NIS2, Le implicazioni per il settore sanitario?

Ti sei mai chiesto quali cambiamenti porterà la Direttiva NIS2 nella sicurezza digitale del settore sanitario? Gli attacchi informatici negli ultimi anni sono aumentati molto. Questo mette in pericolo i dati e la sicurezza dei pazienti. La Direttiva NIS2, che ha inizio il 16 gennaio 2023, punta a risolvere questi problemi. Impone regole più severe sulla sicurezza informatica in campi vitali, compreso quello sanitario¹

Questa legge risponde all’incremento del 60% degli attacchi informatici mondiali negli ultimi cinque anni. Inoltre, l’80% di questi attacchi ha causato danni grandi o molti gravi¹². La direttiva vuole migliorare la sicurezza di luoghi critici come ospedali e centri di ricerca. Si focalizza sulla protezione dei dati e della privacy, seguendo il GDPR¹.

• La Direttiva NIS2 è stata pubblicata nella Gazzetta Ufficiale dell’Unione Europea il 27 dicembre 2022
• Entrata in vigore il 16 gennaio 2023
• Crescita del 60% negli attacchi informatici negli ultimi cinque anni¹
• Impatto grave o molto grave nell’80% degli attacchi nel 2022¹²
• Focus su ospedali, centri di ricerca e aziende farmaceutiche

Il settore sanitario si sta trasformando velocemente con la digitalizzazione. Ciò è stato spinto dalla pandemia e l’introduzione della telemedicina. Ma, l’aumento della digitalizzazione porta più rischi cyber. La connettività crescente espone il settore a più attacchi informatici. Questo mette in pericolo i dati e la sicurezza dei pazienti.

Il rapporto Clusit 2023 dice che gli attacchi cyber sono aumentati del 60%³ negli ultimi 5 anni. Questo è un grosso problema per il settore sanitario, che è sempre più digitale ma vulnerabile. Attacchi ransomware a Modena e problemi per SYNLAB ne sono esempi⁴.

La Direttiva NIS2, attiva dal 16 gennaio 2023, cerca di rendere tutto più sicuro. Infatti, mira a proteggere anche dispositivi medici e soluzioni di telemedicina³.

Secondo Clusit, il 2022 ha visto l’80% di attacchi gravi³. Cinque anni fa, erano solo il 52%. Nel settore sanitario, questi attacchi sono ancora più rischiosi. Possono mettere in pericolo la vita dei pazienti.

Il ransomware WannaCry è stato un esempio drammatico. Ora, la Direttiva NIS2 impone regole più severe per la sicurezza. Tutti devono avere politiche e misure aggiornate per prevenire gli attacchi⁴.

La sicurezza informatica in Europa ha fatto un grande salto con la Direttiva NIS nel 2016. Questa legge toccava molti ambiti, dal’energia ai trasporti, passando per la sanità fino alle infrastrutture digitali⁵. Ma con l’evolversi delle minacce online, si è vista la necessità di aggiornamenti. Così è nata la Direttiva NIS2, che ha portato nuovi rinforzi nella cyber security europea.

La Direttiva NIS mirava ad uniformare la sicurezza informatica tra i paesi dell’UE dal 2016. Si concentra su settori chiave per garantire la sicurezza delle informazioni e la continuità dei servizi⁵. Anche i fornitori di servizi digitali importanti, come i cloud e i motori di ricerca, erano inclusi⁵.

La Direttiva NIS2, entrata in vigore il 14 dicembre 2022⁶⁷, porta novità signficative. Classifica le entità in essenziali e importanti, e amplia il suo raggio d’azione a settori come l’acqua e lo spazio⁵. Richiede che ogni entità abbia un team dedicato alla gestione dei rischi cyber e che i dipendenti siano formati⁷.

Prevede inoltre la segnalazione di incidenti cyber entro 24 ore⁷. Gli Stati membri devono adeguarsi a questa legge entro il 17 ottobre 2024⁵. Include sanzioni e rafforza la segnalazione di incidenti, oltre a stabilire requisiti per le autorità nazionali⁵.

La Direttiva NIS2 ha iniziato a funzionare il 17 gennaio 2023. Rappresenta un notevole miglioramento per la sicurezza online nelle strutture sanitarie⁸. Queste strutture devono adottare forti politiche di sicurezza per combattere le crescenti minacce online⁸.

Devono anche segnalare rapidamente qualsiasi incidente cyber entro 24 ore alle autorità preposte. Questo aiuta a mantenere tutto trasparente e responsabile⁹.

Adeguarsi a questi nuovi requisiti potrebbe essere costoso. I costi variano da poche decine di migliaia di euro a milioni, a seconda della grandezza della struttura⁹. Ma questi investimenti sono cruciali per proteggere le infrastrutture vitali e assicurare servizi continui⁹.

Le sanzioni per chi non si adegua possono essere molto alte. Possono arrivare fino a 10 milioni di euro o al 2% del fatturato totale. In alcuni casi, può esserci anche la sospensione delle attività⁹.

Le organizzazioni sanitarie devono creare piani per gestire i rischi cyber, con il coinvolgimento del top management. È essenziale per proteggere correttamente le infrastrutture digitali⁹.

La Direttiva NIS2 impone agli Stati di avere una strategia nazionale per la cyber sicurezza entro il 17 aprile 2025⁸. Si cerca di uniformare le regole in tutti i Paesi membri. L’obiettivo è proteggere meglio le infrastrutture critiche e aumentare la resilienza del settore sanitario ai pericoli online⁸⁹.

Il settore sanitario si trova di fronte a grandi sfide per la sicurezza dei dati, specialmente ora che usa sempre più la tecnologia digitale. Le strutture ospedaliere sono vulnerabili agli attacchi cyber. Senza buone difese di cybersecurity, i dati importanti e le infrastrutture possono essere a rischio.

Le strutture ospedaliere rischiano molto negli attacchi informatici. Un esempio è l’attacco WannaCry, che ha mostrato quanto gli ospedali possano essere deboli. Il Rapporto Clusit 2021 dice che l’10% degli attacchi cyber erano collegati al Covid-19. Volevano rubare soldi o informazioni dai centri di ricerca.

La Direttiva NIS2 aiuta a combattere questi problemi. Chiede alle strutture di proteggere le reti e le informazioni. Devono anche dire subito se ci sono stati incidenti gravi¹⁰.

La sicurezza dei pazienti è molto importante. Se i sistemi ospedalieri falliscono, i servizi necessari possono fermarsi. Questo mette in pericolo la vita delle persone. Anche, dati dei pazienti non sicuri possono finire nelle mani sbagliate.

È fondamentale aumentare la sicurezza degli ospedali. Si deve seguire quello che dice la Direttiva NIS2¹⁰.

Il settore sanitario deve segnalare agli enti appropriati, senza ritardi, incidenti gravi. Questo fa parte della Direttiva NIS2. Questo obbligo aiuta a mantenere i servizi essenziali attivi e limitare i danni [https://www.studiolegaledelliponti.eu]¹¹. In caso di mancato rispetto delle norme, possono esserci multe fino a € 10 milioni o il 2% del fatturato globale¹²

Per gestire meglio le crisi cyber, è nato CyCLONe, un network di cooperazione tra stati. Questo facilita una risposta comune agli attacchi informatici¹³. Questo sistema assicura lo scambio di informazioni e risorse in caso di emergenza.

Creare un registro di vulnerabilità e supportare i CSIRT aiuta a rispondere subito alle minacce. Le aziende devono adottare misure per proteggere i propri sistemi informativi. Ciò aumenta la sicurezza nella catena di fornitura e nei servizi digitali¹¹.

Gli stati membri devono applicare la Direttiva NIS2 entro il 17 ottobre 2024. È cruciale adeguarsi in tempo per assicurare il rispetto degli obblighi di notificazione e gestione delle crisi¹².

La Direttiva NIS2 dell’Unione Europea comincerà in ottobre 2024. Sottolinea quanto sia cruciale migliorare la sicurezza nelle supply chain e nei servizi cloud. Questo serve a tutelare le infrastrutture vitali, come quelle nel settore sanitario. Le organizzazioni sanitarie dovranno mettere in atto piani avanzati per difendersi dai cyber attacchi.

Una solida sicurezza della supply chain è vitale per prevenire infiltrazioni tramite terzi. Queste hanno impattato dal 39% al 62% delle organizzazioni¹⁴. Bisogna stabilire criteri di sicurezza rigidi nei contratti con i fornitori. Identificare i fornitori chiave è un passo importante, come indica Valentina Frediani, CEO di Colin & Partners. La direttiva prevede inoltre pesanti sanzioni per chi trasgredisce, che possono raggiungere fino a 10 milioni di euro o il 2% del fatturato annuale¹⁵. Scopri di più sulla sicurezza della supply chain e la NIS2.

La sicurezza cloud è essenziale per la salvaguardia dei dati dei pazienti e per l’affidabilità delle infrastrutture IT. È fondamentale che le aziende sanitarie adottino misure severe. Questo include politiche per la protezione dei dati e un controllo costante delle possibili vulnerabilità. Con l’attuazione della NIS2, le organizzazioni saranno probabilmente tenute a segnalare ogni incidente significativo entro 24 ore¹⁵. Per maggiori dettagli sull’importanza della cloud security nell’ambito della NIS2, consulta il rapporto completo.

1. Nis2, come adeguarsi ai nuovi obblighi cyber: i punti chiave – Agenda Digitale
2. La Direttiva NIS (prossima NIS 2) e la sua applicazione in ambito healthcare: i principali fronti – Cyber Security 360
3. Direttiva NIS 2 Cybersecurity: come adeguarsi ai nuovi obblighi – Seclan
4. Cybersecurity in sanità: come prepararsi alla NIS2
5. l’evoluzione della normativa UE sulla cybersecurity :: GFI
6. Direttiva sulle misure per un livello comune elevato di cibersicurezza in tutta l’Unione (direttiva NIS2)
7. NIS 2, gli adempimenti alla nuova direttiva: ecco tutti i dettagli – Cyber Security 360
8. Direttiva NIS 2: la sicurezza delle infrastrutture critiche, tra normativa e buone prassi – Cyber Security 360
9. Telemedicina e NIS 2, la sicurezza dei pazienti al centro: un approccio metodico e avanzato – Cyber Security 360
10. Mali, Sudan, Siria: le operazioni ucraine contro i contractors e i militari russi all’estero 13 Agosto 2024
11. Direttiva NIS2 approvata: i nuovi obblighi di cyber sicurezza per le aziende – Agenda Digitale
12. NIS 2: Cos’è e il suo impatto sulle pubbliche amministrazioni
13. Direttiva NIS2 approvata: ecco cosa cambia in materia di sicurezza di dati, reti e sistemi – Cyber Security 360
14. Le linee guida ENISA per la cyber security della supply chain – Cyber Security 360
15. Cos’è la direttiva NIS2 e quali obblighi di cybersecurity richiede