nel quadro normativo esistente, come la Direttiva NIS2, che mira a proteggere le infrastrutture critiche, e il Cyber Resilience Act, che stabilisce obblighi di sicurezza informatica per i prodotti che contengono elementi digitali.