CompuGroup Medical
Synchronizing Healthcare

Scopri tutto sulla visione, la missione e le persone che danno forma a CompuGroup Medical in tutto il mondo.

Investor Relations
Eine Person tippt mit dem Finger auf ein Tablet-PC mit einer Investor-Relations-Präsentation
Carriera
CGM Global
Mehrere CGM-Flaggen

Impulso per la sicurezza informatica nel settore sanitario: cos’è la Direttiva NIS 2 e come adeguarsi

23 agosto 2024 | CompuGroup Medical Italia
Direttiva NIS 2: come le organizzazioni sanitarie in Italia devono adeguarsi.
La protezione delle infrastrutture digitali contro le minacce cibernetiche è una sfida cruciale per l'Unione Europea. La Direttiva NIS 2 (Network and Information Security) rappresenta una risposta internazionale per difendere collettivamente le reti e le informazioni. Quali sono le implicazioni per il settore sanitario e come adeguarsi alla normativa?
 

Cyber security in Europa: la necessità di una normativa congiunta

Negli ultimi anni, in Europa si è assistito ad un incremento significativo delle minacce informatiche, un fenomeno che colpisce sia soggetti pubblici che privati, spesso di settori critici, la cui compromissione può avere conseguenze devastanti sulla sicurezza nazionale e la vita quotidiana dei cittadini.

 

Direttiva NIS 2: che cos’è?

Quando si parla di NIS 2 si fa riferimento alla "Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un elevato livello comune di cybersicurezza nell'Unione.

La Direttiva NIS 2 è un'evoluzione della prima normativa NIS adottata nel 2016 e rappresenta una risposta scrupolosa dell’Unione Europea alle minacce informatiche odierne. Nello specifico, ha l'obiettivo di rafforzare la resilienza dei sistemi informatici e delle reti, migliorando la sicurezza delle informazioni in vari settori, incluso il settore sanitario.

NIS 2 stabilisce requisiti più rigorosi per la gestione del rischio informatico e la segnalazione degli incidenti, amplia l'ambito di applicazione della norma includendo nuovi settori e servizi essenziali e promuove una maggiore cooperazione e condivisione di informazioni tra gli Stati membri al fine di migliorare la capacità di risposta agli incidenti a livello europeo.

 

Qual è l’ambito di applicazione della Direttiva NIS 2?

Nello specifico, la direttiva si applica a soggetti pubblici e privati operanti nei settori strategici sia di grandi dimensioni, ovvero con più di 250 dipendenti, un fatturato annuo superiore a 50 milioni di euro o un bilancio annuo totale superiore a 43 milioni di euro; che di medie dimensioni con meno di 250 dipendenti, un fatturato annuo compreso tra 10 e 50 milioni di euro o un bilancio annuo totale tra 10 e 43 milioni di euro.

Questo approccio "a rete" riflette la consapevolezza che tutti i comparti sono fortemente dipendenti dalle tecnologie digitali e che questi attori, pur non operando in settori critici, possono rappresentare punti di vulnerabilità per le infrastrutture essenziali.

 

NIS 2 in Italia: l’entrata in vigore e gli obblighi per le aziende

La Direttiva NIS 2 è entrata in vigore il 16 gennaio 2023. Tuttavia, gli Stati membri, inclusa l'Italia, hanno tempo fino al 17 ottobre 2024 per adottare e pubblicare le misure necessarie per conformarsi alla normativa e dal 18 ottobre 2024 applicare tali misure.

Obblighi per le organizzazioni italiane

La Direttiva NIS 2 impone una serie di obblighi e requisiti che le organizzazioni italiane devono rispettare per garantire la sicurezza delle loro reti e dei loro sistemi informativi:

● Realizzare audit regolari per identificare potenziali vulnerabilità dei sistemi.

● Notificare tempestivamente alle autorità competenti eventuali incidenti (entro 24 ore per una prima segnalazione, 72 ore per un rapporto dettagliato ed entro un mese per una relazione finale).

● Sviluppare piani di continuità operativa per garantire che i servizi essenziali continuino a funzionare anche in caso di gravi incidenti informatici.

● Predisporre protocolli per il recupero rapido e sicuro dei sistemi compromessi.

● Collaborare con le autorità nazionali e la Computer Security Incident Response Team (CSIRT) per la gestione degli incidenti e la condivisione delle informazioni sulle minacce.

 

Quali sono le implicazioni della direttiva NIS 2 per il settore sanitario?

La Direttiva NIS 2 impone alle strutture sanitarie obblighi specifici in materia di sicurezza informatica, gestione dei rischi e degli incidenti, nonché la necessità di piani di continuità operativa.

Tali requisiti mirano a rafforzare la resilienza del settore sanitario di fronte alle minacce della criminalità informatica, con l’obiettivo ultimo di tutelare i dati sensibili dei pazienti e garantire la continuità dei servizi essenziali.

 

Gli obblighi di sicurezza informatica per le strutture sanitarie

Secondo la direttiva europea NIS 2, le strutture sanitarie devono:

  1. Adottare misure tecniche e organizzative adeguate, per gestire i rischi di sicurezza informatica a cui sono esposte.
  2. Implementare controlli di sicurezza per proteggere i propri sistemi e reti informatiche.
  3. Designare un responsabile per la sicurezza informatica e formare il personale.
  4. Notificare prontamente agli enti competenti gli incidenti di sicurezza che possono avere un impatto sulle loro attività.

 

I requisiti di gestione dei rischi e degli incidenti da soddisfare nel settore sanitario

Per ridurre le minacce informatiche, le strutture sanitarie dovranno anche:

● Effettuare valutazioni regolari dei rischi informatici a cui sono esposte.

● Definire e attuare misure proporzionate per mitigare le minacce digitali identificate.

● Stabilire procedure per il rilevamento, l'analisi e la classificazione degli incidenti di sicurezza.

● Predisporre piani di risposta agli incidenti per garantire un'adeguata gestione e ripristino delle attività.

● Sviluppare e mantenere piani di continuità operativa che includano backup regolari dei dati, strategie di ripristino e test periodici per assicurare il proseguimento delle attività anche in caso di attacco informatico.

 

CGM STUDIO: l’importanza di utilizzare un software in cloud sicuro

CGM STUDIO è il software web-based progettato specificamente per assicurare ai professionisti sanitari di gestire in modo efficace e sicuro le informazioni sensibili dei propri pazienti, eliminando la necessità di installazioni, backup manuali e aggiornamenti complessi.

Sempre accessibile con una semplice connessione internet, offre una sicurezza dei sistemi robusta e una continuità operativa impeccabile, minimizzando i rischi di interruzioni dei servizi sanitari essenziali.

La gestione dei dati in cloud garantisce una protezione avanzata delle informazioni sensibili dei pazienti, in conformità con le normative vigenti.

Per i professionisti sanitari affidarsi a CGM STUDIO significa limitare gli oneri amministrativi, migliorare significativamente la resilienza informatica della propria struttura e rafforzare la fiducia dei propri pazienti.