Impulso per la sicurezza informatica nel settore sanitario: cos’è la Direttiva NIS 2 e come adeguarsi

Negli ultimi anni, in Europa si è assistito ad un incremento significativo delle minacce informatiche, un fenomeno che colpisce sia soggetti pubblici che privati, spesso di settori critici, la cui compromissione può avere conseguenze devastanti sulla sicurezza nazionale e la vita quotidiana dei cittadini.

Quando si parla di NIS 2 si fa riferimento alla "Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un elevato livello comune di cybersicurezza nell'Unione.

La Direttiva NIS 2 è un'evoluzione della prima normativa NIS adottata nel 2016 e rappresenta una risposta scrupolosa dell’Unione Europea alle minacce informatiche odierne. Nello specifico, ha l'obiettivo di rafforzare la resilienza dei sistemi informatici e delle reti, migliorando la sicurezza delle informazioni in vari settori, incluso il settore sanitario.

NIS 2 stabilisce requisiti più rigorosi per la gestione del rischio informatico e la segnalazione degli incidenti, amplia l'ambito di applicazione della norma includendo nuovi settori e servizi essenziali e promuove una maggiore cooperazione e condivisione di informazioni tra gli Stati membri al fine di migliorare la capacità di risposta agli incidenti a livello europeo.

Nello specifico, la direttiva si applica a soggetti pubblici e privati operanti nei settori strategici sia di grandi dimensioni, ovvero con più di 250 dipendenti, un fatturato annuo superiore a 50 milioni di euro o un bilancio annuo totale superiore a 43 milioni di euro; che di medie dimensioni con meno di 250 dipendenti, un fatturato annuo compreso tra 10 e 50 milioni di euro o un bilancio annuo totale tra 10 e 43 milioni di euro.

Questo approccio "a rete" riflette la consapevolezza che tutti i comparti sono fortemente dipendenti dalle tecnologie digitali e che questi attori, pur non operando in settori critici, possono rappresentare punti di vulnerabilità per le infrastrutture essenziali.

La Direttiva NIS 2 è entrata in vigore il 16 gennaio 2023. Tuttavia, gli Stati membri, inclusa l'Italia, hanno tempo fino al 17 ottobre 2024 per adottare e pubblicare le misure necessarie per conformarsi alla normativa e dal 18 ottobre 2024 applicare tali misure.

La Direttiva NIS 2 impone una serie di obblighi e requisiti che le organizzazioni italiane devono rispettare per garantire la sicurezza delle loro reti e dei loro sistemi informativi:

● Realizzare audit regolari per identificare potenziali vulnerabilità dei sistemi.

● Notificare tempestivamente alle autorità competenti eventuali incidenti (entro 24 ore per una prima segnalazione, 72 ore per un rapporto dettagliato ed entro un mese per una relazione finale).

● Sviluppare piani di continuità operativa per garantire che i servizi essenziali continuino a funzionare anche in caso di gravi incidenti informatici.

● Predisporre protocolli per il recupero rapido e sicuro dei sistemi compromessi.

● Collaborare con le autorità nazionali e la Computer Security Incident Response Team (CSIRT) per la gestione degli incidenti e la condivisione delle informazioni sulle minacce.

La Direttiva NIS 2 impone alle strutture sanitarie obblighi specifici in materia di sicurezza informatica, gestione dei rischi e degli incidenti, nonché la necessità di piani di continuità operativa.

Tali requisiti mirano a rafforzare la resilienza del settore sanitario di fronte alle minacce della criminalità informatica, con l’obiettivo ultimo di tutelare i dati sensibili dei pazienti e garantire la continuità dei servizi essenziali.

Secondo la direttiva europea NIS 2, le strutture sanitarie devono:

1. Adottare misure tecniche e organizzative adeguate, per gestire i rischi di sicurezza informatica a cui sono esposte.
2. Implementare controlli di sicurezza per proteggere i propri sistemi e reti informatiche.
3. Designare un responsabile per la sicurezza informatica e formare il personale.
4. Notificare prontamente agli enti competenti gli incidenti di sicurezza che possono avere un impatto sulle loro attività.

Per ridurre le minacce informatiche, le strutture sanitarie dovranno anche:

● Effettuare valutazioni regolari dei rischi informatici a cui sono esposte.

● Definire e attuare misure proporzionate per mitigare le minacce digitali identificate.

● Stabilire procedure per il rilevamento, l'analisi e la classificazione degli incidenti di sicurezza.

● Predisporre piani di risposta agli incidenti per garantire un'adeguata gestione e ripristino delle attività.

● Sviluppare e mantenere piani di continuità operativa che includano backup regolari dei dati, strategie di ripristino e test periodici per assicurare il proseguimento delle attività anche in caso di attacco informatico.

CGM STUDIO è il software web-based progettato specificamente per assicurare ai professionisti sanitari di gestire in modo efficace e sicuro le informazioni sensibili dei propri pazienti, eliminando la necessità di installazioni, backup manuali e aggiornamenti complessi.

Sempre accessibile con una semplice connessione internet, offre una sicurezza dei sistemi robusta e una continuità operativa impeccabile, minimizzando i rischi di interruzioni dei servizi sanitari essenziali.

La gestione dei dati in cloud garantisce una protezione avanzata delle informazioni sensibili dei pazienti, in conformità con le normative vigenti.

Per i professionisti sanitari affidarsi a CGM STUDIO significa limitare gli oneri amministrativi, migliorare significativamente la resilienza informatica della propria struttura e rafforzare la fiducia dei propri pazienti.