CAMPANIA

Associazione Coordinamento Ospedalità Privata

News/ Nuova Direttiva NIS2

Torna alle news

Nuova Direttiva NIS2

Leggi articolo

La Sanità è un obiettivo particolarmente attraente per i cyber criminali, principalmente a causa della natura sensibile dei dati trattati, che includono informazioni personali e sanitarie dei pazienti, ma anche a causa della necessità critica di mantenere operativi i sistemi per garantire la continua erogazione di prestazioni sanitarie. Il 92% delle organizzazioni sanitarie ha subito almeno un attacco informatico negli ultimi 12 mesi, in aumento rispetto all’88% del 2023, e il 69% di queste ha dovuto interrompere l’assistenza ai pazienti come conseguenza.

In questo scenario, l’Unione Europea, tramite la Direttiva NIS 2 (Network and Information Security), ha stabilito una serie di misure di sicurezza al fine di stabilire un livello comune interstatale ed estendere il perimetro dei soggetti a cui è rivolta.

In particolare, la Direttiva NIS 2 e il relativo D.lgs. 4 settembre 2024, n. 138 di recepimento della stessa nel contesto italiano introducono una serie di requisiti da rispettare per i soggetti in perimetro, tra cui le aziende sanitarie. Nello specifico:

  1. Registrazione dei soggetti essenziali e importanti: le strutture sanitarie, come ospedali, cliniche e altre istituzioni che forniscono servizi essenziali, devono registrarsi alla piattaforma digitale che sarà messa a disposizione dall’ACN a partire dal primo dicembre 2024 e la cui chiusura era fissata al 28 febbraio 2025. La mancata registrazione costituisce una violazione assistita da una sanzione amministrativa pecuniaria con un importo fino al 0,1% del fatturato annuo su scala mondiale dell’organizzazione.
  2. Responsabilizzazione dell’Organo di Gestione: la gestione della sicurezza delle informazioni non è più un compito relegato esclusivamente alla funzione dei sistemi informativi, ma diventa una responsabilità diretta dell’Organo di Gestione (es. Direzione Strategica). La Direttiva NIS 2 con questo requisito non si limita a garantire che l’organo di gestione adotti le misure di sicurezza ma pone il focus sull’accountability degli organi apicali ovvero sulla necessità di rendere conto del proprio operato e affrontare le conseguenze legali delle proprie azioni.
  3. Governance: le organizzazioni devono adottare modelli organizzativi per la gestione della cybersecurity prevedendo figure (es. Responsabile della Sicurezza delle Informazioni) e comitati incaricati di gestire le istanze di sicurezza dell’azienda ospedaliera. Tale dimensionamento organizzativo permette di separare le attività relative al governo della sicurezza informatica rispetto a quelle operative/tecniche migliorando le capacità di gestione di entrambe.
  4. Gestione del rischio: i soggetti essenziali devono implementare ed adottare una metodologia di analisi del rischio (basata su un approccio multirischio) e misure di sicurezza adeguate a mitigare tali rischi implementando controlli specifici per proteggere le reti e i sistemi informativi utilizzati per la fornitura di servizi sanitari.
  5. Garantire la sicurezza della catena di approvvigionamento: i soggetti essenziali devono implementare processi di gestione delle terze parti in termini di valutazione delle stesse sulla base di requisiti di sicurezza definiti dall’azienda ospedaliera in modo tale da allineare le pratiche di sicurezza dei fornitori a quelle dell’Organizzazione.
  6. Gestione degli incidenti: i soggetti essenziali devono rilevare, gestire e segnalare tempestivamente gli incidenti informatici significativi alle autorità competenti. Questo include la notifica di attacchi informatici che possono avere un impatto significativo sulla continuità dei servizi sanitari. A tale scopo l’azienda ospedaliera deve definire un processo di gestione che preveda gli aspetti di cui sopra oltre alla definizione di ruoli e responsabilità specifiche.
  7. Continuità operativa: le organizzazioni devono garantire che le attività aziendali possano proseguire senza interruzioni a fronte di un incidente significativo o un’interruzione dei servizi. Ciò parte da un’analisi (Business Impact Analysis) dei processi aziendali (terapie intensive, pronto soccorso, sale operatorie, etc.) in termini di impatti e criticità e nella predisposizione di piani di continuità operativa e disaster recovery che siano allineati con i requisiti di disponibilità individuati in fase di analisi.
  8. Valutazione della conformità: le autorità competenti possono effettuare valutazioni periodiche per verificare la conformità delle organizzazioni sanitarie ai requisiti della NIS 2.

Pertanto, solo attraverso la definizione di un corretto assetto organizzativo, in termini di ruoli e responsabilità, efficienti processi di sicurezza e una corretta gestione della catena di approvvigionamento, sarà possibile, insieme all’adozione di soluzioni tecnologiche, ridurre il rischio di rimanere vittime di incidenti informatici.

Le scadenze previste sono:

  • Entro febbraio 2025: censimento e registrazione dei soggetti
  • Entro marzo 2025: adozione dell’elenco dei soggetti NIS
  • Entro aprile 2025: notifica ai soggetti NIS (PEC ai soggetti inseriti nelle liste ufficiali)
  • Entro aprile 2025: elaborazione e adozione obblighi di base (come l’implementazione di una procedura per il contatto con le autorità CSIRT)
  • A partire da gennaio 2026: obbligo di notifica di base
  • Entro aprile 2026: elaborazione e adozione del modello di categorizzazione delle attività e dei servizi
  • Entro aprile 2026: elaborazione e adozione degli obblighi a lungo termine
  • Entro settembre 2026: completa implementazione delle misure di sicurezza di base.

Innogea, partner di Acop, ha organizzato un Webinar gratuito sulla “Nuova Direttiva NIS2” per il giorno 10/04/2025

L’evento è rivolto alle Direzioni generali e sanitarie, agli Shareholders, ai Risk Manager, ai Responsabili qualità e accreditamento, agli IT Manager.

Alla luce della Nuova Direttiva NIS2, il webinar si pone l’obiettivo di identificare requisiti e metodi necessari per l’applicazione della Normativa alle organizzazioni sanitarie. Per partecipare al live webinar è necessario inviare una mail con richiesta di iscrizione a eventi@innogea.com, entro l’08/04/2025. Per ulteriori informazioni potete consultare la locandina del presente webinar, oltre al Calendario generale dei Live Webinar Direzionali di Innogea (entrambi allegati di seguito), oppure inviare una e-mail a info@innogea.com o chiamare lo 091 7434774.

Si tratta del primo di un ciclo di Webinar Direzionali previsti come da calendario allegato tra i mesi di aprile e giugno 2025.

Calendario Live Webinar Direzionali – Innogea_Def Download