Home » News » Cybersecurity

L’EHDS, la NIS2 e l’impegno dell’Italia

di Umberto Saccone - 17 Marzo 2025
Umberto Saccone Adjunct Professor alla LUISS Business School

Lo Spazio Europeo dei Dati Sanitari (EHDS – European Health Data Space) è un’iniziativa dell’Unione Europea volta a creare un quadro comune per la gestione, la condivisione e l’utilizzo sicuro dei dati sanitari tra i Paesi membri. Il suo obiettivo principale è migliorare l’assistenza sanitaria, la ricerca e l’innovazione attraverso un uso più efficace e controllato di queste informazioni.

EHDS, MyHealth@EU e HealthData@

L’EHDS si basa su due livelli di utilizzo dei dati. Il primo livello riguarda l’uso primario, che si riferisce all’accesso ai dati sanitari da parte dei cittadini e dei professionisti sanitari per scopi di cura. Questo include le cartelle cliniche elettroniche, le prescrizioni digitali e altri documenti sanitari necessari per garantire continuità nelle cure, indipendentemente dal Paese in cui un paziente si trova. Il secondo livello è l’uso secondario dei dati, che consente il loro utilizzo per la ricerca scientifica, l’innovazione, la politica sanitaria e lo sviluppo di nuovi trattamenti. Questo uso è regolato per garantire la privacy e la sicurezza dei dati. Per assicurarne l’operatività sono stati sviluppati strumenti specifici come, MyHealth@EU, HealthData@EU e ultimo ma non ultimo il Regolamento EHDS.

MyHealth@EU è l’iniziativa pensata per facilitare l’accesso ai dati sanitari quando ci si trova in un altro Stato membro. In pratica, permette ai cittadini europei di ricevere assistenza medica all’estero con la stessa facilità con cui la riceverebbero nel loro Paese d’origine, grazie alla condivisione sicura delle informazioni sanitarie.

Uno degli aspetti più utili di MyHealth@EU è la possibilità di ottenere farmaci prescritti nel proprio Paese anche in una farmacia di un altro Stato membro, senza bisogno di una nuova prescrizione cartacea. Il farmacista locale può accedere ai dati della prescrizione elettronica e fornire il medicinale in base alle indicazioni del medico che lo ha prescritto. Questo è particolarmente comodo per chi viaggia spesso o si trova all’estero per lunghi periodi. Un altro servizio importante è il Patient Summary, un documento che riassume le informazioni essenziali sulla salute di una persona, come allergie, patologie croniche o farmaci in uso. Se un cittadino europeo ha bisogno di assistenza medica mentre è in un altro Paese, i medici locali possono accedere a queste informazioni e offrire cure più sicure e appropriate, evitando errori o trattamenti incompatibili con la sua storia clinica. Nei prossimi anni, MyHealth@EU prevede di integrare ulteriori servizi, come la condivisione di esami di laboratorio, immagini diagnostiche e referti ospedalieri. Questo significa che un cittadino potrebbe, per esempio, fare una risonanza magnetica in un Paese e permettere ai medici di un altro Stato membro di accedere direttamente ai risultati, senza bisogno di portare con sé copie cartacee o file digitali. L’obiettivo di tutto questo è garantire continuità nelle cure, maggiore sicurezza per i pazienti e ridurre la burocrazia tra i sistemi sanitari europei. Ovviamente, tutto avviene nel rispetto delle normative sulla protezione dei dati, con un’infrastruttura sicura che permette lo scambio di informazioni solo tra i Paesi che hanno aderito al programma.

HealthData@EU è invece un’infrastruttura progettata per consentire l’accesso ai dati sanitari con finalità di ricerca, innovazione e sviluppo di politiche sanitarie. Si tratta di un elemento centrale dello Spazio Europeo dei Dati Sanitari (EHDS) e nasce con l’obiettivo di sfruttare il vasto patrimonio di informazioni mediche disponibili nei vari Paesi membri, garantendo al tempo stesso elevati standards di sicurezza e protezione della privacy. Questa piattaforma non raccoglie i dati in un unico database centralizzato, ma si basa su un sistema federato, in cui i dati rimangono archiviati nei singoli Stati membri e vengono messi a disposizione solo su richiesta, in forma anonima o pseudonimizzata, a seconda delle necessità. Il suo funzionamento è pensato per agevolare ricercatori, istituzioni sanitarie, aziende farmaceutiche e enti pubblici nell’analisi di grandi quantità di dati sanitari, facilitando così la scoperta di nuovi trattamenti, il monitoraggio delle malattie e la valutazione dell’efficacia delle politiche sanitarie.

Gli obiettivi dell’EHDS

Il Regolamento EHDS (European Health Data Space) è la normativa proposta per regolamentare l’accesso, la condivisione e l’utilizzo dei dati sanitari all’interno dell’UE. Si tratta di un progetto ambizioso che mira a creare un sistema digitale integrato in cui i dati sanitari dei cittadini europei possano essere utilizzati in modo sicuro, sia per migliorare l’assistenza sanitaria che per supportare la ricerca e l’innovazione.

Uno degli obiettivi principali del Regolamento EHDS è garantire che i cittadini abbiano il controllo completo sui propri dati sanitari, permettendo loro di accedervi in qualsiasi momento e di condividerli facilmente con medici, ospedali e altri operatori sanitari, anche quando si trovano in un altro Paese dell’Unione Europea. Questo significa che, ad esempio, un paziente italiano in viaggio in Francia potrà autorizzare un medico locale a visualizzare la propria cartella clinica elettronica o a consultare le prescrizioni digitali emesse nel proprio Paese d’origine.

Allo stesso tempo, il regolamento prevede che i dati sanitari possano essere utilizzati anche per scopi di ricerca, innovazione e sviluppo di politiche sanitarie, attraverso un accesso regolamentato e protetto. In questo caso, i dati vengono anonimizzati o pseudonimizzati, in modo che non sia possibile risalire all’identità del paziente, e possono essere utilizzati da ricercatori, enti pubblici o aziende farmaceutiche per sviluppare nuove terapie, monitorare la diffusione delle malattie o migliorare i sistemi sanitari. Un altro elemento fondamentale del Regolamento EHDS è la sicurezza. Il sistema è progettato per garantire che i dati sanitari siano protetti da accessi non autorizzati e da attacchi informatici, rispettando gli standards più elevati di protezione della privacy, come quelli stabiliti dal Regolamento Generale sulla Protezione dei Dati (GDPR). Ogni Paese dovrà dotarsi di infrastrutture digitali adeguate per assicurare che la trasmissione dei dati avvenga in modo sicuro e che ogni accesso sia tracciabile e verificabile.

L’adozione del Regolamento EHDS rappresenta un passo decisivo per la creazione di uno spazio sanitario digitale unificato in Europa. Attualmente, ogni Stato membro gestisce i dati sanitari con regole e sistemi diversi, spesso non compatibili tra loro. Con questa normativa, l’Unione Europea vuole superare questi ostacoli, rendendo più facile la cooperazione tra i diversi Paesi e garantendo che tutti i cittadini abbiano lo stesso livello di diritti e protezione sui propri dati sanitari, indipendentemente da dove si trovino.

Il Regolamento EHDS e la Direttiva NIS 2

Sebbene il regolamento sia ancora in fase di definizione e implementazione, una volta pienamente operativo rivoluzionerà il modo in cui i dati sanitari vengono gestiti in Europa, migliorando l’efficienza dei sistemi sanitari, potenziando la ricerca medica e offrendo ai cittadini maggiore libertà e sicurezza nella gestione delle proprie informazioni sanitarie. Ovviamente, queste iniziative devono potersi coniugare in un quadro armonico all’interno di questo crescente intreccio di disposizioni obbligatorie. Tra queste appare meritevole di menzione il combinato disposto tra il Regolamento EHDS e la Direttiva NIS 2. Parliamo di due iniziative che si occupano di sicurezza e gestione dei dati, ma con obiettivi e ambiti di applicazione differenti. Tuttavia, sono strettamente collegate, in quanto entrambe riguardano la protezione delle infrastrutture digitali, comprese quelle sanitarie. Il Regolamento EHDS è focalizzato esclusivamente sul settore sanitario e sulla gestione dei dati sanitari a livello europeo. La Direttiva NIS 2, invece, riguarda la cybersicurezza in senso più ampio e si applica a diversi settori strategici, tra cui la sanità. NIS 2 impone obblighi di sicurezza informatica per le infrastrutture critiche e i servizi essenziali, come ospedali, laboratori medici e fornitori di servizi sanitari digitali. Il suo obiettivo è rafforzare la resilienza informatica degli Stati membri dell’UE contro attacchi informatici, proteggendo le reti e i sistemi da intrusioni, ransomware e altre minacce. Sebbene abbiano finalità diverse, queste due iniziative sono complementari. Il Regolamento EHDS stabilisce come i dati sanitari devono essere gestiti e condivisi, mentre la Direttiva NIS 2 impone regole per garantire la sicurezza informatica di questi sistemi. In altre parole, EHDS crea l’infrastruttura per l’uso e la condivisione dei dati sanitari, mentre NIS 2 si assicura che tale infrastruttura sia protetta da minacce informatiche. Questo significa che la sicurezza di queste informazioni diventa una priorità, ed è qui che entra in gioco NIS 2. Le strutture sanitarie, le piattaforme digitali e i fornitori di servizi che operano nell’ambito di EHDS dovranno rispettare i requisiti di sicurezza informatica stabiliti da NIS 2, adottando misure di protezione avanzate contro minacce informatiche. Di conseguenza, gli ospedali, i centri di ricerca, i fornitori di cartelle cliniche elettroniche e le piattaforme sanitarie digitali dovranno non solo conformarsi alle regole di EHDS per la gestione dei dati, ma anche rispettare le direttive di NIS 2 per proteggere i propri sistemi dagli attacchi informatici. Questo significa investire in cybersicurezza, sistemi di backup, monitoraggio delle reti e formazione del personale per prevenire eventuali violazioni. ​L’Italia sta attivamente partecipando al processo di implementazione dello Spazio Europeo dei Dati Sanitari (EHDS).​

Il Fascicolo Sanitario Elettronico (FSE)

Un elemento chiave di questa strategia è il Fascicolo Sanitario Elettronico (FSE), che in Italia rappresenta l’insieme dei dati e documenti digitali di tipo sanitario e sociosanitario generati da eventi clinici presenti e trascorsi riguardanti l’assistito. Il FSE ha lo scopo di tracciare la vita sanitaria degli assistiti, memorizzando le informazioni digitali prodotte sul territorio nazionale dalle strutture e dai professionisti autorizzati. L’assistito può accedere al FSE e decidere di rendere accessibili le proprie informazioni ad altri professionisti attraverso la manifestazione esplicita di un consenso alla consultazione. ​

Per garantire l’interoperabilità e la sicurezza nella gestione dei dati sanitari, l’Italia ha implementato l’Infrastruttura Nazionale per l’Interoperabilità del FSE (INI-FSE). Questa infrastruttura consente lo scambio telematico delle informazioni sanitarie e sociosanitarie tra le diverse regioni e province autonome, assicurando che le interazioni siano mediate da un sistema centrale che rispetta le normative di sicurezza e privacy. L’INI-FSE è collegata al National Contact Point for eHealth (NCPeH), che a sua volta si interconnette con l’infrastruttura europea eHealth Digital Service Infrastructure (eHDSI), facilitando l’interscambio di documenti sanitari tra l’Italia e gli altri Stati membri dell’Unione Europea. ​

Inoltre, nell’ambito del Piano Nazionale di Ripresa e Resilienza (PNRR), l’Italia sta investendo per potenziare il FSE, garantendone la diffusione, l’omogeneità e l’accessibilità su tutto il territorio nazionale. Questo include la realizzazione di un archivio centrale per memorizzare i dati clinici acquisiti dai sistemi utilizzati dai professionisti e dalle strutture sanitarie, nonché i dati autonomamente generati o raccolti dall’assistito e quelli provenienti da sistemi di telemedicina. Tali dati saranno rappresentati secondo il formato standard HL7 FHIR, assicurando l’interoperabilità a livello europeo. ​

Il HL7 FHIR

HL7 FHIR, che sta per Fast Healthcare Interoperability Resources, è uno standard sviluppato per rendere più semplice e immediato lo scambio di dati sanitari tra diversi sistemi. In pratica, serve a garantire che ospedali, cliniche, laboratori e software medici possano comunicare tra loro in modo fluido, senza le complicazioni tipiche dei vecchi standards di interoperabilità. Quello che rende FHIR così innovativo è il suo approccio moderno. A differenza dei precedenti standard HL7, che erano più complessi da implementare, FHIR è costruito su tecnologie ormai diffuse nel web. Questo significa che sviluppatori e aziende possono integrare facilmente i dati sanitari nei loro software, permettendo, ad esempio, ai pazienti di accedere alla propria cartella clinica direttamente da un’app o a un medico di recuperare informazioni importanti da un altro ospedale in pochi secondi.

Uno degli aspetti più importanti di FHIR è il suo impatto sulla sanità digitale. Grazie alla sua flessibilità, viene adottato in tutto il mondo, dagli Stati Uniti all’Europa, ed è alla base di molte iniziative per la gestione elettronica dei dati sanitari. Non solo facilita la comunicazione tra ospedali, ma è anche un punto di riferimento per le app sanitarie, la telemedicina e la ricerca clinica. L’obiettivo di HL7 FHIR è rendere il sistema sanitario più connesso, efficiente e sicuro, riducendo errori e migliorando la qualità dell’assistenza.

Conclusione

Su questi temi possiamo, in conclusione, dire che l’Italia sta lavorando attivamente per allinearsi agli obiettivi dello Spazio Europeo dei Dati Sanitari, attraverso l’implementazione e il potenziamento del Fascicolo Sanitario Elettronico e delle infrastrutture correlate, con l’obiettivo di migliorare l’accesso e la condivisione sicura dei dati sanitari sia a livello nazionale che europeo.

Il professor Umberto Saccone (nella foto), Direttore del Corso Executive “Security Risk Management” alla LUISS Business School, è Partner di Mead.

Logo MEAD
#Cybersecurity#Normative#Scenari#Security Management#Sicurezza Pubblica
Condividi questo articolo su:
Articoli correlati
Minacce AI cybersecurity
Cybersecurity

Minacce AI: il maggiore rischio cyber per le aziende nel 2025

Due terzi delle aziende in Europa, precisamente il 66%, considerano le minacce AI il maggiore rischio cyber per il loro business nel 2025, con i settori finanziario e dei servizi...
22 Aprile 2025 - Redazione
IBM X-Force Threat Intelligence Index 2025
Cybersecurity

IBM X-Force Threat Index 2025: furto di credenziali su larga scala si intensifica

L’X-Force Threat Intelligence Index 2025 pubblicato da IBM evidenzia che i criminali informatici hanno continuato a orientarsi verso tattiche più furtive, con un aumento dei furti di credenziali di basso...
18 Aprile 2025 - Redazione
Resilienza informatica
Cybersecurity

Complessità dell’infrastruttura IT ostacolo per la resilienza informatica

Secondo la nuova ricerca “Unlock the Resilience Factor” di Zscaler, la complessità delle infrastrutture IT e di sicurezza è indicata come il principale ostacolo al raggiungimento della resilienza informatica, e...
15 Aprile 2025 - Redazione
Altre news da: Cybersecurity
Ferdinando Mancini Proofpoint
Cybersecurity

AI: strumento potente e alleato necessario per la cybersecurity

I team di cybersecurity, nel panorama odierno, si trovano a dover fronteggiare minacce informatiche sempre più sofisticate e pervasive. Si tratta di una vera e propria “sfida titanica”, sottolinea Ferdinando...
9 Aprile 2025 - Redazione
Selena Larson Proofpoint
Cybersecurity

RMM: nuova arma in mano ai cybercriminali

Un numero sempre maggiore di attori di minacce fa uso di strumenti di Remote Monitoring and Management (RMM) legittimi nelle campagne email come payload di primo livello per i cyberattacchi...
2 Aprile 2025 - Redazione
Check Point sicurezza digitale
Cybersecurity

Sicurezza digitale: fondamentale in periodi di crisi. La resilienza? Inizia dalla strategia

Nel mondo sempre più connesso in cui viviamo, lo strato invisibile che sostiene ogni moderna risposta alle emergenze è il digitale: dall’elettricità ai servizi di emergenza, dall’assistenza sanitaria alla logistica...
2 Aprile 2025 - Redazione

RIVISTA

Scarica l’ultimo numero in versione PDF.

Fiere ed eventi

S NewsLetter

Rimani sempre aggiornato sulle ultime novità della sicurezza.

Ho letto e compreso la vostra privacy policy.