Grazie ai regolamenti europei la cybersecurity nell’ambito della Sanità digitale risulta significativamente rafforzata. Direttiva NIS e GDPR, così come il nuovo framework sui dispositivi medici, stanno elevando i livelli di protezione dei sistemi di healthcare su tutto il territorio Ue. Pur avendo acquisito maggiore compiutezza il livello di armonizzazione tra Stati membri mostra ancora ipotesi di criticità. L’analisi del quadro e i nodi da sciogliere.
La premessa alla Direttiva NIS
L’avvento della Direttiva NIS e la sua applicazione nel settore sanitario rappresenta un passo importante per la cybersecurity in ambito healthcare. Negli ultimi anni, gli attacchi cibernetici alle strutture sanitarie si sono intensificati. Malware come WannaCry o NotPetya hanno messo a rischio il funzionamento di importanti strutture sanitarie in tutta Europa, con serie implicazioni per la sicurezza dei cittadini e la salute di migliaia di pazienti. Uno dei casi più recenti si è verificato nell’Ospedale Universitario di Rouen in Francia, dove gli operatori sanitari sono tornati per qualche giorno a lavorare solo con ‘carta e penna’.
La Direttiva NIS riguarda tutti gli Stati membri dell’Unione Europea e stabilisce requisiti in materia di cybersecurity per operatori di servizi essenziali o fornitori di servizi digitali. Uno dei settori di applicazione riguarda il settore sanitario ed il sottosettore degli istituti sanitari comprendente ospedali e cliniche private.
NIS: approvazione e implementazione
La Direttiva NIS è uno dei più importanti strumenti legislativi dell’Unione Europea in materia di cybersecurity. Approvata nel luglio 2016 ed entrata in vigore nel mese successivo, ha come obiettivo principale il conseguimento di livello comune elevato di sicurezza della rete e dei sistemi informativi dell’Unione Europea. Per raggiungere tale obiettivo, il diritto dell’UE prescrive che la Direttiva sia implementata attraverso disposizioni nazionali degli Stati Membri. Nonostante i numerosi ritardi da parte dei paesi europei (al 9 maggio 2018 la maggioranza degli Stati non si era ancora conformata, Italia inclusa, anche se per pochi giorni) il processo di implementazione negli Stati membri ha raggiunto un livello piuttosto avanzato.
NIS nel settore sanitario
Come noto, alcuni dei requisiti previsti dalla NIS sono rivolti agli Operatori di Servizi Essenziali (OSE). Tali soggetti sono chiamati ad adottare misure tecniche ed organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza delle reti e dei sistemi informativi e notificare gli incidenti con impatto rilevante sulla fornitura dei servizi essenziali.
Per comprendere chi sono gli OSE è importante evidenziare che questi soggetti devono essere identificati dagli Stati membri. Durante questo processo di identificazione, gli Stati membri sono chiamati a valutare, per ciascun sottosettore, quali servizi devono debbano essere considerati essenziali per il mantenimento di attività sociali ed economiche fondamentali, secondo determinati criteri e fattori.
Il settore sanitario è esplicitamente contemplato dalla Direttiva NIS. Gli istituti sanitari (compresi ospedali e cliniche private) sono indicati come sottosettore chiave per la cybersecurity, ed in particolare la categoria dei ‘prestatori di assistenza sanitaria’ (di cui alla Direttiva 2011/24/UE). I soggetti appartenenti a tali settori e categorie, una volta individuati dagli Stati membri come ‘OSE’, dovranno conformarsi ai requisiti NIS e contribuire a garantire un alto livello di cybersecurity all’interno degli Stati membri europei.
Gli Stati membri si sono mossi a livello nazionale con atti normativi interni per attuare la Direttiva per individuare servizi essenziali e OSE soggetti ai requisiti di legge. Quello che emerge, tuttavia, è che gli Stati hanno adottato strategie e metodologie non sempre coerenti tra di loro da una prospettiva europea, un aspetto che implica delle potenziali criticità.
La “pagella” della Commissione europea
Con una recente relazione, la Commissione Europea ha fatto il punto per valutare la coerenza degli approcci adottati dagli Stati membri, concentrandosi proprio sull’individuazione dei servizi essenziali e degli OSE nei vari settori individuati dalla Direttiva. La relazione riporta che gli Stati membri hanno sviluppato metodologie eterogenee per identificare gli OSE. Viene sottolineato ad esempio l’approccio dalla Finlandia, che nel settore sanitario ha identificato un numero molto elevato di operatori di servizi essenziali rispetto alla media europea. Un tale risultato evidenzia un potenziale impatto negativo sull’applicazione coerente della Direttiva NIS nell’Unione con possibili conseguenze per il mercato interno e la gestione delle dipendenze dell’informatica.
Un’altro punto della relazione riporta che esistono interpretazioni divergenti da parte degli Stati membri su ciò che costituisce un ‘servizio essenziale’ ai sensi della Direttiva NIS. Secondo la relazione, il numero di servizi individuati per il settore sanitario oscilla in una scala da 0 ad un massimo di circa 15 servizi identificati per Stato membro.
L’Italia sta nel mezzo: secondo i dati disponibili online avrebbe individuato otto settori. Un’individuazione così eterogenea e di differente granularità all’interno del territorio europeo può comportare casi di ‘mancata coerenza’ – per dirla con le parole della Commissione: ossia, che a parità di condizioni alcuni servizi siano identificati in alcuni Stati membri e non in tutti.
Si deve infine evidenziare il caso dei Paesi Bassi, dove la legge implementativa nazionale ha inizialmente tralasciato il settore healthcare nell’identificazione degli OSE.
Direttiva Nis, rischio frammentazione
Con questo primo screening effettuato dalla Commissione, si può concludere che se gli stati adottano approcci divergenti, c’è il rischio che l’applicazione della Direttiva risulti frammentato. Ad esempio, se si usa una metologia differente per individuare gli OSE, risulterà che alcuni operatori in uno Stato A risultano esposti a requisiti di legge, laddove – in un contesto analogo – altri operatori presenti nello Stato B non lo saranno. Sebbene la relazione evidenzi alcuni punti di criticità, si può allo stesso tempo riconoscerne gli effetti positivi. La Direttiva è servita da catalizzatore in numerosi Stati membri, aprendo la strada a veri e propri cambiamenti nel panorama istituzionale e normativo in materia di cybersecurity (come afferma la relazione stessa).
Non solo NIS: GDPR e altri strumenti
La Direttiva NIS è un importante tassello nel puzzle dell’healthcare cybersecurity. Si ricorda infine che altri strumenti legislativi dell’UE risultano rilevanti nel panorama europeo per gli operatori del settore sanitario, specialmente nell’ambito eHealth. Sulla sicurezza del trattamento di dati personali è bene ricordare i requisiti previsti del Regolamento 2016/679 (GDPR) e i principi chiave da esso istituiti come ‘integrità e riservatezza’. Per i dispositivi medici connessi, il nuovo Regolamento 2017/745 (MDR) è altrettanto importante in quanto impone obblighi di sicurezza chiave, rilevanti anche sotto un aspetto cybersecurity, per fabbricanti ed operatori economici sanitari.
Il bilancio complessivo
La Direttiva NIS ha promosso l’istituzione di misure per conseguire un livello elevato di sicurezza della rete e dei sistemi informativi in tutto il territorio europeo, applicabile anche nel settore sanitario. Le azioni intraprese dagli Stati membri hanno dato luogo ad una valutazione globale dei rischi da parte gli Stati membri portando a risultati iniziali in linea con gli obiettivi individuati della Direttiva. Restano in campo alcune ipotesi di criticità su cui sarà necessario lavorare.
*SAFECARE ha ricevuto finanziamenti dal programma di ricerca e innovazione di Horizon 2020 dell’Unione europea nell’ambito Grant Agreement n. 787002.
