Cybersecurity sanitaria: cosa cambia per ospedali e ASL con Nis 2 e Pnrr

Crescono gli attacchi: sanità sotto pressione

La sanità è diventata il principale bersaglio dei cybercriminali a livello globale, con il 18% degli attacchi informatici concentrati su questo settore. In Italia, il 24% delle strutture sanitarie ha dichiarato di aver subito attacchi informatici, tra cui l’11% costituito da ransomware e il 33% da accessi abusivi ai dati. Secondo il rapporto Clusit 2024, il settore sanitario è stato il quarto più colpito dagli attacchi informatici, registrando 624 attacchi a livello globale, oltre il doppio rispetto ai 304 dell’anno precedente. ​ Questi dati evidenziano una crescente esposizione delle strutture sanitarie alle minacce informatiche, con conseguenze potenzialmente gravi sulla continuità operativa e sulla sicurezza dei pazienti.

Sanità pubblica o privata: qual è più sicura?

Un’analisi condotta su 68 professionisti sanitari in Italia ha coinvolto il 70% di strutture pubbliche e il 30% di strutture private, rappresentando in maniera omogenea la composizione del sistema sanitario nazionale. ​ Tuttavia, il rapporto non fornisce dati specifici sulla distribuzione degli attacchi tra strutture pubbliche e private, rendendo difficile stabilire quale delle due sia più sicura. È plausibile che entrambe le tipologie di strutture affrontino sfide significative in termini di cybersecurity, considerando la crescente sofisticazione degli attacchi e la crescente digitalizzazione dei servizi sanitari.​

Investimenti e criticità nella cybersecurity sanitaria italiana

Di fronte a questa escalation, le aziende sanitarie italiane hanno potenziato gli investimenti in cybersicurezza, con un incremento del 60% negli ultimi tre anni. Tuttavia, il problema non è solo economico: il 46% delle strutture manca di un responsabile dedicato alla sicurezza informatica, una carenza che nel settore pubblico sale al 52%. Nonostante gli sforzi, molti ospedali e aziende sanitarie locali (ASL) faticano ad attuare strategie di protezione adeguate. La carenza di personale specializzato, la mancanza di formazione e la lentezza burocratica nell’adozione di nuove tecnologie rappresentano ostacoli significativi.

NIS 2: la nuova frontiera della sicurezza digitale

L’entrata in vigore anche in Italia della direttiva NIS 2 introduce regole più stringenti per proteggere le infrastrutture critiche, inclusa la sanità. Tra le principali novità:

• Maggiore copertura: la normativa si applica a ospedali, ASL, aziende farmaceutiche e laboratori di analisi.
• Obblighi di protezione: crittografia avanzata, monitoraggio continuo e gestione proattiva del rischio diventano standard obbligatori.
• Segnalazione immediata: le strutture sanitarie devono notificare gli attacchi informatici entro 24 ore, con aggiornamenti successivi entro 72 ore.
• Sanzioni severe: chi non si adegua rischia multe fino a 10 milioni di euro o il 2% del fatturato.

L’obiettivo della direttiva è rafforzare la resilienza delle infrastrutture sanitarie, obbligandole ad adottare standard di sicurezza più elevati e a migliorare la capacità di risposta agli incidenti informatici.

PNRR: un’arma contro le vulnerabilità digitali della sanità

L’Italia ha una grande occasione per colmare il gap tecnologico, e per dare attuazione a questa direttiva, grazie ai fondi del Piano Nazionale di Ripresa e Resilienza (PNRR). Il piano prevede finanziamenti mirati alla digitalizzazione della sanità pubblica, con interventi su potenziamento delle infrastrutture IT e protezione dei dati sanitari, implementazione di strumenti avanzati di cybersecurity, formazione del personale sulla sicurezza informatica, miglioramento dell’interoperabilità dei sistemi sanitari.

Uno degli investimenti più importanti riguarda però la creazione di un Fascicolo Sanitario Elettronico (FSE) sicuro e interoperabile a livello nazionale. Questo strumento permette una gestione più efficace delle informazioni sanitarie dei cittadini, riducendo i rischi legati alla dispersione e alla vulnerabilità dei dati.

Tuttavia, l’implementazione del PNRR presenta ancora delle criticità. Per sfruttare appieno queste risorse è necessario un forte coordinamento tra governo, enti locali e aziende sanitarie, oltre a una maggiore attenzione alla formazione del personale.

Il ruolo strategico di CONSIP nella cybersecurity sanitaria

A supportare questo processo c’è CONSIP, la centrale acquisti della pubblica amministrazione, che gioca un ruolo chiave nel garantire l’accesso delle strutture sanitarie a tecnologie di sicurezza all’avanguardia. Attraverso bandi e gare dedicate, CONSIP aiuta le aziende sanitarie a acquistare soluzioni digitali innovative a costi competitivi, standardizzare le misure di sicurezza su scala nazionale, accelerare l’adozione delle linee guida previste dalla NIS 2. Grazie alla sua capacità di negoziare con fornitori tecnologici di alto livello, CONSIP facilita l’acquisizione di soluzioni avanzate, come software di protezione per i dati sanitari, sistemi di rilevamento delle minacce e piattaforme di gestione della sicurezza.

Verso un futuro più sicuro per la sanità italiana

La sanità italiana si trova di fronte a una sfida cruciale. L’adeguamento alla NIS 2, il supporto economico del PNRR e il ruolo di CONSIP rappresentano tre pilastri fondamentali per blindare il settore dagli attacchi informatici. Tuttavia, la vera sfida sarà tradurre queste risorse in strategie concrete, garantendo un sistema sanitario più resiliente e sicuro per il futuro.