La Commissione vuole un centro dedicato alla salute nell’agenzia per la sicurezza informatica dell’UE – Euractiv Italia

La Commissione europea ha presentato un piano d’azione a livello UE per salvaguardare il settore sanitario dell’Unione, che prevede anche la creazione di un centro dedicato presso l’agenzia europea per la sicurezza informatica ENISA volto a proteggere le organizzazioni sanitarie dalle minacce informatiche.

Con un ospedale su due in Europa vittima di un attacco informatico, secondo il Commissario per la Salute Oliver Varhelyi, e l’impegno della presidente della Commissione Ursula von der Leyen ad affrontare il problema entro 100 giorni dal suo secondo mandato, la pressione per ottenere risultati è alta.

Il piano, annunciato mercoledì, spera di risolvere vari problemi informatici che hanno un impatto sul settore sanitario. Molti di questi problemi sono aggravati dall’alta probabilità che vengano pagati dei riscatti, poiché il mancato pagamento potrebbe letteralmente rappresentare una situazione di vita o di morte.

Il piano contribuisce ad affrontare la situazione creando un Centro di supporto alla sicurezza informatica all’interno dell’Agenzia dell’Unione europea per la sicurezza informatica (ENISA), che fornisce alle organizzazioni un supporto di base personalizzato in materia di sicurezza informatica.

Produrrà inoltre risorse didattiche sulla sicurezza informatica per gli operatori sanitari e, entro il 2026, svilupperà un servizio di allerta a livello dell’UE in caso di rilevamento di minacce.

Sebbene il nuovo piano eserciti maggiore pressione sull’attuazione dell’ENISA, non sono previsti nuovi finanziamenti.

Inoltre, il piano d’azione mira a stabilire un servizio di risposta specifico per l’assistenza sanitaria nell’ambito della riserva di sicurezza informatica dell’UE del Cyber ​​Solidarity Act (CSA). Questa riserva supporta i Paesi dell’UE nella risposta a incidenti informatici su larga scala fornendo assistenza tecnica, coordinamento e risorse finanziarie.

La Commissione prevede inoltre di utilizzare il Cyber ​​Diplomacy Toolbox, un meccanismo di coordinamento dell’UE per dichiarazioni diplomatiche e sanzioni, per scoraggiare attività informatiche dannose, il che andrebbe a vantaggio del settore sanitario.

Per quanto riguarda le risorse, la Commissione chiede ai Paesi dell’UE di contribuire finanziariamente e raccomanda l’elaborazione di “voucher per la sicurezza informatica” per sostenere l’aumento della spesa per la sicurezza informatica da parte delle piccole organizzazioni sanitarie, simili ai “voucher per l’innovazione” che hanno sostenuto i finanziamenti per le PMI.

La Commissione ha anche incoraggiato i Paesi a richiedere alle entità sanitarie di segnalare i pagamenti dei riscatti, ma questo è un punto complesso poiché se da un lato i governi nazionali spesso ordinano alle istituzioni pubbliche di non pagare, molti lo fanno per riprendere il controllo dei loro sistemi. Pagare un riscatto rende anche meno probabile una segnalazione in merito.

Sebbene l’assistenza sanitaria sia vincolata dalle normative informatiche dell’UE, tra cui la direttiva NIS2, che stabilisce gli standard per la sicurezza informatica e la segnalazione informatica di entità importanti e critiche, tale direttiva viene recepita tardivamente nella maggior parte degli Stati membri dell’UE.

Il settore sanitario è interessato anche dal Cyber ​​Resilience Act (CRA), il regolamento dell’UE sulla sicurezza informatica che protegge i prodotti, compresi i componenti software.

Si prevede che la Commissione avvierà una consultazione pubblica sul piano d’azione, che dovrebbe tradursi in una raccomandazione non vincolante entro la fine del 2025.

Un obiettivo primario per i criminali informatici

Il settore sanitario è tra i settori più presi di mira a causa delle sue dinamiche ad alto rischio.

Secondo gli ultimi dati ENISA, quasi il 54% degli attacchi rivolti al settore sanitario tra gennaio 2021 e marzo 2023 erano ransomware, con gli ospedali presi di mira nel 42% dei casi.

Le istituzioni sanitarie sono generalmente meno mature in ambito informatico rispetto ad altri settori e i dirigenti spesso danno priorità agli investimenti in strumenti medici rispetto ai sistemi IT e alla protezione informatica. Inoltre, assumere professionisti della sicurezza informatica è anche una sfida per il settore, poiché il settore privato solitamente offre opportunità più interessanti.

Il piano d’azione è stato presentato dalla vicepresidente esecutiva della Commissione responsabile della sovranità tecnologica, Henna Virkkunen, e da Várhelyi.

“Dobbiamo avere tutto il necessario per rilevare [le minacce informatiche] e reagire e recuperare rapidamente”, ha affermato Virkkunen.

[A cura di Alice Taylor-Braçe]

Leggi qui l’articolo originale.