BRUXELLES - La Commissione europea ha presentato un piano d’azione per proteggere il settore sanitario, gli ospedali e i fornitori di servizi sanitari da attacchi informatici. “Migliorando le capacità di rilevamento delle minacce, la preparazione e le capacità di risposta degli ospedali e dei fornitori di servizi sanitari, creerà un ambiente più sicuro e protetto per i pazienti e gli operatori sanitari”, spiega l’esecutivo europeo.  

Secondo i dati di Bruxelles, nel 2023 sono stati 309 gli incidenti informatici definiti “significativi” che hanno interessato il settore sanitario europeo. Il piano era stato annunciato negli orientamenti politici della presidente della Commissione Europea, Ursula von der Leyen, come una priorità fondamentale nei primi 100 giorni del suo nuovo mandato. 

Il piano d’azione propone, tra le altre cose, che l’Enisa, l’agenzia della Ue per la sicurezza informatica, istituisca un centro paneuropeo di supporto alla sicurezza informatica per gli ospedali e i fornitori di servizi sanitari, per fornire loro indicazioni, strumenti, servizi e formazione su misura. L’iniziativa si basa sul più ampio quadro dell’Unione europea per rafforzare la sicurezza informatica nelle infrastrutture critiche e segna la prima iniziativa di settore per introdurre l’intera gamma di misure sulla sicurezza informatica dell’Ue. 

Il piano presentato oggi si concentrerà su quattro priorità: la prima è la messa in atto di un sistema di prevenzione rafforzata, con misure di preparazione preventive per creare la capacità di risposta del settore sanitario ad attacchi informatici. 

In secondo luogo, è previsto un miglioramento del rilevamento e dell’identificazione delle minacce. Il Centro di supporto alla sicurezza informatica svilupperà, entro il 2026, un servizio di allerta precoce in tutta l’Ue, che fornirà avvisi in tempi brevi su potenziali minacce informatiche. 

La terza priorità riguarda la risposta agli attacchi informatici, per ridurne al minimo l’impatto. Il piano propone un servizio di risposta rapida per il settore sanitario, nell’ambito della Riserva Ue per la sicurezza informatica. Istituita nel Cyber Solidarity Act, la Riserva fornisce servizi di risposta agli incidenti da parte di fornitori di servizi privati di fiducia. Come parte del piano, possono avere luogo esercitazioni nazionali di cybersecurity ed è previsto lo sviluppo di libri tecnici, per guidare le organizzazioni sanitarie a rispondere a specifiche minacce alla sicurezza informatica, tra cui il ransomware

In quarto luogo, sarà fondamentale la deterrenza, per proteggere i sistemi sanitari europei, dissuadendo gli autori delle minacce informatiche dall’attaccarli. Questo include l’uso del Cyber Diplomacy Toolbox, una risposta diplomatica congiunta della Ue alle minacce informatiche dannose. 

La Commissione avvierà presto anche una consultazione pubblica aperta a tutti i cittadini e alle parti interessate. Le azioni specifiche del piano d’azione saranno attuate progressivamente nel 2025 e nel 2026. I risultati della consultazione saranno poi utilizzati per formulare ulteriori raccomandazioni entro la fine dell’anno.