a cura dell’avv. Maria Antonella Mascaro
La Direttiva NIS 2 (Direttiva UE 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 sulla sicurezza delle reti e delle informazioni) è una normativa europea, cui gli stati membri devono adeguarsi, che mira a rafforzare la sicurezza informatica e la protezione dei dati nelle infrastrutture critiche, comprese le strutture sanitarie.
La Direttiva NIS 2 introduce nuove misure per migliorare la sicurezza informatica e dunque prevede un’attenta valutazione dei rischi da parte delle strutture e l’implementazione delle misure quantomeno per mitigarne gli effetti. Si parte dal presupposto che i sistemi informatici e di rete usati per fornire servizi essenziali in settori chiave occupino una posizione centrale nel percorso di trasformazione digitale e di interconnessione della società.
In particolare il settore sanitario si trova al centro di due gravi problemi: il primo riguarda i dati sensibili accumulati, necessari per le cure mediche, motivo per il quale la maggior parte degli ospedali e dei sistemi sanitari hanno accumulato un significativo gap tecnologico. Gli ospedali si affidano spesso a più piattaforme gestite in modo isolato, con livello di sicurezza spesso inadeguato. Ciò rende molti enti sanitari bersaglio facile per i truffatori e ladri di dati e di identità, con il rischio di sottoporre le società ad essere vittime di estorsioni o altri reati.
Pertanto, il comparto sanità è uno dei soggetti più importanti della Direttiva NSI 2, che mira a rafforzare il livello di cybersecurity all’interno dell’UE, sanando gli approcci divergenti e frammentati adottati dagli Stati membri.
Tutto il mondo sanitario (fornitori, produttori e laboratori) è chiamato ad adottare misure adeguate di analisi e gestione del rischio in ambito di cybersecurity.
Con la crescita delle minacce informatiche, la sanità è tra i settori più colpiti, la Direttiva NIS 2 nasce dalla necessità di gestire in sicurezza e in conformità alla normativa europea, gli scambi transfrontalieri di dati. L’obiettivo è garantire la continuità dei servizi digitali in caso di incidenti di sicurezza mediante risposte coordinate da parte di tutti gli Stati membri. Essa è il risultato di una profonda revisione della precedente Direttiva NIS (Direttiva UE 2016/1148) che aveva l’obiettivo di instaurare un mercato interno per la cybersecurity mediante l’avvicinamento delle svariate normative dei paesi membri. Tuttavia, si sono evidenziate notevoli divergenze nell’attuazione di questi obblighi da parte degli Stati membri, con variazioni significative in termini di tipo di obbligo, livello di dettaglio e metodo di vigilanza. Queste disparità hanno comportato costi aggiuntivi e difficoltà applicative per i soggetti che offrono beni e servizi transfrontalieri. Inoltre, divergenze nelle modalità di attuazione da parte degli Stati membri avrebbero potuto esporre alcuni Paesi a maggiori vulnerabilità informatiche.
Dunque, a parte le obbligatorie registrazioni degli enti, di cui si è parlato in precedenti comunicati, gli investimenti da parte degli enti del sistema sanitario saranno di ingente entità, in quanto le strutture devono dotarsi di misure di sicurezza informatica stringenti, devono formare il personale adeguatamente e instaurare un rapporto di collaborazione con le autorità competenti per notificare gli incidenti e condividere le informazioni sulla sicurezza informatica.
Le sanzioni per non adeguamento sono piuttosto ingenti e possono arrivare fino a 10 milioni di euro o il 2% del fatturato globale annuo. L’applicazione operativa della Direttiva NIS 2 segna un passo decisivo verso un rafforzamento normativo nel contesto della sicurezza delle reti e delle informazioni in Europa, imponendo una collaborazione fra stati membri.