Conformità NIS2 per il settore sanitario

I sistemi sanitari dipendono fortemente dalle tecnologie digitali per erogare cure ai pazienti, gestire le cartelle cliniche, far funzionare apparecchiature diagnostiche e coordinare i servizi di sanità pubblica. Con l'aumentare dell'interconnessione tra ospedali e operatori sanitari, il rischio che incidenti informatici possano compromettere la sicurezza dei pazienti e la continuità dei servizi è cresciuto.

La Direttiva NIS2 stabilisce obblighi di cybersicurezza a livello UE per le entità essenziali e importanti e amplia significativamente l'ambito del quadro NIS originario. La conformità a NIS2 per il settore sanitario riflette l'importanza sociale critica dei servizi sanitari e la necessità di proteggere dati medici e operativi sensibili.

La Direttiva si applica alle organizzazioni di medie e grandi dimensioni che operano nei settori designati, incluso quello sanitario. Molte PMI possono cadere nell'ambito di applicazione se soddisfano le soglie dimensionali o forniscono servizi sanitari critici.

Se la vostra organizzazione opera nel settore sanitario, potreste rientrare in NIS2 come Entità essenziale o Entità importante.

Il settore sanitario è classificato come:

Allegato rilevante: Allegato I (Entità essenziali)

• Entità essenziale ai sensi dell'Allegato I

• Fornitori di assistenza sanitaria come definiti nella normativa sanitaria dell'UE
• Laboratori di riferimento dell'UE
• Entità che svolgono attività di ricerca e sviluppo di prodotti medicinali
• Entità che producono prodotti farmaceutici di base e preparazioni farmaceutiche
• Entità che producono dispositivi medici considerati critici durante un'emergenza sanitaria pubblica

Copertura del sottosettore (Allegato I – Salute):

La conformità a NIS2 per il settore sanitario si applica a:

Ospedali, cliniche private, produttori farmaceutici, produttori di dispositivi medici e alcuni enti di ricerca che soddisfano le soglie rientrano nell'ambito di applicazione.

Anche le PMI possono rientrare nel campo di applicazione se soddisfano le soglie dimensionali previste da NIS2 o se sono designate come fornitori di servizi critici. L'applicabilità di NIS2 alle PMI è particolarmente rilevante per cliniche specializzate, gestori di laboratori e enti di ricerca farmaceutica che operano su scala.

• Imprese di medie dimensioni (≥50 dipendenti e/o €10 milioni di fatturato annuo o totale di bilancio)
• Grandi imprese che superano tali soglie
• Entità designate come fornitori sanitari critici ai sensi della normativa nazionale, ove applicabile

Ai sensi dell'Articolo 21 della Direttiva NIS2, le entità sanitarie devono implementare misure tecniche e organizzative adeguate e proporzionate per gestire i rischi di cybersicurezza.

Le misure obbligatorie includono:

Per il settore sanitario, queste misure di sicurezza NIS2 devono affrontare i sistemi di cartelle cliniche elettroniche, i dispositivi medici connessi, i sistemi di laboratorio e gli ambienti di produzione farmaceutica. La protezione della tecnologia operativa (OT) nelle apparecchiature ospedaliere e negli impianti di produzione è critica.

La conformità a NIS2 per il settore sanitario richiede l'integrazione della cybersicurezza nella governance della sicurezza dei pazienti e nei processi di gestione del rischio clinico. La pianificazione della resilienza deve tenere conto della continuità dei servizi durante incidenti informatici che potrebbero interrompere l'erogazione delle cure.

• Quadro di gestione del rischio
• Procedure di gestione degli incidenti
• Continuità operativa e disaster recovery
• Sicurezza della catena di fornitura
• Sviluppo e manutenzione sicuri
• Politiche su crittografia e cifratura
• Controllo degli accessi e autenticazione a più fattori (MFA)
• Gestione delle vulnerabilità e delle patch
• Formazione sull'igiene informatica
• Uso di comunicazioni sicure

Le entità sanitarie devono rispettare i tempi di segnalazione previsti da NIS2 quando si verificano incidenti significativi.

Gli obblighi di segnalazione includono:

Le segnalazioni devono essere presentate al CSIRT nazionale o all'autorità competente.

La regola delle 24 ore prevista da NIS2 è particolarmente rilevante quando gli incidenti informatici interessano i sistemi di assistenza al paziente, la produzione farmaceutica o dispositivi medici critici. Gli incidenti che compromettono la continuità assistenziale o la disponibilità dei sistemi saranno normalmente considerati significativi.

Il mancato rispetto dei tempi di segnalazione prescritti può comportare misure di applicazione e sanzioni amministrative.

La conformità a NIS2 per il settore sanitario impone responsabilità dirette all'organo di gestione.

I principali requisiti di governance includono:

L'Articolo 21 della Direttiva NIS2 rende la cybersicurezza una responsabilità a livello dell'organo di gestione. I dirigenti ospedalieri, gli amministratori di aziende farmaceutiche e gli amministratori sanitari devono garantire che siano implementati e mantenuti controlli e misure di resilienza adeguati.

I fallimenti nella cybersicurezza in ambito sanitario possono avere conseguenze dirette per la sicurezza dei pazienti e la fiducia pubblica, rafforzando l'importanza della supervisione esecutiva.

• Approvazione delle misure di gestione del rischio informatico da parte dell'organo di gestione
• Supervisione continua dell'attuazione
• Formazione obbligatoria in materia di cybersicurezza per la direzione
• Possibile esposizione a responsabilità personale ai sensi della normativa nazionale

In quanto entità dell'Allegato I, le organizzazioni sanitarie classificate come entità essenziali sono soggette a supervisione proattiva. Le autorità competenti possono condurre audit, ispezioni e valutazioni di sicurezza informatica indipendentemente dal fatto che si sia verificato un incidente.

Le sanzioni amministrative per la non conformità sono:

Le leggi nazionali di recepimento possono dettagliare le procedure di vigilanza, ma la Direttiva stabilisce soglie minime di sanzione armonizzate tra gli Stati membri.

Data l'importanza sociale della continuità dell'assistenza sanitaria, ci si aspetta che l'applicazione sia strutturata e basata sul rischio.

• Entità essenziali: Fino a €10 milioni o il 2% del fatturato annuo mondiale totale (la cifra più elevata)

Le PMI sanitarie dovrebbero adottare un approccio strutturato alla conformità NIS2:

Una preparazione anticipata riduce il rischio di sanzioni e protegge la continuità delle cure ai pazienti.

1. Eseguire una valutazione delle lacune rispetto a NIS2
2. Mappare i servizi sanitari critici e le dipendenze digitali
3. Formalizzare un quadro documentato di gestione del rischio di cybersicurezza
4. Aggiornare e testare i piani di risposta agli incidenti e di continuità
5. Rivedere i contratti con fornitori e vendor di tecnologie mediche
6. Formare il management e i dirigenti clinici senior
7. Istituire un flusso di segnalazione 24h/72h/1 mese

Le entità sanitarie affrontano rischi specifici del settore ai sensi di NIS2:

La conformità a NIS2 per il settore sanitario è quindi sia un requisito normativo sia un imperativo per la sicurezza dei pazienti.

• Interruzione operativa: gli incidenti informatici possono interrompere i trattamenti dei pazienti e le operazioni ospedaliere.
• Esposizione alla sicurezza dei pazienti: sistemi compromessi possono influire sulle decisioni cliniche o sul funzionamento dei dispositivi.
• Compromissione della catena di fornitura: fornitori di prodotti farmaceutici e dispositivi medici introducono rischi di terze parti.
• Sanzioni regolamentari: la non conformità espone le organizzazioni a sanzioni considerevoli.
• Danno reputazionale: la fiducia pubblica nelle istituzioni sanitarie è altamente sensibile ai fallimenti di cybersicurezza.