L’applicazione della NIS2 in sanità richiede di integrare nuovi requisiti di cybersicurezza all’interno di un sistema di regole già complesso, che include GDPR, MDR, IVDR e normativa sui dati sanitari.
L’obiettivo è garantire coerenza, sicurezza e continuità dei servizi.
La Direttiva dell’Unione Europea 2555 del 2022, comunemente conosciuta come Direttiva NIS2, recepita in Italia con il Decreto Legislativo 138 del 4 settembre 2024, mira a innalzare e armonizzare il livello di cybersicurezza nell’Unione Europea e allo stesso tempo estendere la platea dei soggetti obbligati al rispetto di tale norma, in particolare nel settore sanitario.
La Direttiva non semplifica però la situazione rappresentata dalla “giungla legislativa” attuale ed è essenziale comprendere come si pone rispetto al complesso delle fonti che compongono l’ecosistema legale digitale europeo e italiano, tra cui ci sono il GDPR, l’AI Act, il Data Act e le fonti nazionali come il CAD (Codice per l’Amministrazione Digitale).
Indice degli argomenti
Il confronto tra NIS2 e Gdpr: due normative complementari
Le due normative, sebbene abbiano ratio e oggetto di tutela differenti, presentano significativi punti di contatto e sono parte di una strategia unitaria. Il GDPR si concentra sulla protezione dei dati personali e dei diritti fondamentali della persona, mentre il D.Lgs. 138/2024 si focalizza sulla resilienza e sulla sicurezza delle reti e dei sistemi informativi, garantendo l’integrità e la disponibilità dei servizi essenziali.
Entrambe le normative adottano un approccio basato sul rischio, che è dinamico e sistematico. Il GDPR impone l’adozione di misure tecniche e organizzative adeguate al rischio per la protezione dei dati personali (Art. 32), mentre la NIS2 richiede ai soggetti “essenziali” e ai soggetti “importanti” l’implementazione di misure di gestione dei rischi relative alla sicurezza delle reti, anch’esse adeguate e proporzionate. Molti adempimenti, come la cifratura, la gestione degli accessi e il controllo della catena dei fornitori (supply chain), hanno un impatto diretto sia sulla cybersicurezza sia sulla protezione dei dati personali.
La gestione della supply chain è un importante punto comune alle due norme. La NIS2 integra esplicitamente la sicurezza della catena di approvvigionamento nelle misure di sicurezza (Art. 24, comma 2, lett. d): i fornitori, che potrebbero già essere interessati dal GDPR e nominati responsabili del trattamento (Art. 32, comma 1), diventano con la NIS2 destinatari diretti di norme in materia di cybersicurezza, dovendo integrare la sicurezza nelle proprie strategie aziendali.
In caso di incidente le organizzazioni soggette a entrambe le normative devono gestire una doppia soglia di segnalazione con tempistiche molto strette e differenziate: a norma dell’art. 33 del GDPR la notifica di un data breach all’Autorità Garante della Privacy va fatta entro 72 ore dal momento in cui se ne è a conoscenza; secondo la NIS2 la notifica di incidenti significativi al CSIRT Italia va fatta con una procedura in più fasi: una pre-notifica senza ingiustificato ritardo e comunque entro 24 ore; una notifica dell’incidente senza ingiustificato ritardo e comunque entro 72 ore; una relazione intermedia (se richiesta) e una relazione finale entro un mese dalla notifica. La necessità di attivare due canali di notifica (spesso convergenti) in un lasso di tempo così ridotto impone alle organizzazioni di ridisegnare in modo più efficiente le proprie procedure interne.
Accountability e documentazione della conformità
Il principio di accountability (responsabilizzazione) del GDPR (Art. 24) è affiancato dall’obbligo NIS2 di dimostrare l’attuazione delle politiche di cybersicurezza. Le organizzazioni devono dotarsi di procedure, piani, audit e relativa documentazione con data certa per dimostrare la conformità ad entrambe le normative.
La strategia italiana: sicurezza nazionale e cybersicurezza
La strategia italiana si caratterizza per un approccio multilivello che, con la legge 90/2024 (Disposizioni in materia di rafforzamento della cybersicurezza nazionale), sovrappone le finalità europee di tutela del mercato interno con quelle nazionali di tutela della sicurezza nazionale.
La legge 90, cronologicamente antecedente al decreto di recepimento NIS2, mira alla sicurezza nazionale: questa scelta consente al Legislatore italiano di adottare atti di portata maggiore o comunque diversa rispetto alla Direttiva, estendendo gli obblighi di notifica e risoluzione delle vulnerabilità ben oltre le sole Amministrazioni centrali destinatarie iniziali della NIS2.
La legge 90 rafforza le sanzioni penali (Capo II), riflettendo l’obiettivo di tutela della sicurezza nazionale non proprio del Legislatore comunitario. Prevede, ad esempio, nuove fattispecie di reato (come l’estorsione informatica) e modifiche al Codice di procedura penale che equiparano le intercettazioni per crimini informatici a quelle previste per la criminalità organizzata. Inoltre innalza le sanzioni pecuniarie per la responsabilità amministrativa degli enti collettivi (D.Lgs. 231/01) in caso di reati informatici.
Il D.Lgs. 138/2024, nel recepire la NIS2, afferma esplicitamente (Art. 4) la propria visione spiccatamente orientata alla sicurezza nazionale, stabilendo che il decreto non deve intaccare la responsabilità dello Stato italiano in tale ambito. Questo fa convivere nello stesso atto le due anime della cybersicurezza: quella comunitaria (mercato unico) e quella protezionistica (sicurezza nazionale), sebbene con un rischio di duplicazione e sovrapposizione degli adempimenti in capo ai soggetti vigilati.
L’Intersezione con l’ecosistema normativo sanitario e digitale europeo
A livello di Unione Europea sono numerosi i regolamenti che si sovrappongono in parte o in tutto, in misura pratica o teorica, alla NIS2, come ad esempio l’MDR (Medical Device Regulation), l’IVDR (In Vitro Diagnostic medical Device Regulation), il Data Act, l’AI Act e l’EHDS (European Health Data Space).
Data act e condivisione sicura dei dati sanitari
Il Data Act, applicabile da settembre 2025, mira a garantire accesso equo e utilizzo dei dati generati dai prodotti connessi in rete, mentre la NIS2 si focalizza sulla sicurezza dell’infrastruttura. La sfida principale è che l’obbligo di condividere i dati (Data Act) potrebbe ampliare la superficie di attacco se non gestito con adeguate misure di sicurezza (NIS2) perché i dispositivi medici connessi devono simultaneamente garantire elevati standard NIS2 e rendere accessibili i dati generati all’utente e alle terze parti autorizzate.
La NIS2 gestisce i rischi dei fornitori diretti, ma il Data Act espande la catena di approvvigionamento, aggiungendo al concetto tradizionale i destinatari dei dati designati dagli utenti/pazienti. Gli enti sanitari dovranno gestire i rischi associati alla condivisione dei dati con pazienti, altre strutture e fornitori terzi di servizi analitici.
La gestione delle emergenze tra NIS2 e Data Act
Un attacco informatico grave a un gruppo ospedaliero potrebbe attivare, oltre agli obblighi di notifica NIS2 (24/72 ore), anche meccanismi di condivisione dati previsti dal Data Act per la gestione di emergenze pubbliche.
Intelligenza artificiale e cybersicurezza: l’integrazione con AI Act
L’AI Act (Regolamento UE 2024/1689) prevede un approccio basato sul rischio come la NIS2, ma con una focalizzazione diversa. La NIS2 si concentra sulla protezione dell’infrastruttura IT, mentre l’AI Act si focalizza sui rischi specifici dei sistemi di Intelligenza Artificiale (IA) (ad esempio bias, allucinazioni, manipolazione del prompt, …). Le organizzazioni sanitarie devono integrare queste dimensioni, analizzando come un attacco informatico possa compromettere un sistema IA e, viceversa, come un sistema IA vulnerabile possa minacciare la cybersicurezza.
Per quanto riguarda la supply chain la NIS2 impone la valutazione dei rischi informatici legati ai fornitori, mentre l’AI Act richiede garanzie sulla conformità e sicurezza dei sistemi IA acquisiti come la marcatura CE e un’opportuna documentazione tecnica.
Entrambe le normative attribuiscono responsabilità al vertice aziendale: la NIS2 richiede l’approvazione e la supervisione delle misure di sicurezza da parte degli organi di amministrazione (Art. 23), mentre l’AI Act richiede l’alfabetizzazione AI e un’adeguata governance dei sistemi. In sanità la conformità integrata richiede l’ampliamento dell’analisi dei rischi per includere vulnerabilità specifiche dei sistemi IA clinici (ad esempio il data poisoning dei modelli).
EHDS e EDS: lo spazio europeo dei dati sanitari
L’EHDS (Reg. UE 2025/327) e l’EDS (Ecosistema Dati Sanitari) sono convergenti con la NIS2 nello scopo di digitalizzare in modo sicuro il settore della sanità. L’EHDS è in vigore dal 26 marzo 2025 e si focalizza sulla creazione di uno spazio comune per i dati sanitari, promuovendo l’uso primario (assistenza transnazionale) e secondario (ricerca, innovazione) dei dati. La timeline di applicazione ed efficacia è complessa e con obiettivi articolati nel tempo (dal 2025 fino al 2034). Mentre la NIS2 stabilisce requisiti di cybersicurezza per le infrastrutture critiche, l’EHDS richiede standard di sicurezza specifici per i sistemi EHR (Electronic Health Record). Ne consegue che un approccio integrato è essenziale per l’efficienza.
L’Ecosistema dei Dati Sanitari italiano, istituito con il DM del 31 dicembre 2024 e che sarà pienamente operativo entro il 2026, è uno strumento strategico per la raccolta e l’analisi dei dati sanitari, alimentato principalmente dal Fascicolo Sanitario Elettronico (FSE). L’EDS prevede già tecniche avanzate di pseudonimizzazione e anonimizzazione, a cui si deve aggiungere l’adozione di politiche e di prassi di sicurezza informatica come previsto dalla NIS2.
Dalle misure Agid agli standard ACN
Infine ricordiamo che le misure di sicurezza minime richieste da AGID nel Codice per l’Amministrazione Digitale (CAD) sono ancora in vigore, ma le specifiche di base per l’adempimento agli obblighi NIS2, come delineate nella Determina dell’Autorità per la Cybersicurezza Nazionale (ACN) 164179 del 14 aprile 2025, evidenziano un significativo salto di qualità in termini di rigore e dettaglio. In sostanza le misure ACN, strutturate in 16 categorie, sono progettate per garantire un livello di sicurezza più robusto e completo delle misure precedenti e si possono considerare come un ampliamento delle misure AGID.
Governance e responsabilità del management
La NIS2 spinge verso un modello di gestione della sicurezza più integrato, proattivo e strutturato, che coinvolge tecnologia, processi e persone. La governance della cybersicurezza è fondamentale e richiede l’integrazione con altre funzioni aziendali come la gestione del rischio, la gestione della supply chain, la gestione degli incidenti e la continuità operativa.
Il management non può delegare completamente la responsabilità della cybersicurezza dato che l’articolo 23 attribuisce la responsabilità della cybersicurezza agli organi di amministrazione, richiedendo loro di approvare le misure di gestione del rischio di cybersicurezza e di supervisionare la loro attuazione. Inoltre la NIS2 enfatizza l’inclusione degli organi di amministrazione e direttivi nella formazione sulla cybersicurezza e nella supervisione delle misure previste dalla norma stessa, una posizione che va ben oltre la generica “Formazione e consapevolezza del personale” delle precedentemente citate misure AGID e che coinvolge in maniera essenziale l’alta direzione delle aziende.
Policy di sicurezza e gestione del rischio strategico
La predisposizione di procedure e policy chiare e documentate è centrale alla corretta applicazione della Direttiva NIS2. Ad esempio la policy di sicurezza deve definire lo scopo e l’ambito di applicazione (personale interno, fornitori, pazienti), e utilizzare un glossario chiaro per evitare ambiguità, specialmente nel settore sanitario dove convivono linguaggi tecnici diversi. I principi guida devono orientare le decisioni, come il primato della sicurezza del paziente.
La NIS2 eleva la gestione del rischio a livello strategico, richiedendo la definizione e documentazione di un piano approvato dagli organi amministrativi ed esecutivi. Le valutazioni del rischio devono essere eseguite a intervalli pianificati (almeno ogni due anni) e in risposta a incidenti o cambiamenti significativi.
Risk assessment e documentazione dei rischi
L’analisi e la valutazione del rischio devono essere rigorose e devono includere un approccio integrato con i requisiti del GDPR, del MDR/IVDR e dell’AI Act. Il processo di Risk Assessment deve essere supportato da una documentazione che diventa fondamentale in ottica di accountability e deve produrre un registro dei rischi, cioè un documento contenente l’elenco dei rischi identificati, con asset, processi, minacce, vulnerabilità, valutazione di probabilità e impatto, stato delle misure esistenti e pianificate, e owner del rischio; deve concludersi con un rapporto di Risk Assessment, ovvero un documento di sintesi che include la metodologia utilizzata (come la ISO 27005 o la NIST RMF), il perimetro considerato, l’analisi del rischio e la sua valutazione.
La gestione della supply chain sanitaria
Dato che ospedali, cliniche, servizi territoriali, fornitori tecnologici e enti regolatori costituiscono un sistema interconnesso, ne segue che un altro tema fondamentale per il settore sanitario è quello della supply chain, che per la Direttiva va oltre i fornitori ICT diretti per comprendere tutti i fornitori critici. La NIS2 richiede l’adozione di misure per la sicurezza della catena di approvvigionamento, compresi gli strumenti, i servizi e la componente in cloud.
La fase di approvvigionamento di dispositivi medici e soluzioni IT medicali è cruciale per definire il perimetro di responsabilità del fornitore e il livello di rischio accettabile. I dispositivi medici presentano una peculiarità di gestione legata alla necessità di non inficiare il processo di certificazione e alla difficoltà di garantire l’aggiornamento continuo delle componenti. L’applicazione della NIS2 richiede l’integrazione con l’MDR e l’IVDR e l’utilizzo di documentazione come la MDS2 (Manufacturer Disclosure Statement for medical device security) per la valutazione.
Incident response e continuità operativa
Un altro aspetto procedurale fondamentale è la risposta agli incidenti: la crescita delle minacce cyber rende la gestione degli incidenti sempre più complessa e articolata. L’obbligo di notifica a due livelli (ACN/CSIRT e Garante) richiede che le organizzazioni definiscano procedure opportune e un piano di risposta (Incident Response Plan). A questo va aggiunta la gestione della continuità operativa che non può limitarsi alle singole strutture, ma deve estendersi all’intera rete sanitaria. La gestione della Business Continuity (BC) e del Disaster Recovery (DR) è strategica e deve essere integrata nell’analisi del rischio. Devono essere definiti gli obiettivi di RPO (Recovery Point Objective) e RTO (Recovery Time Objective) ed è cruciale che gli asset critici (come ad esempio i dati clinici e i dispositivi medici) siano protetti da soluzioni appropriate.
Formazione continua come strumento strategico
L’ultimo tema organizzativo importante è la formazione: è chiaro che l’educazione e la formazione sono un’arma strategica importantissima per la cybersicurezza in sanità e la NIS2 rende la formazione continua un obbligo esplicito per i soggetti interessati, coinvolgendo sia il personale operativo sia gli organi di amministrazione e direttivi. I programmi formativi devono includere al minimo la capacità di riconoscere e-mail sospette, l’importanza della crittografia, la Data Governance e il GDPR, e le minacce specifiche per i dispositivi medici. La formazione assume poi un’importanza maggiore in sanità, dato che il settore sanitario mostra una carenza di vera e propria educazione alla cybersicurezza, che lo rende più vulnerabile a certi tipi di attacchi.
Backup, disaster recovery e gestione delle vulnerabilità
Per finire presentiamo alcune brevi considerazioni prettamente tecniche che sono desumibili dalla lettura della Direttiva NIS2, la quale, in modo analogo a quanto già successo con il GDPR, non ha come scopo principale quello di dare indicazione tecniche concrete, probabilmente nella consapevolezza della velocità di cambiamento e della continua nascita di novità nel mondo delle tecnologie informatiche; la Direttiva infatti si concentra più su processi, procedure, ruoli, formazione e così via.
A livello italiano l’ACN ha voluto fornire delle linee guida che facessero da complemento alla Direttiva, pubblicando una determina (la già citata 164179 del 14 aprile 2025) che è ricca di indicazioni tecniche anche molto specifiche. Cerchiamo però di illustrare ed analizzare quelle indicazioni tecniche più basilari e già ricavabili dalla Direttiva e non quelle più complete e complesse della determina ACN.
Backup e Disaster Recovery
Lo scopo principale di un sistema di backup e di disaster recovery è la protezione dei dati. In sostanza, crea copie di sicurezza dei dati per poterli ripristinare in caso di perdita o corruzione dei file originali. La Direttiva prescrive sia la presenza di un sistema di backup sia di una gestione di recupero dal disastro mediante il recupero dei dati salvati (il piano di DR).
Gestione delle Vulnerabilità (Vulnerability Management)
La gestione delle vulnerabilità è un processo continuo e proattivo. È necessario implementare un programma di Vulnerability Management che utilizzi strumenti e standard riconosciuti come CVSS (Common Vulnerability Scoring System) e EPSS (Exploit Prediction Scoring System). La Direttiva incoraggia la Coordinated Vulnerability Disclosure (CVD), che è il processo strutturato per identificare, notificare e mitigare le vulnerabilità in collaborazione con i fornitori di software.
Controlli degli Accessi
La NIS2 incoraggia l’adozione di un modello Zero Trust, dove la gestione degli accessi è un elemento chiave che va declinato almeno in tre componenti:
● IAM (Identity and Access Management), gestione centrale delle identità e degli accessi degli utenti.
● PAM (Privileged Access Management), gestione degli account privilegiati, limitando l’accesso solo quando strettamente necessario, riducendo il rischio di compromissione sistemica.
● MFA (Multi Factor Authentication), l’autenticazione a più fattori è una misura fondamentale per rafforzare la sicurezza degli accessi remoti e privilegiati, obbligatoria per tutti gli account con privilegi amministrativi.
Crittografia e Segmentazione della Rete
la NIS2 impone l’uso della crittografia come misura di sicurezza, sia per i dati “a riposo” (cioè contenuti in file, database, ecc) sia per quelli “in transito” (ovvero che si spostano da un punto all’altro della rete locale o geografica). La norma tecnica ISO 27799 può essere considerata funzionale alla NIS2, aggiungendo misure di sicurezza come la segmentazione della rete. La microsegmentazione è un approccio moderno che va oltre la difesa del perimetro, creando un ambiente “zero trust” all’interno della rete, per proteggere aree con differente funzionalità e ridurre drasticamente la portata di potenziali attacchi.
Le sfide per un sistema sanitario digitale resiliente
La Direttiva NIS2 rappresenta un’opportunità ma anche una sfida complessa per il settore sanitario. Richiede un’integrazione di conformità che tenga conto simultaneamente anche di altre normative come il GDPR, l’MDR, l’IVDR, l’AI Act, il Data Act e la normativa dell’EHDS.
Per una corretta applicazione della Direttiva nel settore sanitario, eterogeneo e spesso carente di risorse e pratiche adeguate, è fondamentale:
● Sviluppare linee guida che tengano conto delle sfide uniche del settore.
● Rafforzare la cultura della cybersicurezza con campagne di sensibilizzazione e formazione.
● Chiarire l’interazione e le sinergie tra le diverse Direttive e Regolamenti.
● Adottare un approccio di risk management unificato che abbracci l’intero ciclo di vita del dato e dell’infrastruttura, garantendo la sicurezza del paziente e la continuità delle cure essenziali.
La conformità alla NIS2 non è solo un obbligo legale, ma un passo essenziale per rafforzare la fiducia nella sanità digitale europea e assicurare la resilienza operativa dell’intero sistema.
