1. Home
  2. News e approfondimenti
  3. Sanità Digitale
  4. L'Ue rilascia il piano d’azione europeo sulla cybersicurezza dei dati sanitari
Articolo
19 febbraio 2025

L'Ue rilascia il piano d’azione europeo sulla cybersicurezza dei dati sanitari

19 febbraio 2025
Nei primi 100 giorni del 2025 dovrebbe trovare attuazione il piano europeo sulla cybersicurezza sanitaria, che promette di aumentare la fiducia di pazienti e operatori del settore sulla sanità digitale. Scopriamo insieme di cosa si tratta.

Sommario

  1. Il piano d’azione europeo sulla cybersicurezza sanitaria: perché?
  2. Le priorità del piano d’azione europeo sulla cybersicurezza sanitaria
  3. Il Centro paneuropeo di sostegno alla cybersicurezza
  4. Le prossime tappe per l’attuazione del piano d’azione

L’aumento dell’utilizzo della tecnologia e della rete ha sicuramente migliorato la vita di tutti noi: tutti beneficiamo, poco o tanto, della possibilità di portare in giro i nostri file su un cloud oppure di collegarci in videoconferenza con i nostri clienti e/o datori di lavoro, scambiando dati e informazioni con loro. 

Se ne sono accorti anche i criminali, che oggi più che mai si sono spostati sul web: nel 2024, infatti, le minacce informatiche hanno subito un incremento, sia in termini numerici che di qualità, con ransomware, malware e attacchi DDoS (Distributed Denial of Service) che sono andati ad incidere non solo sui pc dei privati cittadini, ma anche e soprattutto su interi settori strategici come la finanza, la pubblica amministrazione e la sanità. 

Il piano d’azione europeo sulla cybersicurezza sanitaria: perché?

Per questo motivo il 15 gennaio 2025 la Commissione Europea ha varato il piano d’azione europeo volto a rafforzare la cybersicurezza nel settore sanitario, per proteggere ospedali e prestatori di assistenza sanitaria dagli attacchi informatici. 

La presidente Von der Leyen ha annunciato il piano come una delle priorità fondamentali dei primi 100 giorni del nuovo mandato, che porterà alla creazione di un ambiente più sicuro e protetto sia per i pazienti che per gli operatori del settore sanitario, con lo scopo di rafforzare la capacità di individuare le minacce informatiche e di preparare gli operatori a rispondere prontamente agli attacchi, rafforzando così la fiducia dei pazienti e degli operatori nell’assistenza sanitaria digitale

Le priorità del piano d’azione europeo sulla cybersicurezza sanitaria

Il piano presentato lo scorso gennaio si fonda su quattro priorità: 

  • prevenzione rafforzata, poiché il piano contribuisce a sviluppare le capacità del settore sanitario in materia di prevenzione degli incidenti di cibersicurezza, attraverso misure di preparazione rafforzate, quali ad esempio degli orientamenti sull'attuazione di pratiche critiche in materia di cibersicurezza; gli Stati membri potranno inoltre introdurre voucher per la cybersicurezza per fornire assistenza finanziaria alle micro, piccole e medie strutture ospedaliere e di prestazione di assistenza sanitaria; il piano, infine, prevede che l'UE svilupperà risorse di apprendimento in materia di cybersicurezza per gli operatori sanitari;
  • migliore rilevamento e identificazione delle minacce, in quanto il Centro di sostegno alla cybersicurezza per gli ospedali e i prestatori di assistenza sanitaria svilupperà, entro il 2026, un servizio di allarme rapido a livello europeo, che trasmetterà un'allerta in tempo quasi reale sulle potenziali minacce informatiche;
  • risposta agli attacchi informatici per ridurne al minimo l'impatto, poiché il piano propone un servizio di risposta rapida per il settore sanitario nel quadro della riserva dell'UE per la cybersicurezza; nello specifico, saranno sviluppati dei protocolli per guidare gli istituti sanitari ad affrontare e rispondere alle minacce cyber (compresi i ransomware) e contemporaneamente sarà possibile svolgere delle esercitazioni nazionali di cybersicurezza; gli Stati membri vengono incoraggiati, nel piano, a chiedere agli enti sanitari di segnalare il pagamento di riscatti, in modo da poter fornire loro il sostegno di cui hanno bisogno e garantire, al contempo, le successive indagini da parte delle autorità competenti;
  • deterrenza, al fine di proteggere i sistemi sanitari europei dissuadendo i criminali informatici dall'attaccarli; in tal senso è prevista una risposta diplomatica comune dell’Unione Europea nei confronti dei criminali informatici.

Il Centro paneuropeo di sostegno alla cybersicurezza

Il piano d’azione propone l’istituzione di un Centro paneuropeo di sostegno alla cybersicurezza per gli ospedali e i prestatori di assistenza sanitaria, al fine di fornire loro orientamenti, strumenti e servizi su misura per fronteggiare gli attacchi informatici. 

Il Centro sarà istituito presso l’ENISA, l’Agenzia UE per la cybersicurezza, e garantirà l’attuazione del piano in modo coerente e razionalizzato, evitando lo spreco di creare nuove strutture amministrative ulteriori, sfruttando quelle già esistenti. 

Il Centro avrà il compito di sviluppare un catalogo completo di servizi e soluzioni concrete per rafforzare la cybersicurezza nel settore sanitario, lavorando a stretto contatto con gli Stati membri e con le organizzazioni sanitarie, delle quali studierà le esperienze concrete. 

Leggi anche

Le prossime tappe per l’attuazione del piano d’azione

L’ENISA supporterà gli ospedali e gli operatori sanitari nell’attuazione del piano d’azione, in vari step, suddivisi tra il 2025 e il 2026. 

In particolare, per l’anno 2025 sono previste quattro macro-tappe, che prevedono le seguenti attività: 

tappa Q1 

  • istituzione di un comitato consultivo congiunto sulla sicurezza informatica sanitaria,
  • esplorazione le opzioni per fornire sostegno al settore sanitario per i test di preparazione,
  • sviluppo di uno strumento di mappatura normativa per contribuire a ridurre al minimo gli oneri amministrativi.

tappa Q2 

  • avvio dei lavori per istituire un Centro europeo di supporto alla cibersicurezza per gli ospedali e gli ospedali operatori sanitari,
  • invito alle parti interessate alla sicurezza informatica a impegnarsi ad agire per affrontare le sfide,

tappa Q3 

  • sviluppo delle linee guida sulle pratiche di sicurezza informatica più critiche,
  • creazione di un quadro per le valutazioni della maturità della sicurezza informatica.
  • Elaborazione di nuove linee guida sugli appalti per la sicurezza informatica nel settore sanitario,
  • Offerta concreta di indicazioni per aiutare gli operatori sanitari a evitare il pagamento dei riscatti,

tappa Q4 

  • Creazione di un servizio di risposta rapida per il settore sanitario nella sicurezza informatica dell’UE
  • Elaborazione di un vero e proprio catalogo europeo delle vulnerabilità sfruttate note per i dispositivi medici, EHR e fornitori ICT,
  • Identificazione dei principali attacchi ransomware che prendono di mira il settore sanitario.
  • Adozione di raccomandazioni per perfezionare ulteriormente il Piano d'Azione
  • Avvio di progetti pilota per sviluppare le migliori pratiche per l'igiene informatica e il rischio per la sicurezza valutazione.

Per l’anno 2026 il piano prevede: 

  • La progettazione di corsi di formazione sulla cybersicurezza per gli operatori sanitari, 
  • La creazione di un servizio di allarme rapido europeo per gli attacchi Ransomware. 

Nel biennio 2025-2026, inoltre, l’ENISA effettuerà una valutazione annuale della “maturità” informatica sanitaria, creando programmi di voucher per la sicurezza informatica, che possano fornire assistenza finanziaria implementando le misure di sicurezza informatica, nonché rafforzandola cooperazione internazionale contro gli autori di attacchi Ransomware, anche attraverso le iniziative del gruppo di lavoro sulla sicurezza informatica del G7. 

Consulcesi seguirà per i suoi iscritti i progressi nell’attuazione del piano, tenendovi aggiornati sulle prossime novità. 

Di: Manuela Calautti, avvocato

Argomenti correlati

PrivacyTelemedicinaWeb Privacy

News e approfondimenti che potrebbero interessarti

Vedi i contenuti
Vedi i contenuti

La soluzione digitale per i Professionisti Sanitari

Consulcesi Club

    Contatti

    Via G.Motta 6, Balerna CH
    PEC: consulcesisa@legalmail.it

    Social media

    Termini e condizioni

    • Consulcesi SA
    • Via G.Motta 6, Balerna CH
    • 259458377
    • +41 916952060
    • PEC: consulcesisa@legalmail.it