La Commissione europea ha presentato il suo piano d’azione per rafforzare la cybersicurezza degli ospedali e, in generale, delle strutture e delle attività dell’assistenza sanitaria, ormai sempre più connessa. Si tratta di una delle priorità indicate dalla presidente Ursula von der Leyen nelle sue linee guida politiche per i primi 100 giorni del nuovo mandato.
Al centro dell’iniziativa c’è anche la sicurezza della telemedicina. La digitalizzazione sta portando una rivoluzione positiva nell’assistenza sanitaria, consentendo di erogare servizi più puntuali e vicini alle esigenze dei pazienti attraverso innovazioni come la medicina a distanza, le cartelle cliniche elettroniche e la diagnostica basata sull’intelligenza artificiale. Tuttavia, gli attacchi informatici sono una minaccia concreta e particolarmente grave per il settore, che incidono sull’erogazione stessa dei servizi e persino sulla sicurezza dei pazienti.
Nel 2023 gli Stati membri hanno segnalato 309 incidenti significativi di cybersecurity che hanno colpito il settore sanitario, più che in qualsiasi altro settore critico.
Bruxelles: un centro paneuropeo per la cybersicurezza della sanità
Il piano d’azione di Bruxelles propone, tra l’altro, che l’Enisa, l’agenzia dell’Ue per la cybersecurity, istituisca un centro paneuropeo di sostegno alla cybersicurezza per gli ospedali e i prestatori di assistenza sanitaria, fornendo loro orientamenti, strumenti, servizi e formazione su misura.
L’iniziativa si basa sul più ampio quadro dell’Ue per rafforzare la cybersicurezza in tutte le infrastrutture critiche e segna la prima iniziativa settoriale specifica per attuare l’intera gamma di misure dell’Ue in materia.
Il piano d’azione dell‘Ue per la telemedicina a prova di hacker
In sintesi, il piano d’azione si concentra su quattro priorità.
Prevenzione rafforzata. Il piano contribuisce a sviluppare le capacità del settore sanitario di prevenire gli incidenti di cybersicurezza attraverso misure di preparazione rafforzate. In secondo luogo, gli Stati membri possono introdurre voucher per la cybersicurezza per fornire assistenza finanziaria agli ospedali e ai prestatori di assistenza sanitaria di micro, piccole e medie dimensioni. Infine, l’Ue svilupperà anche risorse per la formazione in materia di cybersicurezza per gli operatori sanitari.
Migliorare l’individuazione e l’identificazione delle minacce. Il Centro di sostegno alla cybersicurezza per gli ospedali e i prestatori di assistenza sanitaria svilupperà un servizio di allarme rapido a livello dell’Ue, che fornirà avvisi quasi in tempo reale sulle potenziali minacce informatiche, entro il 2026.
Risposta agli attacchi informatici per ridurre al minimo l’impatto. Il piano propone un servizio di risposta rapida per il settore sanitario nell’ambito della Eu Cybersecurity reserve, che fornisce servizi di risposta agli incidenti da fornitori privati di fiducia. Nell’ambito del piano, possono svolgersi esercitazioni nazionali di cybersicurezza insieme allo sviluppo di manuali per guidare le organizzazioni sanitarie a rispondere a specifiche minacce cyber. In particolare, in caso di attacco ransomware, gli Stati membri sono invitati a chiedere la segnalazione dei pagamenti di riscatto da parte delle strutture sanitarie, per poter fornire loro il sostegno di cui hanno bisogno e consentire il follow-up da parte delle autorità di contrasto.
Deterrenza: Proteggere i sistemi sanitari europei dissuadendo gli attori delle minacce informatiche dall’attaccarli. Ciò include l’uso del Cyber diplomacy toolbox, una risposta diplomatica congiunta dell’Ue alle attività informatiche dolose.
Al via la consultazione pubblica
Il piano d’azione sarà attuato di concerto con i prestatori di assistenza sanitaria, gli Stati membri e la comunità della cybersicurezza. Per perfezionare ulteriormente le azioni più incisive in modo che i pazienti e i prestatori di assistenza sanitaria possano beneficiarne, la Commissione avvierà presto una consultazione pubblica su questo piano, aperta a tutti i cittadini e le parti interessate.
I risultati della consultazione confluiranno in ulteriori raccomandazioni entro la fine dell’anno.
