La Direttiva Nis e gli scenari futuri della Sanità

Il piano per proteggere un’infrastruttura strategica, ma ancora troppo vulnerabile, dal cyber risk

La Direttiva Nis e gli scenari futuri della Sanità

Il piano per proteggere un’infrastruttura strategica, ma ancora troppo vulnerabile, dal cyber risk

La Direttiva Europea 2016/1148, nota come Direttiva NIS (Network and Information Security) sulla sicurezza delle reti e dei sistemi d’informazione è il primo atto legislativo a livello UE in materia di sicurezza informatica. Adottata dal Parlamento europeo il 6 luglio 2016, è entrata in vigore nell'agosto 2016. Gli Stati membri hanno dovuto recepirla nelle rispettive legislazioni nazionali entro il 9 maggio 2018 e identificare gli operatori dei servizi essenziali entro il 9 novembre 2018. E l’Italia lo ha fatto con il decreto legislativo n.65/2018.

LA NIS fornisce misure legali per aumentare il livello generale di sicurezza informatica nell'UE garantendo:

  • che gli Stati membri siano adeguatamente attrezzati, tramite ad esempio, un gruppo di risposta agli incidenti in materia di sicurezza informatica (CSIRT) e un'autorità nazionale competente in materia di sicurezza IT;
  • la cooperazione strategica e lo scambio di informazioni tra gli Stati membri:
  • una cultura della sicurezza nei settori vitali per la nostra economia e la nostra società e che dipendono fortemente dalle TIC, quali energia, trasporti, acqua, banche, infrastrutture dei mercati finanziari, sanità, infrastrutture digitali e fornitori di servizi digitali (motori di ricerca, servizi di cloud computing e mercati online). Le imprese di questi settori dovranno adottare adeguate misure di sicurezza e notificare incidenti gravi all'autorità nazionale competente. 

Naturalmente, fra le infrastrutture critiche vitali per un Paese, il settore della Sanità riveste un ruolo di importanza strategica tale da assumere le caratteristiche di sicurezza nazionale. Per questo il decreto legislativo emanato in Italia si focalizza in modo particolare su misure che possano garantire l’affidabilità dei servizi in un settore in cui alla crescita esponenziale di tecnologie innovative e servizi digitalizzati troppo spesso si accompagna una scarsa implementazione di misure di sicurezza, che vanno dalla carenza di aggiornamenti alla non adeguata formazione del personale. Tutto questo rende il settore Sanità estremamente vulnerabile al cyber risk. Secondo il rapporto Clusit 2019, nel 2018 gli attacchi informatici in ambito sanitario sono aumentati del 99% rispetto al 2017. Per non parlare dei dispositivi medicali che impiegano tecnologie informatiche e sono dotati di collegamento a Internet, come i pacemaker o le pompe di insulina. Uno scenario davvero  inquietante, che, oltre ai rischi per la privacy e la salute – in qualche caso la salvezza -  delle persone, ha costi economici notevoli.

Il primo atto per l’applicazione della NIS è stato quello di individuare gli OSE (operatori di servizi essenziali), ovvero, le organizzazioni, pubbliche o private, che forniscono servizi essenziali per il settore di riferimento, come, ad esempio, ospedali e cliniche pubbliche e private.

Questi soggetti dovranno adottare, attraverso un approccio basato sulla gestione del rischio, misure tecniche e organizzative per contenere la minaccia cyber e rendere sicure le proprie reti e i sistemi informatici, assicurando la continuità dei servizi. Dovranno tenere conto degli ultimi sviluppi e prendere in considerazione i potenziali rischi dei loro sistemi, adottare misure appropriate per prevenire incidenti di sicurezza, o almeno minimizzarne l'impatto  e comunicare all'autorità competente qualsiasi incidente di sicurezza significativo.

Sarà compito delle autorità responsabili dell’attuazione della Direttiva NIS, nel caso della Sanità Ministero della Salute e Regioni, vigilare su una adeguata attuazione della Direttiva ed emanare indicazioni correttive. Sulla base di queste indicazioni verranno attuate attività di audit attraverso le quali gli OSE dovranno dimostrare di aver implementato misure di sicurezza adeguate. Eventuali non conformità e inadempienze potranno essere sanzionate con multe che vanno dai 12.000 ai 150.000 euro.

FONTE: Agenda Digitale  https://www.agendadigitale.eu/sanita/direttiva-nis-e-sanita-cosi-migliorera-la-cyber-resilienza-della-filiera/