Healthcare Providers: Sanità e sicurezza, il nuovo Piano europeo
Com’è noto, oggi la sanità digitale e gli Healthcare Providers affrontano sfide sempre più complesse in tema di sicurezza informatica.
Il settore sanitario, infatti, rientra da anni tra i più colpiti da attacchi e incidenti cyber: una tendenza preoccupante, che impone di individuare soluzioni adeguate a garantire la continuità dei servizi e la protezione dei dati sensibili coinvolti.
Non stupisce, allora, che uno dei primi atti dell’Unione Europea per il 2025 sia dedicato proprio al potenziamento delle risorse a difesa delle infrastrutture sanitarie.
Il Piano d’azione europeo per sanità e Healthcare Providers: tempistiche e obiettivi
Nello scorso gennaio la Commissione ha annunciato un Piano d’azione mirato a proteggere le infrastrutture sanitarie europee dagli attacchi informatici, la cui implementazione è prevista nell’arco dei prossimi due anni.
Una prima fase di natura consultiva avrà luogo nel 2025; il risultato atteso è una serie di raccomandazioni che contribuiranno a definire organi e procedure per attuare le misure individuate entro la fine del 2026.
L’obiettivo – definito dalla Presidente von der Leyen come una priorità chiave del suo nuovo mandato, che terminerà nel 2029 – è creare un ambiente più sicuro per pazienti e professionisti sanitari, promuovendo politiche e meccanismi volti a potenziare la cybersecurity delle strutture ospedaliere nonché, più in generale, di ogni tipologia di “healthcare provider”.
Il Piano trova la propria ragion d’essere nel contesto di crescente digitalizzazione che caratterizza la sanità moderna.
Se infatti l’innovazione tecnologica ha sicuramente portato enormi benefici, ad esempio in termini di diagnostica di precisione o accesso alle cure, allo stesso tempo ha esposto il settore a nuovi e concreti rischi sul fronte della sicurezza.
A complicare il quadro contribuisce la crescente complessità dell’Healthcare Supply Chain: analogamente ad altri settori, infatti, anche nella sanità i fornitori esterni, spesso non adeguatamente protetti, rappresentano la strada più semplice attraverso cui gli attaccanti possono arrivare al cuore delle infrastrutture.
Contesto e contenuti del Piano: prevenzione dei cyber attacchi nella sanità
In merito la Commissione cita i report dell’ENISA, evidenziando come gli attacchi informatici rivolti al mondo Healthcare – la maggior parte di tipo ransomware – possano determinare serie conseguenze, che spaziano dalla perdita di dati sensibili al ritardo nella formulazione delle diagnosi; fino ad arrivare talvolta al blocco degli accessi ai servizi d’emergenza, con effetti potenzialmente letali per i pazienti.
La Direttiva NIS2, il Cyber Resilience Act (CRA) e il Cyber Solidarity Act (CSA) sono richiamati nel Piano a riprova dell’impegno verso la creazione di uno spazio digitale europeo più sicuro.
L’iniziativa della Commissione si presenta, perciò, come un ulteriore sforzo per proteggere le infrastrutture critiche comunitarie, contribuire alla creazione di un solido European Health Data Space (EHDS) e garantire i diritti delle persone entro un panorama di minacce in costante evoluzione.
A tali scopi vengono individuati quattro principali filoni d’azione:
- Enhanced Prevention. Il Piano aiuterà a rafforzare le capacità difensive del settore sanitario, fornendo linee guida e risorse (anche finanziarie) per diffondere le migliori pratiche di cybersecurity al fine di irrobustire i livelli di maturità degli operatori europei, nonché di uniformare la preparazione del personale attivo nei differenti sistemi nazionali rispetto alla prevenzione degli attacchi informatici.
- Better detection and identification of threats. Entro il 2026 si prevede l’istituzione (in seno all’ENISA) di un Cybersecurity Support Centre specificamente dedicato ad ospedali e altri fornitori di servizi sanitari, a cui spetterà la gestione di un sistema comunitario di alert sulle minacce più rilevanti per il settore.
- Response to Cyberattacks to minimise impact. Nel Piano rientra la creazione di un apposito “rapid response service” per il comparto sanitario, basato sui meccanismi di cooperazione previsti dal Cyber Solidarity Act. Inoltre, gli Stati sono incoraggiati a chiedere alle entità colpite di riportare tempestivamente gli attacchi informatici e di collaborare alle indagini svolte dalle autorità nazionali.
- Deterrence: protecting European healthcare systems. Al fine di disincentivare i cyber threat actors dai loro intenti di attacco contro il settore sanitario è raccomandato il ricorso al Cyber Diplomacy Toolbox, che prevede di mettere in campo una serie di risposte (sul piano sia diplomatico, sia penale) alle attività malevole condotte nel dominio cyber.
Prevenzione, dialogo e cooperazione: verso l’implementazione del Piano europeo
Nelle parole di Henna Virkkunen (Executive Vice-President for Tech Sovereignty, Security and Democracy) “Prevention is better than cure, so we need to prevent cyber-attacks from happening. But if they happen, we need to have everything in place to detect them and to quickly respond and recover”.
A fronte di tali obiettivi la definizione in dettaglio del Piano d’azione, così come la sua successiva implementazione, richiederà un costante dialogo e confronto con gli operatori del settore, individuati in “healthcare providers, Member States and the cybersecurity community”.
La Commissione ha dichiarato di voler istituire un Health Cybersecurity Advisory Board composto da rappresentanti di alto livello della sicurezza e della sanità, che avrà funzioni consultive per il Cybersecurity Support Centre istituito presso l’ENISA; assumendosi inoltre l’impegno di avviare quanto prima una consultazione pubblica “open to all citizens and stakeholders”.
Alla luce dei sempre più frequenti attacchi informatici rivolti al mondo Healthcare – nonché delle loro conseguenze potenzialmente devastanti per la salute, la privacy e la stessa vita dei cittadini – il Piano sembra rappresentare un positivo passo in avanti in merito all’armonizzazione e alla messa in sicurezza del settore sanitario europeo.
