La Commissione europea ha presentato un nuovo piano per migliorare la sicurezza informatica del settore sanitario in seguito all'aumento degli attacchi ransomware
PUBBLICITÀ
Il nuovo piano presentato dalla Commissione europea mercoledì mira a migliorare la sicurezza informatica degli ospedali e di altri fornitori di servizi digitali, rafforzando la capacità di prevenire e rispondere agli incidenti di cybersecurity.
"Nel momento in cui il settore subisce una trasformazione critica, deve affrontare sfide significative come la messa in sicurezza delle cartelle cliniche elettroniche e l'integrazione dell'Ai nella forza lavoro sanitaria", ha dichiarato Henna Virkkunen, Commissaria Ue per la Sovranità tecnologica, la sicurezza e la democrazia, durante la presentazione del piano.
La proposta è la prima di una serie di misure previste per i primi 100 giorni del nuovo mandato e mira a sensibilizzare il settore sanitario sui rischi della criminalità informatica e a fornire soluzioni sul campo, ha dichiarato il Commissario per la Salute Oliver Várhelyi.
"I fornitori di servizi sanitari devono investire in questo settore tanto quanto nelle attrezzature per il trattamento dei pazienti", ha aggiunto Várhelyi.
A tal fine, un nuovo Centro europeo di sostegno alla cybersicurezza per il settore sanitario, parte dell'Agenzia dell'Ue per la cybersicurezza (Enisa), guiderà i lavori e attuerà le misure proposte.
Il piano per rafforzare la cybersicurezza in ambito sanitario
Il piano si basa su quattro priorità: prevenzione, rilevamento, risposta e recupero e deterrenza.
Nei prossimi due anni sarà istituito un nuovo Comitato consultivo per la sicurezza informatica in ambito sanitario per offrire assistenza ai fornitori di servizi sanitari che vogliono evitare di pagare riscatti e per istituire servizi di risposta rapida.
L'assistenza sanitaria è soggetta a frequenti attacchi informatici e la maggior parte degli incidenti coinvolge il ransomware a causa dell'elevata sensibilità dei dati.
Durante e dopo la pandemia Covid-19 si è registrato un aumento degli attacchi informatici ai fornitori di servizi sanitari, come dimostrato dalla prima analisi dell'Agenzia dell'Unione europea per la sicurezza informatica (Enisa) sul panorama delle minacce informatiche per il settore sanitario, pubblicata lo scorso anno.
L'analisi ha mostrato che tra gennaio 2021 e marzo 2023, il settore sanitario dell'Ue è stato testimone di frequenti attacchi informatici, con il 53 per cento che ha colpito fornitori di servizi sanitari e il 42 per cento gli ospedali.
Cybersicurezza nel settore sanitario: gli strumenti esistenti
I dati sanitari condivisi, ora regolamentati dallo Spazio europeo dei dati sanitari (Ehds), integreranno il piano d'azione sulla cybersicurezza.
Il piano amplia il quadro legislativo esistente nel campo della cybersecurity, come la direttiva NIS2, la legge sulla cybersecurity e il regolamento sui dispositivi medici.
Alcune di queste direttive stanno però affrontando problemi di attuazione. La NIS2, che mira a proteggere le entità critiche da gravi incidenti informatici, deve ancora essere adottata dalla maggior parte degli Stati membri, che non hanno rispettato la scadenza fissata per il 17 ottobre 2024.
Allo stesso modo, il regolamento sui dispositivi medici, dopo le ripetute proroghe del periodo di transizione per la certificazione dei dispositivi medici secondo le nuove regole, sarà probabilmente rivisto quest'anno.