DIGITALE E NORMATIVE

Cybersecurity in Sanità, dalla Nis al Gdpr: punti deboli e vantaggi

Il panorama regolatorio europeo sta mettendo a segno una serie di punti nella difesa dell’healthcare. Restano però aspetti controversi da superare, soprattutto sul fronte armonizzazione. Ecco in dettaglio gli impatti positivi dei due maggiori provvedimenti e i margini di miglioramento

27 Apr 2020
Elisabetta Biasin

Researcher Centre for IT & IP Law

Golden Power

Grazie ai regolamenti europei la cybersecurity nell’ambito della Sanità digitale risulta significativamente rafforzata. Direttiva NIS e GDPR, così come il nuovo framework sui dispositivi medici, stanno elevando i livelli di protezione dei sistemi di healthcare su tutto il territorio Ue. Pur avendo acquisito maggiore compiutezza il livello di armonizzazione tra Stati membri mostra ancora ipotesi di criticità. L’analisi del quadro e i nodi da sciogliere.

La premessa alla Direttiva NIS

L’avvento della Direttiva NIS e la sua applicazione nel settore sanitario rappresenta un passo importante per la cybersecurity in ambito healthcare. Negli ultimi anni, gli attacchi cibernetici alle strutture sanitarie si sono intensificati. Malware come WannaCry o NotPetya hanno messo a rischio il funzionamento di importanti strutture sanitarie in tutta Europa, con serie implicazioni per la sicurezza dei cittadini e la salute di migliaia di pazienti. Uno dei casi più recenti si è verificato nell’Ospedale Universitario di Rouen in Francia, dove gli operatori sanitari sono tornati per qualche giorno a lavorare solo con ‘carta e penna’.

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Cybersecurity

La Direttiva NIS riguarda tutti gli Stati membri dell’Unione Europea e stabilisce requisiti in materia di cybersecurity per operatori di servizi essenziali o fornitori di servizi digitali. Uno dei settori di applicazione riguarda il settore sanitario ed il sottosettore degli istituti sanitari comprendente ospedali e cliniche private.

NIS: approvazione e implementazione

La Direttiva NIS è uno dei più importanti strumenti legislativi dell’Unione Europea in materia di cybersecurity. Approvata nel luglio 2016 ed entrata in vigore nel mese successivo, ha come obiettivo principale il conseguimento di livello comune elevato di sicurezza della rete e dei sistemi informativi dell’Unione Europea. Per raggiungere tale obiettivo, il diritto dell’UE prescrive che la Direttiva sia implementata attraverso disposizioni nazionali degli Stati Membri. Nonostante i numerosi ritardi da parte dei paesi europei (al 9 maggio 2018 la maggioranza degli Stati non si era ancora conformata, Italia inclusa, anche se per pochi giorni) il processo di implementazione negli Stati membri ha raggiunto un livello piuttosto avanzato.

NIS nel settore sanitario

Come noto, alcuni dei requisiti previsti dalla NIS sono rivolti agli Operatori di Servizi Essenziali (OSE). Tali soggetti sono chiamati ad adottare misure tecniche ed organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza delle reti e dei sistemi informativi e notificare gli incidenti con impatto rilevante sulla fornitura dei servizi essenziali.

Per comprendere chi sono gli OSE è importante evidenziare che questi soggetti devono essere identificati dagli Stati membri. Durante questo processo di identificazione, gli Stati membri sono chiamati a valutare, per ciascun sottosettore, quali servizi devono debbano essere considerati essenziali per il mantenimento di attività sociali ed economiche fondamentali, secondo determinati criteri e fattori.

Il settore sanitario è esplicitamente contemplato dalla Direttiva NIS. Gli istituti sanitari (compresi ospedali e cliniche private) sono indicati come sottosettore chiave per la cybersecurity, ed in particolare la categoria dei ‘prestatori di assistenza sanitaria’ (di cui alla Direttiva 2011/24/UE). I soggetti appartenenti a tali settori e categorie, una volta individuati dagli Stati membri come ‘OSE’, dovranno conformarsi ai requisiti NIS e contribuire a garantire un alto livello di cybersecurity all’interno degli Stati membri europei.

Gli Stati membri si sono mossi a livello nazionale con atti normativi interni per attuare la Direttiva per individuare servizi essenziali e OSE soggetti ai requisiti di legge. Quello che emerge, tuttavia, è che gli Stati hanno adottato strategie e metodologie non sempre coerenti tra di loro da una prospettiva europea, un aspetto che implica delle potenziali criticità.

La “pagella” della Commissione europea

Con una recente relazione, la Commissione Europea ha fatto il punto per valutare la coerenza degli approcci adottati dagli Stati membri, concentrandosi proprio sull’individuazione dei servizi essenziali e degli OSE nei vari settori individuati dalla Direttiva. La relazione riporta che gli Stati membri hanno sviluppato metodologie eterogenee per identificare gli OSE. Viene sottolineato ad esempio l’approccio dalla Finlandia, che nel settore sanitario ha identificato un numero molto elevato di operatori di servizi essenziali rispetto alla media europea. Un tale risultato evidenzia un potenziale impatto negativo sull’applicazione coerente della Direttiva NIS nell’Unione con possibili conseguenze per il mercato interno e la gestione delle dipendenze dell’informatica.

Un’altro punto della relazione riporta che esistono interpretazioni divergenti da parte degli Stati membri su ciò che costituisce un ‘servizio essenziale’ ai sensi della Direttiva NIS. Secondo la relazione, il numero di servizi individuati per il settore sanitario oscilla in una scala da 0 ad un massimo di circa 15 servizi identificati per Stato membro.

L’Italia sta nel mezzo: secondo i dati disponibili online avrebbe individuato otto settori. Un’individuazione così eterogenea e di differente granularità all’interno del territorio europeo può comportare casi di ‘mancata coerenza’ – per dirla con le parole della Commissione: ossia, che a parità di condizioni alcuni servizi siano identificati in alcuni Stati membri e non in tutti.

Si deve infine evidenziare il caso dei Paesi Bassi, dove la legge implementativa nazionale ha inizialmente tralasciato il settore healthcare nell’identificazione degli OSE.

Direttiva Nis, rischio frammentazione

Con questo primo screening effettuato dalla Commissione, si può concludere che se gli stati adottano approcci divergenti, c’è il rischio che l’applicazione della Direttiva risulti frammentato. Ad esempio, se si usa una metologia differente per individuare gli OSE, risulterà che alcuni operatori in uno Stato A risultano esposti a requisiti di legge, laddove – in un contesto analogo – altri operatori presenti nello Stato B non lo saranno. Sebbene la relazione evidenzi alcuni punti di criticità, si può allo stesso tempo riconoscerne gli effetti positivi. La Direttiva è servita da catalizzatore in numerosi Stati membri, aprendo la strada a veri e propri cambiamenti nel panorama istituzionale e normativo in materia di cybersecurity (come afferma la relazione stessa).

Non solo NIS: GDPR e altri strumenti

La Direttiva NIS è un importante tassello nel puzzle dell’healthcare cybersecurity. Si ricorda infine che altri strumenti legislativi dell’UE risultano rilevanti nel panorama europeo per gli operatori del settore sanitario, specialmente nell’ambito eHealth. Sulla sicurezza del trattamento di dati personali è bene ricordare i requisiti previsti del Regolamento 2016/679 (GDPR) e i principi chiave da esso istituiti come ‘integrità e riservatezza’. Per i dispositivi medici connessi, il nuovo Regolamento 2017/745 (MDR) è altrettanto importante in quanto impone obblighi di sicurezza chiave, rilevanti anche sotto un aspetto cybersecurity, per fabbricanti ed operatori economici sanitari.

Il bilancio complessivo

La Direttiva NIS ha promosso l’istituzione di misure per conseguire un livello elevato di sicurezza della rete e dei sistemi informativi in tutto il territorio europeo, applicabile anche nel settore sanitario. Le azioni intraprese dagli Stati membri hanno dato luogo ad una valutazione globale dei rischi da parte gli Stati membri portando a risultati iniziali in linea con gli obiettivi individuati della Direttiva. Restano in campo alcune ipotesi di criticità su cui sarà necessario lavorare.

*SAFECARE ha ricevuto finanziamenti dal programma di ricerca e innovazione di Horizon 2020 dell’Unione europea nell’ambito Grant Agreement n. 787002.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 4