Negli ultimi anni gli ospedali e più in generale i servizi sanitari sono stati spesso nel mirino dei criminali informatici. Si tratta infatti di bersagli molto appetibili, per vari motivi: hanno una estrema necessità di restare sempre operativi, gestiscono dati sensibili, hanno infrastrutture che vanno digitalizzandosi ma che sono raramente progettate da zero per la sicurezza cyber IT e OT.

Insomma, per come sono strutturate e per la loro criticità le strutture ospedaliere e sanitarie andrebbero protette molto più di quanto lo sono al momento, mediamente. Per questo la Commissione Europea ha lanciato un vero e proprio Action Plan volto in modo specifico ad aumentare la cybersecurity del settore, attraverso una serie di azioni e iniziative coordinate.

La Commissione sottolinea che il nuovo Action Plan affianca alcune normative già esistenti e collegate alla cybersecurity, in particolare la direttiva NIS2 e il Cyber Resilience Act. L'Action Plan però se ne differenzia perché è focalizzato in modo specifico sulle vulnerabilità degli ospedali e delle altre strutture sanitarie e di cura, indicando che la Sanità, nel suo sviluppo digitale, ha ancora bisogno di norme mirate per aiutarla a implementare misure anche basiche di cybersecurity, awareness e gestione efficace degli incidenti.

Il primo passo dell'Action Plan è la creazione di un Cybersecurity Support Centre, ospitato e gestito da ENISA, che si pone l'obiettivo di fornire formazione, strumenti e servizi per la cybersecurity delle strutture sanitarie. Il centro svilupperà anche, entro il 2026, un servizio di "early warning" che segnali in tempo quasi reale l'emergere di nuove minacce cyber mirate al settore ospedaliero. Il Cybersecurity Support Centre avrà anche il compito di monitorare l'implementazione dell'Action Plan stesso, con report periodici, e di definire un elenco ufficiale delle soluzioni disponibili che possono rafforzare la cybersecurity del settore sanitario.

Lato prevenzione, il piano prevede attività di formazione, esercizi sul campo e awareness che aiutino le strutture ospedaliere a mettere in atto le pratiche di cybersecurity più importanti. Dato che l'implementazione di queste misure è spesso anche limitata dalla poca disponibilità di fondi, agli Stati memebri è dato il compito di aiutare le strutture più "bisognose" erogando voucher specifici.

Questione di incident response

Il punto chiave dell'Action Plan è però soprattutto mettere in grado ospedali e strutture sanitarie di reagire rapidamente e in modo efficace agli attacchi di cui possono essere vittima. A questo scopo, il piano prevede tra l'altro la creazione di un servizio specifico per il ripristino dell'operatività dopo un attacco ransomware e "apre" agli ospedali l'accesso alla EU Cybersecurity Reserve, un insieme di servizi di incident response forniti da service provider ben identificati e considerati affidabili che è stato definito nel Cyber Solidarity Act.

Tra le righe, l'Action Plan ammette che gli ospedali possono trovarsi costretti a pagare un riscatto dopo essere stati colpiti da un attacco ransomware riuscito. Ci sono norme che lo vietano, ma il piano si limita ad indicare che gli Stati membri "sono incoraggiati a richiedere la comunicazione del pagamento di un riscatto", non in una logica punitiva ma per poter fornire alle strutture coinvolte "il supporto di cui hanno bisogno e per permettere un follow-up da parte delle autorità di Polizia".

Come è già capitato per Action Plan simili, l'annuncio della Commissione è anche un invito alla collaborazione presentato al settore di riferimento, ossia la Sanità. Misure più dettagliate verranno infatti definite dopo una consultazione pubblica e, nelle intenzioni, saranno progressivamente implementate nel corso del 2025 e del 2026. Entro la fine del 2025, inoltre, dovrebbe essere definito un piano strutturato per la sicurezza cyber del settore medico-sanitario europeo.