Saccone, NIS 2: quali obblighi per le aziende sanitarie?
La NIS 2 è la Direttiva (UE) 2022/2555 del Parlamento Europeo e del Consiglio, che aggiorna la precedente direttiva NIS (Network and Information Security) del 2016. Ha l’obiettivo di rafforzare la sicurezza informatica nell’Unione Europea, soprattutto nei settori critici, a fronte dell’aumento e della complessità degli attacchi informatici, introducendo una serie di obblighi e misure per migliorare la resilienza e la risposta agli attacchi subiti dagli Stati membri e dalle organizzazioni operanti in settori essenziali.
La Direttiva, rispetto alla previgente, si applica a un maggior numero di soggetti considerati essenziali e importanti, come il sanitario, l’energia, il trasporto, le finanze, le infrastrutture digitali, i servizi pubblici, le industrie chimiche e la fornitura di acqua potabile, e introduce criteri dimensionali (sono incluse anche realtà di medie dimensioni).
Le aziende devono adottare misure di sicurezza più stringenti per prevenire e mitigare i rischi informatici. Devono anche implementare un sistema di gestione della sicurezza delle informazioni, valutare regolarmente i rischi e adottare pratiche di gestione della continuità operativa.
Le organizzazioni devono segnalare entro 24 ore all’ACN (Agenzia per la Cybersicurezza Nazionale) eventuali incidenti rilevanti per la sicurezza, seguendo un processo di notifica diviso in fasi. Questo include un rapporto iniziale, un rapporto intermedio e una relazione finale sull’incidente. L’ACN è designata come Autorità nazionale competente NIS e punto di contatto unico, con il compito di coordinare l’attuazione del decreto che recepisce la Direttiva e collaborare con le autorità di settore per garantire la sicurezza informatica. Sono ovviamente previste sanzioni per le organizzazioni che non rispettano gli obblighi stabiliti, al fine di incentivare l’adozione di adeguate misure di sicurezza.
La NIS2 e l’Italia
Questo decreto rappresenta un passo significativo verso il rafforzamento della resilienza informatica in Italia, allineando il Paese agli standards europei in materia di sicurezza delle reti e dei sistemi informativi.
La NIS 2 introduce controlli e sanzioni più severe, con poteri estesi per le autorità di vigilanza nazionali, che possono emettere multe significative e imporre misure correttive obbligatorie in caso di non conformità. Le aziende devono considerare anche i rischi legati ai fornitori e ai partners commerciali. Devono monitorare e valutare le pratiche di sicurezza dei fornitori per prevenire attacchi indiretti.
La NIS 2 richiede che gli Stati membri recepiscano la direttiva nella legislazione nazionale entro il 2024, per garantire una sicurezza informatica più uniforme e coordinata tra i Paesi dell’Unione Europea. L’Italia ha recepito la Direttiva NIS 2 attraverso il Decreto Legislativo n. 138 del 4 settembre 2024, pubblicato nella Gazzetta Ufficiale n. 230 del 1° ottobre 2024. Questo decreto è entrato in vigore il 16 ottobre 2024, stabilendo misure volte a garantire un elevato livello di sicurezza informatica a livello nazionale e contribuendo a incrementare la sicurezza comune nell’Unione Europea.
La sicurezza informatica nella sanità: dati e analisi
L’uniforme gestione della sicurezza informatica e una risposta strutturata dovrebbero soddisfare le esigenze di tutela di un ambito altamente critico che registra, senza soluzione di continuità, gravi violazioni nel mondo della digitalizzazione allargata, come quello della sanità digitale, che guarda alla telemedicina, alle cartelle cliniche elettroniche integrate e ai dispositivi di monitoraggio remoto accessibili a tutti, che ne fanno uno degli ambiti più insicuri in questo millennio altamente tecnologico.
Nel 2023, a livello globale, sono stati registrati 2.779 attacchi informatici gravi, segnando un aumento del 12% rispetto al 2022. In Italia, nello stesso anno, si sono verificati 310 attacchi gravi, rappresentando l’11% del totale mondiale e un incremento del 65% rispetto all’anno precedente. Nel secondo trimestre del 2024, Check Point Research ha rilevato un aumento del 30% degli attacchi informatici a livello globale, con una media di 1.636 attacchi settimanali per organizzazione. Questi dati evidenziano una crescita costante delle minacce informatiche sia a livello globale sia in Italia, sottolineando l’importanza di adottare misure di sicurezza adeguate per proteggere le infrastrutture digitali.
Sempre nello stesso periodo, il settore sanitario ha rappresentato il 14% degli attacchi informatici globali, con un aumento del 30% rispetto all’anno precedente. Nel primo trimestre del 2023, gli attacchi alle organizzazioni sanitarie hanno costituito il 17% del totale globale, rispetto al 12% dello stesso periodo nel 2022. Questi dati evidenziano una crescente vulnerabilità del settore sanitario, sottolineando la necessità di rafforzare le misure di sicurezza per proteggere le informazioni sensibili e garantire la continuità dei servizi sanitari. Secondo il Rapporto Clusit 2024, negli ultimi cinque anni gli attacchi cyber a livello globale sono aumentati del 110%, con il settore sanitario particolarmente colpito. In particolare:
- nel primo semestre 2024: il 13% degli attacchi informatici globali ha riguardato il settore sanitario, rappresentando il numero di incidenti più elevato mai registrato.
- In Italia: gli attacchi informatici nel settore sanitario sono triplicati negli ultimi quattro anni, evidenziando una crescente vulnerabilità delle strutture sanitarie italiane, con impatti devastanti tra cui:
- interruzione dei servizi con ritardi nelle procedure mediche e negli esami diagnostici;
- aumento delle complicazioni nelle procedure a causa di ritardi o mancanza di accesso a informazioni critiche;
- in alcuni casi, è stato registrato un incremento del tasso di mortalità dei pazienti;
- furto di dati sensibili;
- responsabilità amministrativa delle aziende e responsabilità penale delle linee datoriali.
Le principali cause
Tra le principali cause di questa elevata vulnerabilità:
- l’adozione accelerata di tecnologie digitali senza adeguate misure di sicurezza;
- utilizzo di software e hardware non aggiornati, facilmente sfruttabili dagli hackers;
- mancanza di consapevolezza e formazione del personale sanitario sulle minacce informatiche;
- l’assenza di un gestionale che possa garantire il costante monitoraggio dei vari supporti medicali.
Possibili Soluzioni per le aziende sanitarie e la NIS2
La protezione di questi dati è fondamentale non solo per garantire la privacy dei pazienti, ma anche per assicurare la continuità e l’efficacia dei servizi medicali. È quindi essenziale che le strutture sanitarie adottino un approccio proattivo alla sicurezza informatica.
Il mancato rispetto delle disposizioni del Decreto Legislativo n. 138 del 4 settembre 2024 (che ha recepito la Direttiva NIS2) comporta significative responsabilità per le organizzazioni coinvolte. In particolare, sono previste sanzioni amministrative pecuniarie che possono raggiungere fino a 10 milioni di euro o il 2% del fatturato annuo globale dell’azienda, a seconda di quale importo sia superiore. Oltre alle sanzioni pecuniarie, il decreto prevede responsabilità personali per gli amministratori delle aziende. In caso di mancata conformità, gli organi direttivi possono essere ritenuti responsabili e soggetti a sanzioni specifiche, anche di natura disciplinare.
Per evitare tali conseguenze, è fondamentale che le aziende valutino l’applicabilità del decreto alla propria operatività e adottino le misure necessarie per garantire la conformità alle nuove disposizioni in materia di sicurezza informatica.
Gli interventi del legislatore
Per stimolare le imprese e la Pubblica Amministrazione il legislatore è intervenuto con significative modifiche al Codice penale, al codice di Procedura Penale e al D.lgs. 231/2001. Per quanto attiene al Codice penale la L.90/2024, tra le altre novità, ha introdotto nuove fattispecie di reato come l’estorsione informatica ai sensi dell’art. 629, comma 3, del Codice Penale. Il reato viene sanzionato nel caso di:
- accesso abusivo a sistema informatico o telematico;
- danneggiamento di informazioni, dati e programmi informatici;
- danneggiamento di sistemi informatici o telematici;
- danneggiamento di sistemi informatici o telematici di pubblica utilità;
- intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche;
- falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche.
La L. 90/2024 ha apportato modifiche significative anche nel Codice di Procedura Penale. In particolare:
- durata delle indagini preliminari: per i reati informatici, tra cui l’estorsione informatica, la durata massima delle indagini preliminari è stata estesa a due anni;
- intercettazioni: è stata estesa la disciplina delle intercettazioni prevista per i fatti di criminalità organizzata ai reati informatici coordinati dal Procuratore Nazionale Antimafia e Antiterrorismo;
- competenza delle indagini: le indagini preliminari relative ai reati informatici, inclusa l’estorsione informatica, sono attribuite alla Procura Distrettuale.
Queste modifiche al Codice di Procedura Penale sono state introdotte per adeguare le procedure investigative alla complessità dei reati informatici, garantendo strumenti più efficaci per il loro contrasto.
Il reato di estorsione informatica è stato altresì inserito tra i reati presupposto per la responsabilità amministrativa degli enti di cui al Decreto Legislativo 231/2001.
In particolare, l’articolo 24-bis del D.Lgs. 231/2001, che disciplina i “Delitti informatici e trattamento illecito di dati”, è stato integrato con un nuovo comma 1bis. Questo comma prevede che, in relazione alla commissione del delitto di estorsione informatica (articolo 629, comma 3, del Codice penale), si applichi all’ente la sanzione pecuniaria da trecento a ottocento quote. Inoltre, nei casi di condanna per tale delitto, sono previste sanzioni interdittive per una durata non inferiore a due anni.
Queste modifiche evidenziano l’importanza per le organizzazioni di aggiornare i propri Modelli di Organizzazione, Gestione e Controllo ai sensi del D.Lgs. 231/2001, al fine di includere misure preventive specifiche per mitigare i rischi legati all’estorsione informatica. Tali misure possono comprendere:
- l’adozione di politiche più rigide in materia di cybersecurity,
- la formazione del personale sulle nuove minacce e
- l’implementazione di controlli di sicurezza avanzati per prevenire accessi non autorizzati ai sistemi e proteggere le informazioni sensibili aziendali.
Il professor Umberto Saccone (nella foto), Direttore del Corso Executive “Security Risk Management” alla LUISS Business School, è Partner di Mead.