Proteggere gli ospedali e gli operatori sanitari dalle crescenti minacce informatiche
La Commissione ha presentato un piano d’azione dell’UE volto a rafforzare la sicurezza informatica di ospedali e operatori sanitari . Questo piano d’azione è stato annunciato nelle linee guida politiche della Presidente von der Leyen come una priorità fondamentale entro i primi 100 giorni del nuovo mandato. L’iniziativa è un passo importante per proteggere il settore sanitario dalle minacce informatiche. Migliorando le capacità di rilevamento, preparazione e risposta alle minacce di ospedali e operatori sanitari, creerà un ambiente più sicuro e protetto per pazienti e professionisti sanitari.
La digitalizzazione sta rivoluzionando l’assistenza sanitaria, consentendo servizi migliori ai pazienti attraverso innovazioni come cartelle cliniche elettroniche, telemedicina e diagnostica basata sull’intelligenza artificiale. Tuttavia, gli attacchi informatici possono ritardare le procedure mediche, creare ingorghi nei pronto soccorso e interrompere servizi vitali che, nei casi gravi, potrebbero avere un impatto diretto sulla vita degli europei. Gli Stati membri hanno segnalato 309 incidenti significativi di sicurezza informatica che hanno interessato il settore sanitario nel 2023, più che in qualsiasi altro settore critico.
Il piano d’azione propone, tra le altre cose, che l’ENISA, l’agenzia dell’UE per la sicurezza informatica, istituisca un centro di supporto alla sicurezza informatica paneuropeo per ospedali e operatori sanitari, fornendo loro linee guida, strumenti, servizi e formazione personalizzati. L’iniziativa si basa sul più ampio quadro dell’UE per rafforzare la sicurezza informatica nelle infrastrutture critiche e segna la prima iniziativa specifica di settore a implementare l’intera gamma di misure di sicurezza informatica dell’UE.
In sintesi, il piano d’azione si concentra su quattro priorità:
- Prevenzione avanzata . Il piano aiuta a sviluppare le capacità del settore sanitario di prevenire incidenti di sicurezza informatica attraverso misure di preparazione avanzate, come linee guida sull’implementazione di pratiche di sicurezza informatica critiche. In secondo luogo, gli Stati membri possono anche introdurre Cybersecurity Voucher per fornire assistenza finanziaria a micro, piccole e medie imprese ospedaliere e operatori sanitari. Infine, l’UE svilupperà anche risorse di apprendimento sulla sicurezza informatica per i professionisti sanitari.
- Migliore rilevamento e identificazione delle minacce . Il Cybersecurity Support Centre per ospedali e operatori sanitari svilupperà un servizio di allerta precoce a livello UE, che fornirà avvisi quasi in tempo reale su potenziali minacce informatiche, entro il 2026.
- Risposta agli attacchi informatici per ridurre al minimo l’impatto . Il piano propone un servizio di risposta rapida per il settore sanitario nell’ambito della riserva per la sicurezza informatica dell’UE. Istituita nel Cyber Solidarity Act, la riserva fornisce servizi di risposta agli incidenti da fornitori di servizi privati affidabili. Come parte del piano, possono aver luogo esercitazioni nazionali di sicurezza informatica insieme allo sviluppo di manuali per guidare le organizzazioni sanitarie a rispondere a specifiche minacce alla sicurezza informatica, tra cui il ransomware. Gli Stati membri sono incoraggiati a richiedere la segnalazione dei pagamenti di riscatto da parte delle entità, per poter fornire loro il supporto di cui hanno bisogno e consentire il follow-up da parte delle autorità di contrasto.
- Deterrenza: proteggere i sistemi sanitari europei scoraggiando gli attori delle minacce informatiche dall’attaccarli. Ciò include l’uso del Cyber Diplomacy Toolbox, una risposta diplomatica congiunta dell’UE alle attività informatiche dannose.
Il piano d’azione sarà implementato di pari passo con gli operatori sanitari, gli Stati membri e la comunità della sicurezza informatica. Per perfezionare ulteriormente le azioni più impattanti in modo che pazienti e operatori sanitari possano trarne beneficio, la Commissione avvierà presto una consultazione pubblica su questo piano, aperta a tutti i cittadini e le parti interessate.
Prossimi passi
Il piano d’azione è l’inizio di un processo per migliorare la sicurezza informatica nel settore sanitario. Azioni specifiche saranno implementate progressivamente nel 2025 e nel 2026. I risultati della consultazione confluiranno in ulteriori raccomandazioni entro la fine dell’anno.
Sfondo
L’UE lavora su vari fronti per promuovere la resilienza informatica e proteggere i suoi cittadini e le sue aziende dalle minacce informatiche in un’Europa sempre più digitale e connessa. Questo piano d’azione risponde all’urgenza della situazione e alle minacce uniche che il settore deve affrontare. Si basa sul quadro legislativo esistente nel campo della sicurezza informatica. Gli ospedali e gli altri operatori sanitari sono stabiliti come un settore ad alta criticità ai sensi della direttiva NIS2. Il quadro di sicurezza informatica NIS2 funziona di pari passo con il Cyber Resilience Act , la prima legislazione dell’UE in assoluto che impone requisiti obbligatori di sicurezza informatica per i prodotti che includono elementi digitali, entrata in vigore il 10 dicembre 2024. La Commissione ha inoltre istituito un meccanismo di emergenza informatica ai sensi del Cyber Solidarity Act che rafforza la solidarietà e le azioni coordinate dell’UE per rilevare, preparare e rispondere efficacemente alle crescenti minacce e incidenti di sicurezza informatica.
Garantire un’infrastruttura digitale resiliente e sicura è essenziale per la piena implementazione dello spazio europeo dei dati sanitari , che porrà i cittadini al centro della loro assistenza sanitaria, garantendo loro il pieno controllo sui propri dati.
Per maggiori informazioni
Piano d’azione sulla sicurezza informatica degli ospedali e degli operatori sanitari
Fonte: https://ec.europa.eu/commission/presscorner/detail/en/ip_25_262
Immagine : Commissione europea