La Direttiva NIS (prossima NIS 2) e la sua applicazione in ambito healthcare: i principali fronti - Cyber Security 360

SICUREZZA INFORMATICA

La Direttiva NIS (prossima NIS 2) e la sua applicazione in ambito healthcare: i principali fronti

L’aumento degli attacchi alle strutture ospedaliere evidenzia quanto sia cruciale la cyber security per l’healthcare: ecco perché la Direttiva NIS e la prossima NIS 2 rappresentano un tentativo di coordinamento e risposta unitaria a livello europeo

09 Set 2021
B
Sara Bacchieri

Information & Cyber Security Advisor presso P4I - Partners4Innovation

Negli ultimi anni gli attacchi informatici alle strutture ospedaliere sono aumentati, e malware come WannaCry hanno messo in difficoltà il funzionamento di importanti strutture sanitarie in tutta Europa, con serie implicazioni per la sicurezza dei cittadini e la salute di pazienti. La cyber security è un aspetto cruciale per l’healthcare e la Direttiva NIS, tra gli interventi legislativi in tema più rilevanti degli ultimi anni, rappresenta un tentativo di coordinamento e risposta unitaria a livello europeo.

L’healthcare oggi: innovazione e rischi

Il mondo dell’healthcare, come altri settori, ha visto recentemente un’accelerazione della digitalizzazione, anche a causa delle nuove necessità che si sono presentate nel corso della pandemia da Covid-19 legate al bisogno di continuare a fornire assistenza ai cittadini. Si è riusciti a non interrompere l’erogazione dei servizi sanitari grazie all’impiego di nuove tecnologie, tra cui, per esempio, l’utilizzo della telemedicina quale strumento di connessione tra pazienti e operatori sanitari.

Da una parte, quindi, si assiste ad una crescente e repentina trasformazione digitale del settore, mentre dall’altra, invece, si registra un non altrettanto adeguato allineamento delle procedure di cybersecurity, unito ad una non adeguata formazione del personale e degli utenti sui rischi connessi alle nuove tecnologie.

Questa situazione rende il settore sanitario particolarmente vulnerabile ed esposto alle minacce cyber. Inoltre, da inizio 2020, gli attacchi informatici si sono evoluti per sfruttare le difficoltà socioeconomiche, aziendali e politiche causate dalla pandemia. Ad essere prese di mira sono state principalmente le organizzazioni strategiche nella lotta contro il Covid-19, tra cui gli ospedali, le aziende farmaceutiche e i produttori di apparecchiature medicali.

Come evidenziato dal Rapporto Clusit 2021, gli attacchi informatici sono aumentati del 12% nell’ultimo anno. Il tema Covid-19 è stato alla base del 10% degli eventi registrati, attacchi cyber e truffe hanno sfruttato insicurezze e incertezze della pandemia per assicurare il successo dei propri attacchi. In particolare, gli attacchi a tema Covid-19 indirizzati alle strutture sanitarie si sono divisi tra tentativi di estorsione di denaro (55%) e tentativi di spionaggio ai danni di centri di ricerca sui vaccini per l’acquisizione di informazioni rilevanti (45%).

La cyber security è, quindi, un aspetto cruciale per infrastrutture come le strutture sanitarie, e la Direttiva NIS riconosce la criticità del settore creando un requisito normativo per spingere l’adozione di misure di sicurezza ed a coordinare la risposta a livello europeo.

Sanità italiana sotto attacco cyber: ecco come reagire all’emergenza

I fronti principali della Direttiva NIS

La Direttiva NIS è stata adottata dalla UE nel luglio 2016 e rappresenta uno dei primi tentativi di migliorare il livello di difesa delle infrastrutture critiche degli Stati membri, facendo leva su intelligence e prevenzione per raggiungere un adeguato livello di cyber-security e di resilienza dei sistemi critici nazionali.

Nel 2018 l’Italia ha recepito la direttiva NIS con il decreto legislativo n.65/2018 pubblicato sulla Gazzetta Ufficiale il 9 giugno e divenuto effettivo dal 24 giugno dello stesso anno.

In particolare, il legislatore europeo ha voluto mettere in atto misure organizzative e tecniche in grado di ridurre i rischi e l’impatto degli incidenti informatici, garantendo un generale ed omogeneo innalzamento delle misure di difesa su tutto il territorio europeo.

Di seguito i fronti principali su cui opera la Direttiva NIS:

  • obbliga gli Stati membri ad adottare una strategia nazionale in materia di sicurezza della rete e dei sistemi informativi, e a definirne gli obiettivi e le opportune misure strategiche e regolamentari;
  • istituisce un gruppo di cooperazione al fine di sostenere e agevolare la cooperazione strategica e lo scambio di informazioni tra Stati, composto da rappresentanti degli Stati Membri, della Commissione e dell’ENISA;
  • crea una rete di gruppi di intervento per la sicurezza informatica in caso di incidente (rete CSIRT);
  • obbliga gli Stati a identificare i settori di servizi da considerarsi essenziali per il mantenimento di attività sociali ed economiche fondamentali (suggerendo anche i criteri per l’identificazione degli operatori di tali servizi essenziali). Gli Stati membri devono provvedere affinché gli operatori di tali servizi essenziali adottino misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza delle reti e dei sistemi informativi che usano nelle loro operazioni. Inoltre, gli Stati provvedono affinché gli operatori di servizi essenziali notifichino senza ritardo all’autorità competente gli incidenti aventi un impatto rilevante sulla continuità dei servizi essenziali prestati.

La Direttiva NIS applicata all’healthcare

L’healthcare rappresenta una delle infrastrutture maggiormente vitali per uno Stato e la protezione di questo settore ha grande importanza per la sicurezza del Paese. La sanità, infatti, è stato ritenuto un settore che fornisce servizi essenziali e quindi rientra nell’ambito di applicazione della Direttiva NIS.

Per il settore sanitario, come indicato dall’art.7 del decreto di recepimento, le autorità nazionali competenti del settore sono il Ministero della salute, le Regioni e le Province autonome di Trento e Bolzano. L’allegato II specifica che tra i soggetti suscettibili di essere nominati operatori di servizi essenziali in ambito della sanità possono ritenersi compresi tutti gli ospedali e cliniche sia pubblici che privati, in quanto prestatori di servizi sanitari.

Gli operatori di servizi essenziali sono tenuti ad adottare le misure tecniche e organizzative per limitare il rischio e, per il settore della sanità, è il Ministero della Salute, in coordinamento con la conferenza Stato-Regione, ad aver predisposto il documento contenente misure o istruzioni vincolanti (le quali sono state però condivise solo con gli operatori di servizi essenziali individuati).

Le autorità competenti NIS, dunque il Ministero della salute e le regioni per quanto riguarda il settore sanitario, sono anche responsabili per l’attuazione della Direttiva NIS e vegliano sulla sua corretta applicazione, richiedendo agli operatori di servizi essenziali informazioni, documentazioni e dimostrazioni di aver implementato le misure di sicurezza adeguate. Inoltre, l’art. 21 prevede che le autorità NIS possano applicare delle sanzioni amministrative qualora venissero rilevate inosservanze da parte degli operatori degli obblighi di sicurezza, comprese tra 12.000 e 150.000 euro per le violazioni più gravi.

Un altro obbligo che grava su tutti gli operatori di servizi essenziali, inclusi quelli del settore sanitario, è quello di notificare al CSIRT italiano l’eventuale occorrenza di incidenti con un impatto rilevante. Il CSIRT ha il compito di supportare la vittima di un attacco cyber fornendo le informazioni e l’expertise per facilitare la gestione efficace dell’evento e la minimizzazione delle ripercussioni, e nasce dall’unificazione dei due Computer Emergency Response Teams (CERT) preesistenti: il CERT nazionale e il CERT-PA per i soggetti della pubblica amministrazione e dunque precedente punto di riferimento degli ospedali pubblici.

Criticità della Direttiva NIS e avvento della NIS 2

La Commissione Europea, in un report nel 2019, ha fatto il punto della situazione per valutare la coerenza degli approcci adottati dagli Stati membri nell’adozione della Direttiva NIS. La relazione ha riportato che gli Stati membri hanno sviluppato metodologie eterogenee per identificare gli operatori di servizi essenziali ed esistono interpretazioni divergenti su ciò che costituisce un servizio essenziale ai sensi della Direttiva NIS. Dal report è risultato, quindi, che gli Stati hanno adottato approcci divergenti e il rischio è che l’applicazione della Direttiva risulti frammentata.

Alla luce di questo scenario, la Commissione UE a fine 2020 ha presentato una proposta di revisione della Direttiva NIS, la cd. “NIS 2, che abrogherà e sostituirà la NIS. Una revisione della Direttiva NIS si è resa necessaria anche alla luce dell’accelerazione del processo di digitalizzazione connessa alla pandemia e all’aumento delle minacce cyber connesse alla stessa. Ad esempio, in alcuni Stati Membri, certi ospedali non sono stati inclusi tra gli operatori sottoposti all’obbligo di adottare le misure di sicurezza imposte dalla Direttiva NIS, e sono quindi risultati maggiormente esposti a minacce nel contesto dell’emergenza legata al Covid-19.

La proposta della Direttiva NIS 2 presenta molti punti in comune con la prima Direttiva, ma anche novità importanti, tra cui:

  • l’estensione a soggetti operanti in settori ad oggi non coperti dalla Direttiva NIS, quali ad esempio il settore della produzione di dispositivi medici, della gestione dei rifiuti, quello aerospaziale, della produzione e distribuzione di alimenti, i servizi postali;
  • non saranno più i singoli Stati membri ad identificare gli operatori di servizi essenziali soggetti alla Direttiva, in quanto sarà la Direttiva stessa a definirli in modo tale da applicare criteri uniformi;
  • resta l’obbligo di adottare misure tecniche ed organizzative adeguate alla gestione dei rischi, ma viene aggiunta una lista di misure specifiche che devono necessariamente essere adottate;
  • resta anche l’obbligo di notifica degli incidenti con impatto rilevante, ma viene regolamentato con maggiori dettagli. Ad esempio, viene previsto che la notifica vada effettuata entro 24 ore;
  • le sanzioni per le violazioni degli obblighi della Direttiva vengono fissate dai singoli stati, tuttavia, la Direttiva NIS 2 stabilisce che tali sanzioni dovranno essere pari ad un massimo di almeno 10 milioni di euro o fino al 2% del fatturato totale annuo mondiale dell’impresa interessata (si tratta quindi di un incremento importante).

Il testo della proposta della Commissione potrebbe subire ancora alcuni cambiamenti nel corso dell’iter legislativo, che si prevede possa protrarsi anche per alcuni anni.

Il contesto europeo dell’healthcare

La Direttiva NIS 2 è entrata in campo per risolvere alcuni punti di criticità della Direttiva NIS, la quale già è servita da catalizzatore in molti Stati membri, aprendo la strada a veri e propri cambiamenti nel panorama normativo in materia di cybersecurity.

La Direttiva NIS ha promosso l’istituzione di misure per conseguire un livello elevato di sicurezza della rete e dei sistemi informativi in tutto il territorio europeo, applicabile anche nel settore sanitario. Le azioni intraprese dagli Stati membri hanno dato luogo ad una valutazione globale dei rischi da parte gli Stati membri portando a risultati iniziali in linea con gli obiettivi.

La Direttiva NIS è solo uno dei tasselli nel puzzle della cybersecurity in ambito healthcare. Altri strumenti legislativi dell’UE sono rilevanti per gli operatori del settore sanitario: sulla sicurezza del trattamento di dati personali è bene ricordare i requisiti previsti del Regolamento 2016/679 (GDPR), e per i dispositivi medici, i Regolamenti 2017/745 (MDR, European Medical Devices Regulation) e 2017/746 (IVDR, In-vitro Diagnostics Regulation), i cui requisiti di sicurezza sono discussi nella nuova Guidance on Cyber security for medical devices pubblicata a gennaio 2020 dal Medical Device Coordination Group della Commissione europea, con lo scopo di aiutare i produttori di dispositivi a soddisfare tali requisiti.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5