Cybersicurezza. La Commissione europea presenta un piano d’azione per proteggere il settore sanitario dagli attacchi informatici

Un piano d'azione dell'Unione europea volto a rafforzare la cybersicurezza degli ospedali e dei prestatori di assistenza sanitaria. A presentarlo oggi la Commissione europea, la cui presidente Ursula von der Leyen aveva posto questo tema come priorità fondamentale entro i primi 100 giorni del nuovo mandato. L'iniziativa rappresenta un passo importante per proteggere il settore sanitario dalle minacce informatiche. Migliorando le capacità di rilevamento, preparazione e risposta alle minacce degli ospedali e degli operatori sanitari, si punta a creare un ambiente più sicuro per i pazienti e gli operatori sanitari.

La digitalizzazione sta portando una rivoluzione nell'assistenza sanitaria, consentendo servizi migliori ai pazienti attraverso innovazioni come le cartelle cliniche elettroniche, la telemedicina e la diagnostica basata sull'intelligenza artificiale. Tuttavia - rileva la commissione - gli attacchi informatici possono ritardare le procedure mediche, creare ingorghi nei pronto soccorso e interrompere i servizi vitali che, nei casi più gravi, potrebbero avere un impatto diretto sulla vita degli europei. Nel 2023 gli Stati membri hanno segnalato 309 incidenti significativi di cybersicurezza che hanno colpito il settore sanitario, più che in qualsiasi altro settore critico.

Il piano d'azione propone, tra l'altro, che l'Enisa, l'agenzia dell'Ue per la cybersicurezza, istituisca un centro paneuropeo di sostegno alla cybersicurezza per gli ospedali e i prestatori di assistenza sanitaria, fornendo loro orientamenti, strumenti, servizi e formazione su misura. L'iniziativa si basa sul più ampio quadro dell'Ue per rafforzare la cybersicurezza in tutte le infrastrutture critiche e segna la prima iniziativa settoriale specifica per attuare l'intera gamma di misure dell'Ue in materia di cybersicurezza.

Il piano d'azione si concentra su quattro priorità:

Prevenzione rafforzata. Il piano contribuisce a sviluppare le capacità del settore sanitario di prevenire gli incidenti di cybersicurezza attraverso misure di preparazione rafforzate, quali orientamenti sull'attuazione di pratiche critiche di cybersicurezza. In secondo luogo, gli Stati membri possono anche introdurre buoni per la cybersicurezza per fornire assistenza finanziaria agli ospedali e ai prestatori di assistenza sanitaria di micro, piccole e medie dimensioni. Infine, l'UE svilupperà anche risorse di apprendimento in materia di cybersicurezza per gli operatori sanitari.
Migliorare l'individuazione e l'identificazione delle minacce. Il Centro di sostegno alla cybersicurezza per gli ospedali e i prestatori di assistenza sanitaria svilupperà un servizio di allarme rapido a livello dell'UE, che fornirà avvisi quasi in tempo reale sulle potenziali minacce informatiche, entro il 2026.
Risposta agli attacchi informatici per ridurre al minimo l'impatto. Il piano propone un servizio di risposta rapida per il settore sanitario nell'ambito della riserva dell'UE per la cybersicurezza. Istituita nel regolamento sulla cybersolidarietà, la riserva fornisce servizi di risposta agli incidenti da fornitori privati di fiducia. Nell'ambito del piano, possono svolgersi esercitazioni nazionali di cybersicurezza insieme allo sviluppo di manuali per guidare le organizzazioni sanitarie a rispondere a specifiche minacce alla cibersicurezza, compreso il ransomware. Gli Stati membri sono incoraggiati a chiedere la segnalazione dei pagamenti di riscatto da parte delle entità, per poter fornire loro il sostegno di cui hanno bisogno e consentire il follow-up da parte delle autorità di contrasto.
Deterrenza: proteggere i sistemi sanitari europei dissuadendo gli attori delle minacce informatiche dall'attaccarli. Ciò include l'uso del pacchetto di strumenti della diplomazia informatica, una risposta diplomatica congiunta dell'UE alle attività informatiche dolose.

Secondo Henna Virkkunen, Vicepresidente esecutivo per la sovranità tecnologica, la sicurezza e la democrazia, “l'assistenza sanitaria moderna ha fatto progressi incredibili attraverso la trasformazione digitale, il che ha fatto sì che i cittadini abbiano beneficiato di una migliore assistenza sanitaria. Sfortunatamente, i sistemi sanitari sono anche soggetti a incidenti e minacce alla sicurezza informatica. Ecco perché stiamo lanciando un piano d'azione per garantire che i sistemi sanitari, le istituzioni e i dispositivi medici connessi siano resilienti. Prevenire è meglio che curare, quindi dobbiamo impedire che si verifichino attacchi informatici. Ma se si verificano, dobbiamo avere tutto il necessario per rilevarli e rispondere e recuperare rapidamente”.

Il commissario per la salute Olivér Várhelyi, evidenzia che “le tecnologie digitali e le soluzioni basate sui dati sanitari hanno aperto opportunità senza pari nell'assistenza sanitaria. Consentono la medicina di precisione, il monitoraggio dei pazienti in tempo reale e una comunicazione fluida tra gli operatori sanitari oltre confine. Ma la digitalizzazione è forte solo quanto la fiducia che ispira ed è resiliente agli attacchi informatici. I pazienti devono sentirsi sicuri che le loro informazioni più sensibili siano al sicuro. Gli operatori sanitari devono avere fiducia nei sistemi che utilizzano quotidianamente per salvare vite. L'attuale piano d'azione è un passo importante verso la garanzia di tale fiducia e la salvaguardia di un ecosistema sanitario più resiliente per il futuro”.

Il piano d'azione sarà attuato di concerto con i prestatori di assistenza sanitaria, gli Stati membri e la comunità della cybersicurezza. Per perfezionare ulteriormente le azioni più incisive in modo che i pazienti e i prestatori di assistenza sanitaria possano beneficiarne, la Commissione avvierà presto una consultazione pubblica su questo piano, aperta a tutti i cittadini e le parti interessate. Azioni specifiche saranno attuate progressivamente nel 2025 e nel 2026. I risultati della consultazione confluiranno in ulteriori raccomandazioni entro la fine dell'anno.

15 gennaio 2025