Partner Login
Security Awarness background

Come l’UE intende rafforzare la cybersicurezza nel settore sanitario

Scritto da Sherry Jones / 09.04.2025 /
Home » Blog » Come l’UE intende rafforzare la cybersicurezza nel settore sanitario

Di fronte all’aumento preoccupante degli attacchi informatici rivolti a ospedali, cliniche e operatori sanitari, la Commissione Europea ha deciso di intervenire con un nuovo piano d’azione. Questo progetto mira ad aiutare chi lavora nel settore sanitario a prevenire, individuare e gestire le minacce informatiche in modo più efficace.

Il piano, chiamato “Piano d’azione UE per la cybersicurezza di ospedali e fornitori di servizi sanitari”, include diverse iniziative: dalla creazione di un Centro di Supporto alla Cybersicurezza che opererà su scala europea, fino a fondi dedicati agli ospedali e strategie coordinate per affrontare gli incidenti di sicurezza.

Come ha detto Henna Virkkunen, Vicepresidente esecutiva della Commissione Europea per la Sovranità tecnologica, la Sicurezza e la Democrazia, “Prevenire è sempre meglio che curare. Dobbiamo fare in modo che questi attacchi non abbiano nemmeno la possibilità di accadere. Ma se succedono, dobbiamo essere pronti a individuarli rapidamente, reagire in fretta e rimettere tutto in funzione il prima possibile.”

Un problema di lunga data

Da anni le autorità occidentali riconoscono la necessità di affrontare le crescenti minacce informatiche ai sistemi sanitari. Quando un attacco cibernetico interrompe l’assistenza sanitaria, le conseguenze possono essere fatali e i dati più sensibili dei pazienti rischiano di essere esposti.

“Issues of life and death” as well as a serious threat to international security is how the head of the United Nations health agency characterized the healthcare cyber challenge in a speech before the UN Security Council last fall. 

Il direttore dell’agenzia sanitaria delle Nazioni Unite ha definito il problema come una “questione di vita o di morte” e una seria minaccia alla sicurezza internazionale, durante un intervento al Consiglio di Sicurezza dell’ONU lo scorso autunno.

Nel 2023, secondo l’European Repository of Cyber Incidents, gli eventi informatici nel settore sanitario sono quasi quadruplicati rispetto all’anno precedente. Gli Stati membri dell’UE hanno segnalato 309 gravi incidenti informatici che hanno colpito la sanità, più di qualsiasi altro settore critico.

Secondo una testimonianza davanti a una sottocommissione della Camera dei Rappresentanti degli Stati Uniti, Stati-nazione ostili attaccano quotidianamente i fornitori di servizi sanitari, a seguito del devastante attacco del 2024 a Change Healthcare.

“Non c’è tempo da perdere”, ha ribadito Luigi Rebuffi, Segretario Generale della European Cyber Security Organization, in una dichiarazione a sostegno del piano d’azione dell’UE.

Minacce informatiche al settore sanitario

Il ransomware: particolarmente devastante

Il ransomware rappresenta una delle minacce più gravi per il settore, come evidenziato nel piano d’azione: “Gli attacchi ransomware possono avere un impatto particolarmente dirompente sull’erogazione dei servizi sanitari, mettendo a rischio la sicurezza dei pazienti.”

Tra le conseguenze più gravi si registrano:

  • Ritardi nelle procedure mediche
  • Congestione nei pronto soccorso
  • Interruzioni dei servizi potenzialmente dannose o addirittura letali

Con l’aumento della digitalizzazione, crescono anche i punti d’ingresso per i cybercriminali. Il settore sanitario fa sempre più affidamento su tecnologie digitali, come cartelle cliniche elettroniche (EHR), telemedicina e diagnostica basata sull’intelligenza artificiale.

Secondo il Report on the State of the Digital Decade 2024, oltre tre quarti dei cittadini dell’UE possono accedere online alle proprie EHR.

Altre tecnologie digitali sanitarie includono:

  • Sistemi informativi clinici
  • Sistemi di gestione dei flussi ospedalieri
  • Sistemi per il rimborso dei trattamenti
  • Imaging medico
  • Dispositivi diagnostici
  • Dispositivi per il monitoraggio dei pazienti

Reparti come terapia intensiva, diagnostica per immagini, oncologia, cardiologia e altri servizi specialistici fanno ampio uso di dispositivi digitali, risultando particolarmente esposti ai rischi informatici. Anche la sicurezza della catena di approvvigionamento sanitaria è un aspetto cruciale.

Una minaccia in rapida escalation

Il 2023 è stato un anno critico per le violazioni nel settore sanitario, con oltre 133 milioni di record compromessi in 725 attacchi segnalati, secondo l’HIPAA Journal. La situazione è ulteriormente peggiorata nel 2024.

What the Change Healthcare Cyber Attack Means for the US Healthcare Industry

Alcuni dei principali attacchi al settore sanitario nel 2024:

  • Attacco ransomware a Change Healthcare. Nel febbraio 2024, Change Healthcare, società controllata da UnitedHealth, è stata vittima di un imponente attacco ransomware che ha compromesso i dati personali, finanziari e sanitari di circa 100 milioni di cittadini americani: la più grande violazione di informazioni sanitarie protette nella storia. L’attacco ha bloccato per oltre un mese l’elaborazione delle richieste mediche e dei pagamenti.
  • Violazione dei dati di National Public Data (NPD). Questa violazione, avvenuta all’inizio del 2024, ha esposto fino a 2,9 miliardi di record e coinvolto 170 milioni di persone. I dati rubati includevano nomi completi, numeri di previdenza sociale, indirizzi postali, email e numeri di telefono. L’autore ha avuto accesso ai sistemi a dicembre 2023 e ha diffuso i dati sul dark web da aprile all’estate del 2024.
  • Attacco a Synnovvis, da parte del gruppo russo Qilin. Il laboratorio di analisi è stato colpito da ransomware, causando gravi disagi a ospedali e pazienti nel Regno Unito: oltre 1.000 operazioni e appuntamenti sono stati rinviati e quasi 400 GB di dati privati sono stati pubblicati nel dark web.
Per approfondire: Le principali minacce alla cybersicurezza nel settore sanitario

Analisi del piano d’azione dell’UE per la cybersicurezza sanitaria

Le disposizioni principali del piano includono:

  • Prevenzione, formazione e risorse. Il piano propone linee guida sulle pratiche di cybersicurezza e su come implementarle; voucher per la cybersicurezza a favore di ospedali e fornitori sanitari di medie e piccole dimensioni; e risorse per sensibilizzare i professionisti sanitari, aspetto oggi spesso carente secondo gli studi.
  • Rilevamento e identificazione delle minacce. Si propone un sistema europeo di allerta precoce per segnalare minacce informatiche e un progetto per il completamento, entro il 2026, del Centro di Supporto alla Cybersicurezza per ospedali e fornitori sanitari.
  • Risposta rapida. La Riserva UE per la cybersicurezza, che fornisce servizi di risposta agli incidenti tramite provider privati, estenderà la propria attività al settore sanitario.
    Esercitazioni nazionali e manuali operativi guideranno le organizzazioni sanitarie su come rispondere rapidamente a minacce come ransomware e attacchi informatici, per limitarne l’impatto.
  • Deterrenza. Per scoraggiare gli attacchi informatici, il piano propone l’utilizzo del Cyber Diplomacy Toolbox, un’iniziativa diplomatica congiunta dell’UE che impiega la cooperazione internazionale e misure diplomatiche per contrastare le attività informatiche dannose, comprese quelle di origine statale.

Il piano d’azione e le normative UE esistenti

Il piano d’azione non rappresenta uno stravolgimento rispetto alle direttive europee già in vigore, ma ne costituisce un’evoluzione mirata a rafforzare la sicurezza in un settore particolarmente esposto come quello medico.

  • Il settore sanitario è già stato identificato come “ad alta criticità” nell Direttiva NIS2 dell’Unione Europea, che impone a ciascuno Stato membro l’adozione di una strategia nazionale per la cybersicurezza.
  • Il Quadro normativo NIS2 si integra con il Cyber Resilience Act, la prima legislazione europea che richiede l’integrazione della cybersicurezza in tutti i prodotti digitali, inclusi i dispositivi medici per diagnosi, trattamento e monitoraggio.
  • La Commissione ha inoltre attivato un Meccanismo di Emergenza Cibernetica previsto dal Cyber Solidarity Act, che rafforza la solidarietà tra Stati membri e promuove azioni coordinate per individuare, prevenire e affrontare efficacemente le minacce informatiche in continua crescita.

Insieme al piano d’azione, queste misure sono pensate per aumentare la resilienza e la sicurezza dell’infrastruttura sanitaria digitale, in vista anche dell’implementazione dell’ European Health Data Space, entrato in vigore il 26 marzo, che consente ai cittadini UE di avere pieno controllo sui propri dati sanitari.

Cosa cambia per ospedali e pazienti

Il piano d’azione dell’UE per la cybersicurezza nel settore sanitario sottolinea chiaramente che il comparto medico ha urgente bisogno di protezione per dispositivi e dati contro attacchi informatici sempre più frequenti e sofisticati. Il documento richiama a interventi proattivi, che spaziano dalla prevenzione alla rilevazione fino a una risposta tempestiva.

Agire prima che si verifichino minacce è il modo più efficace per tutelare la salute, i dati e la vita stessa dei pazienti. Durante l’audizione del 16 maggio sull’attacco a Change Healthcare, è emerso che in quasi un quarto delle organizzazioni colpite da una violazione informatica si registra un aumento dei tassi di mortalità.

Una formazione efficace sulla sicurezza informatica può ridurre in modo significativo questi rischi. Diversi studi raccomandano di promuovere una vera e propria cultura della sicurezza all’interno delle strutture sanitarie, implementando programmi completi di sensibilizzazione per il personale.

Come sottolineato da un rapporto del National Center for Biotechnology Information degli Stati Uniti: “Formare i dipendenti svolge un ruolo importante nel rafforzare la cybersicurezza.”

Il report suggerisce inoltre di includere contenuti sulla cybersicurezza già nei programmi di orientamento e formazione per i nuovi assunti, trattando temi come la gestione sicura dei dati sanitari, l’uso corretto delle e-mail e una navigazione web responsabile.

Dove trovare la formazione

Far partire un percorso di formazione sulla sicurezza informatica per tutto il personale non è mai una cosa facile. Spesso è complicato scegliere i materiali più adatti, soprattutto quando non si è sicuri che i contenuti siano davvero pertinenti per il proprio settore o la propria realtà lavorativa. Inoltre, la formazione deve essere coinvolgente e accompagnata da controlli per capire se davvero tutti hanno assimilato le informazioni necessarie per comportarsi in modo sicuro.

Il Security Awareness Service di Hornetsecurity aiuta le organizzazioni sanitarie di ogni dimensione a rafforzare le difese informatiche, formando i dipendenti affinché sappiano riconoscere e gestire le minacce digitali. Il nostro programma formativo completo può contribuire a:

  • Proteggere ospedali da attacchi ransomware e phishing
  • Assicurare la conformità alle normative europee in materia di cybersicurezza
  • Ridurre gli errori umani, che rappresentano la causa principale degli incidenti informatici
Security Awareness Service icon

Affronta le minacce informatiche nel settore sanitario con il Security Awareness Service

I criminali informatici stanno prendendo sempre più di mira gli ospedali, mettendo a rischio dati sensibili dei pazienti e la loro stessa incolumità. Il nuovo piano d’azione dell’UE per la cybersicurezza nel settore sanitario rappresenta un passo avanti importante, ma è fondamentale che gli ospedali adottino anche misure proattive per proteggere i propri sistemi.

Il servizio di Security Awareness di Hornetsecurity è un modo semplice ed efficace per formare i dipendenti, che sono la tua prima linea di difesa, sulle corrette pratiche di sicurezza. Prenota una demo oggi stesso per proteggere la tua struttura sanitaria.

Potrebbero interessarti anche