Relatrice : Daniela CÎMPEAN (RO/PPE), presidente del consiglio distrettuale di Sibiu

RACCOMANDAZIONI POLITICHE

IL COMITATO EUROPEO DELLE REGIONI (CdR)

1.

osserva che le misure di cibersicurezza non hanno tenuto il passo con la trasformazione digitale in corso nelle istituzioni sanitarie e nell’assistenza sanitaria, con la conseguenza concreta che l’assistenza sanitaria è diventata uno dei bersagli principali di soggetti che operano in mala fede;

2.

accoglie con favore, a tale proposito, la pubblicazione del piano d’azione europeo sulla cibersicurezza degli ospedali e dei prestatori di assistenza sanitaria, di cui riconosce l’opportunità in questo periodo e l’importanza di fronte ai crescenti attacchi informatici contro gli ospedali e i prestatori di assistenza sanitaria in Europa;

3.

avverte che le minacce alla cibersicurezza hanno implicazioni geopolitiche ed è fermamente convinto che la cibersicurezza nell’assistenza sanitaria sia una questione non solo di rilevanza tecnica, ma anche di sicurezza a livello locale, regionale, nazionale ed europeo;

4.

mette in guarda contro l’aumento della criminalità informatica che ha iniziato a diffondersi dallo scoppio della pandemia di COVID-19 e non accenna a diminuire; gli attacchi informatici mossi dall’estero e finanziati da paesi terzi non riguardano soltanto lo spionaggio informatico e il furto di proprietà intellettuale, ma puntano anche a destabilizzare intere società;

5.

chiede che si esiga la cibersicurezza sin dalla progettazione attraverso l’attuazione di misure proattive in questo campo già dalle fase iniziali di sviluppo delle nuove tecnologie da utilizzare in ambito sanitario, e raccomanda di assicurarsi che i prestatori di assistenza sanitaria pubblica acquistino solo prodotti già collaudati per quel che concerne le soluzioni di cibersicurezza, compresi sistemi di backup e di emergenza che garantiscano la sicurezza dei pazienti anche in caso di interruzioni della rete;

6.

sottolinea che, qualora non sia possibile prevenire gli attacchi, può entrare in funzione un servizio di risposta rapida pensato apposta per il settore sanitario, ricorrendo alla riserva dell’UE per la cibersicurezza istituita dal regolamento sulla cibersolidarietà. Tuttavia, la responsabilità principale incombe al livello locale e regionale;

7.

appoggia i lavori dell’Organizzazione mondiale della sanità (OMS/Europa) in materia di sanità digitale e si impegna a lavorare su questo tema assieme all’OMS dando attuazione al piano d’azione 2025-2026 sottoscritto congiuntamente;

8.

accoglie con favore la guida che l’OMS/Europa ha pubblicato nel 2025 sulla cibersicurezza e la valutazione dei rischi in rapporto al rispetto della vita privata nella sanità digitale; tale guida fornisce un quadro di riferimento volto ad aiutare i paesi e le organizzazioni a sviluppare strategie di valutazione dei rischi in linea con i loro bisogni, obiettivi e requisiti normativi specifici;

9.

pone l’accento sull’impatto crescente dell’intelligenza artificiale (IA) sia come vettore di minacce (phishing avanzato, deepfake) che come potenziale strumento di difesa (rilevamento di anomalie, risposta automatica) e propone che il piano d’azione tenga conto di queste due diverse facce dell’IA.

Il quadro normativo

10.

sottolinea che il piano d’azione si basa sul quadro legislativo esistente nel settore della cibersicurezza, ossia in particolare la direttiva NIS 2, il regolamento sulla cibersolidarietà, il regolamento sulla cibersicurezza, il regolamento sui dispositivi medici e il regolamento sulla ciberresilienza; rileva altresì il legame esistente tra il piano e la proposta di raccomandazione del Consiglio relativa a un programma dell’UE sulla gestione delle crisi di cibersicurezza;

11.

avverte che in questo panorama in evoluzione, che presenta aspetti complessi, sono osservabili sovrapposizioni tra i meccanismi di certificazione afferenti il regolamento sulla cibersolidarietà, il regolamento sui dispositivi medici e il regolamento sull’IA; questa situazione può portare a frammentazione e all’arbitraggio normativo, in particolare per quanto riguarda i sistemi a partecipazione facoltativa;

12.

appoggia gli obiettivi del progetto CYMEDSEC (1) finanziato dall’UE volto a rafforzare la cibersicurezza nei sistemi sanitari mediante una valutazione globale della progettazione dei dispositivi e delle infrastrutture di rete, della cibersicurezza e dei quadri normativi;

13.

propone di valutare se il fatto di collegare le prescrizioni della specifica normativa di attuazione della direttiva NIS 2 a quelle della normativa attuativa del regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali possa risultare utile per ridurre i doppioni nell’attuazione amministrativa di misure specifiche;

14.

richiama l’attenzione sul fatto che la graduale introduzione di regolamentazioni specifiche porta a sovrapposizioni difficili da seguire e da attuare in modo conforme, il che rende necessario collegare le prescrizioni ed eliminare i doppioni sin dall’entrata in vigore di una nuova regolamentazione.

Direttiva relativa alla resilienza dei soggetti critici

15.

sottolinea che la direttiva relativa alla resilienza dei soggetti critici (direttiva CER) – in cui si riconosce che l’assistenza sanitaria rappresenta un servizio vitale per la società e l’economia e il cui obiettivo è il rafforzamento della resilienza delle infrastrutture critiche e dei soggetti critici contro una serie di minacce, compresa la criminalità informatica – è entrata in vigore il 18 ottobre 2024;

16.

esorta i 24 Stati membri che alla fine dello scorso novembre hanno ricevuto una lettera di costituzione in mora a recepire immediatamente la direttiva CER nei rispettivi ordinamenti nazionali;

17.

invita la Commissione europea a portare avanti le procedure di infrazione qualora non sia pervenuta una risposta soddisfacente entro il termine stabilito; ritiene che la questione non possa essere presa alla leggera, dato che è troppo importante per la sicurezza europea, nazionale, regionale e locale;

18.

ricorda agli Stati membri che sono tenuti a individuare i propri soggetti critici per ciascun settore (compreso quello sanitario) di cui alla direttiva CER entro il 17 luglio 2026, e li invita inoltre ad abbreviare i tempi per la designazione dei soggetti critici nel settore dell’assistenza sanitaria e a fornire loro un sostegno concreto per lo sviluppo delle loro capacità;

19.

si dichiara preoccupato per il fatto che la stragrande maggioranza degli ospedali dell’UE non ha mai realizzato una valutazione dei rischi per la sicurezza, come segnalato dalla DG CONNECT della Commissione europea;

20.

è altresì preoccupato per il fatto che solo un quarto delle organizzazioni interpellate nella preparazione della relazione 2023 dell’Agenzia dell’Unione europea per la cibersicurezza (ENISA) disponga di un apposito programma di difesa contro i ransomware;

21.

riconosce che negli ultimi 5 o 6 anni sono stati introdotti standard nella regolamentazione informatica tramite la direttiva riveduta sulla sicurezza delle reti e dei sistemi informativi (NIS 2), il regolamento sulla ciberresilienza, il regolamento sulla resilienza operativa digitale (DORA), la direttiva sulla resilienza dei soggetti critici (CER) e il regolamento sull’IA; accoglie favorevolmente l’intenzione della Commissione di concentrare l’attenzione sugli ospedali e sui prestatori di assistenza sanitaria al fine di migliorarne la ciberresilienza, e ricorda che è importante garantire la coerenza e la congruenza tra i diversi strumenti badando anche a ridurre i doppioni;

22.

propone agli Stati membri di prevedere lo svolgimento di periodiche esercitazioni di risposta agli incidenti informatici coordinate dalle autorità pubbliche, con il coinvolgimento di soggetti e operatori del settore sanitario a livello sia nazionale che regionale.

La direttiva NIS 2

23.

sottolinea che, a partire dall’ottobre 2024, la direttiva NIS 2 è diventata ufficialmente applicabile, prescrivendo quindi a ospedali, prestatori di assistenza sanitaria, fabbricanti di dispositivi medici e aziende farmaceutiche di adottare misure solide in materia di cibersicurezza;

24.

si dichiara preoccupato per il fatto che solo sei Stati membri hanno recepito – in tutto o in parte – la direttiva nel proprio ordinamento nazionale entro il termine stabilito;

25.

riconosce che l’attuazione comporta sfide significative, in particolare per il settore sanitario, a causa di sovrapposizioni con i regolamenti esistenti, quali il regolamento sui dispositivi medici, il regolamento sullo spazio europeo dei dati sanitari (EHDS) e il regolamento sulla ciberresilienza.

Il ruolo degli enti locali e regionali

26.

invita la Commissione a tenere presente che la gestione dei sistemi sanitari – e in particolare degli ospedali – è decentrata, in misura maggiore o minore, in 19 dei 27 Stati membri; esprime disappunto per il fatto che la comunicazione non menzioni il livello regionale e locale; ritiene che questa omissione sia preoccupante, in quanto ignora il dato di fatto che in due terzi degli Stati membri i prestatori di assistenza sanitaria hanno compiti di responsabilità gestionale e sono i diretti titolari;

27.

invita gli Stati membri a coinvolgere appieno le loro regioni nella progettazione e nell’attuazione di qualsiasi strategia in materia di cibersicurezza; sottolinea che i governi regionali hanno spesso la funzione di capofila nelle iniziative in materia di sanità digitale e che le loro conoscenze specialistiche nella diffusione di soluzioni in materia di sanità elettronica potrebbero rivelarsi essenziali per una riuscita introduzione di nuovi protocolli e misure in materia di cibersicurezza;

28.

evidenzia che, al di là della questione della gestione decentrata, i sistemi sanitari dei paesi europei sono molto diversi e annoverano al loro interno una serie di organizzazioni che possono essere di proprietà interamente pubblica o interamente privata e che possono altresì prevedere partenariati ibridi tra pubblico e privato; avverte a tale riguardo che gli enti pubblici sono spesso soggetti a vincoli di bilancio e a massimali salariali stabiliti per legge, il che li rende meno interessanti come datori di lavoro per gli specialisti dell’informatica;

29.

invita gli Stati membri a creare reti di centri regionali di sostegno alla cibersicurezza per gli ospedali e i prestatori di assistenza sanitaria, al fine di collegare meglio le realtà locali, nazionali ed europee, riservando un’attenzione speciale ad assicurare i finanziamenti e ad attrarre i talenti necessari per lo sviluppo di tali centri;

30.

raccomanda di coinvolgere gli enti regionali e locali nell’elaborazione dei piani d’azione nazionali incentrati sulla cibersicurezza nel settore sanitario.

Costi e finanziamenti

31.

sostiene che la spesa per la cibersicurezza dovrà essere sistematicamente separata e normalizzata nel quadro della pianificazione di bilancio; gli ospedali e i prestatori di assistenza sanitaria non possono acquistare in modo scoordinato «congegni» di protezione non collegati tra loro; è invece necessario valutare periodicamente, nonché finanziare e assicurare regolarmente la protezione dei sistemi tecnologici operativi essenziali per la vita nel settore dell’assistenza sanitaria;

32.

richiama l’attenzione sulla sfida insita, per le regioni di dimensioni minori, nel gestire e finanziare i sistemi informatici e di sicurezza sanitari;

33.

esprime sgomento per il fatto che il costo medio delle fughe di dati causate da attacchi ransomware ammonta a 8 milioni di EUR, cioè quasi il doppio del costo in altri settori;

34.

chiede maggiore chiarezza sui finanziamenti che dovrebbero sostenere la realizzazione degli obiettivi ambiziosi stabiliti nel piano d’azione; chiede in particolare informazioni dettagliate su come gli enti locali e regionali possono finanziare la pertinente trasformazione digitale nel settore dell’assistenza sanitaria;

35.

si attende che la Commissione chiarisca quali azioni vadano finanziate dagli Stati membri e quali dall’UE; per quanto riguarda le azioni finanziate dall’UE, desidera essere informato su come interagiranno nella pratica il programma d’azione dell’Unione in materia di salute (EU4Health) e il programma Europa digitale;

36.

avverte che i finanziamenti devono essere destinati agli investimenti non solo nella tecnologia, ma anche nello sviluppo di una cultura organizzativa incentrata sulla sicurezza a tutti i livelli;

37.

deplora i grossi tagli apportati alla dotazione finanziaria del programma d’azione dell’Unione in materia di salute e invita gli Stati membri a proteggerlo da future riduzioni di bilancio; ribadisce la propria posizione secondo cui la salute non è una spesa, bensì un investimento nel benessere e nella resilienza individuali e collettivi.

La ciberresilienza nelle catene di approvvigionamento dell'assistenza sanitaria

38.

sottolinea che molti ospedali e prestatori di assistenza sanitaria fanno affidamento su dispositivi medici e software obsoleti che non possono resistere ai moderni attacchi informatici; riconosce che in molte strutture le soluzioni offerte da tecnologie obsolete ma ancora in uso (legacy) sono indispensabili per l’operatività sanitaria, ma queste tecnologie rischiano di diventare un elemento notevole di vulnerabilità quando non è più disponibile l’assistenza o la manutenzione;

39.

chiede finanziamenti appositi e costanti, provenienti da fonti sia nazionali che europee, affinché gli ospedali eliminino le tecnologie legacy prive di assistenza tecnica e passino a soluzioni più sicure ed espandibili basate su nuvole informatiche (cloud);

40.

raccomanda di allineare le procedure di appalto alle norme di sicurezza e chiede appositi orientamenti che specifichino come rendere il rispetto dei parametri di riferimento in materia di cibersicurezza una condizione indispensabile per la partecipazione alle gare d’appalto.

La forza lavoro nel settore della cibersicurezza

41.

ribadisce i messaggi chiave contenuti nel proprio parere sulla carenza di personale sanitario e sottolinea che i sistemi sanitari si trovano ad affrontare carenze gravi, durature e inaudite di figure professionali essenziali; esprime preoccupazione per il fatto che il bilanciamento dei fabbisogni in termini di risorse umane diventerà ancora più complesso con la crescente necessità di impiegare, oltre al personale medico di base, anche professionisti dell’informatica ed esperti in materia di cibersicurezza;

42.

invita le autorità pubbliche, il mondo accademico, gli istituti di istruzione e formazione professionale e le ONG a lanciare campagne di sensibilizzazione al fine di abbattere gli stereotipi sulle carriere nel settore della cibersicurezza, attrarre un maggior numero di donne verso le professioni in questo settore e mettere l’accento sulla versatilità delle carriere nella cibersicurezza in ambito sanitario;

43.

chiede un quadro di certificazione della formazione valido a livello dell’UE che rafforzi la portabilità e il riconoscimento delle competenze in materia di cibersicurezza nel settore sanitario;

44.

riconosce che l’errore umano rappresenta un fattore significativo nelle violazioni dei dati, in quanto è possibile rimanere involontariamente vittima di truffe di phishing a causa di un’errata configurazione delle impostazioni di sicurezza o del mancato rispetto dei protocolli stabiliti; chiede che in tutto il settore sanitario sia data la priorità alla formazione e alla sensibilizzazione ai rischi; è convinto che la cibersicurezza non possa essere soltanto una preoccupazione dei professionisti dell’informatica e che debba invece essere una responsabilità comune;

45.

raccomanda l’introduzione di una formazione obbligatoria volta a sensibilizzare alla cibersicurezza, accompagnata da misure di incentivazione professionale, in funzione dei risultati conseguiti, per tutto il personale dei sistemi sanitari.

Aspetti specifici del piano d'azione

46.

accoglie con favore l’idea di voucher per la cibersicurezza e invita gli Stati membri a introdurre questa misura per fornire assistenza finanziaria agli ospedali di medie, piccole e micro-dimensioni e ai prestatori di assistenza sanitaria;

47.

pone l’accento sul fatto che il piano prevede che gli Stati membri impongano ai soggetti disciplinati dalla direttiva NIS 2, tra cui le organizzazioni sanitarie, di riferire in merito all’eventuale pagamento di riscatti quando segnalano incidenti significativi all’autorità competente ai sensi della direttiva NIS 2; conviene che con questa comunicazione verrebbero migliorate la raccolta dei dati e la valutazione dell’efficacia delle misure adottate contro gli attacchi ransomware; chiede tuttavia informazioni più dettagliate sulle modalità concrete di queste comunicazioni, dato che la direttiva NIS 2 non prevede tale obbligo;

48.

osserva che il piano d’azione invita i fabbricanti di dispositivi medici e medico-diagnostici in vitro a segnalare volontariamente le vulnerabilità attivamente sfruttate o gli incidenti informatici gravi che hanno un impatto sulla sicurezza dei loro dispositivi; sottolinea che questi fabbricanti non rientrano nell’ambito di applicazione del regolamento sulla ciberresilienza e raccomanda che la valutazione in corso dei regolamenti pertinenti affronti la questione di una maggiore coerenza tra i quadri normativi;

49.

appoggia l’idea di creare una rete europea dei responsabili della sicurezza informatica (Chief Information Security Officers - CISO), in modo che gli esperti possano scambiarsi le pratiche migliori, anche in rapporto alle strategie per trattenere i talenti e alle soluzioni per convincere i professionisti della cibersicurezza a lavorare nel settore sanitario; invita la Commissione e gli Stati membri a garantire che anche gli esperti nominati dai governi regionali siano invitati ad aderire alla rete;

50.

accoglie con favore l’istituzione, all’interno dell’ENISA, del Centro europeo di sostegno alla cibersicurezza per ospedali e prestatori di assistenza sanitaria; osserva che questo centro di sostegno è destinato a svolgere un numero significativo di compiti e invita la Commissione a fornire ulteriori informazioni sull’organico del centro e sul suo finanziamento;

51.

invita la Commissione a coinvolgere gli enti regionali e locali nello sviluppo di un archivio di «facile accesso e facile utilizzo» di tutti gli strumenti disponibili a fini di preparazione, prevenzione, individuazione e risposta; l’archivio, creato dal centro di sostegno, dovrebbe comprendere strumenti e politiche riguardanti tutti i livelli di governance.

Fiducia e rispetto della vita privata

52.

sostiene che sicurezza e rispetto della vita privata sono inscindibili: le misure di sicurezza proteggono la riservatezza, l’integrità e la disponibilità dei dati, che sono indispensabili per il rispetto della vita privata. Allo stesso tempo, le norme sul rispetto della vita privata spesso impongono controlli di sicurezza specifici volti a proteggere i dati personali. La tutela della vita privata rafforza la fiducia dei pazienti e la consapevolezza in materia di cibersicurezza, garantendo che le informazioni sanitarie sensibili siano trattate con la dovuta attenzione;

53.

richiama l’attenzione sulla relazione che l’ENISA ha pubblicato nel 2024 in merito allo stato della cibersicurezza nell’Unione, specialmente sulle sue conclusioni in cui si afferma che nell’UE la maturità complessiva della cibersicurezza nel settore sanitario è «moderata» e che in questo campo sussistono ampie differenze tra gli enti sanitari europei; sottolinea che i dati dei pazienti devono essere protetti per garantire che continuino a riporre fiducia nello spazio europeo dei dati sanitari;

54.

ritiene che l’attuazione dello spazio europeo dei dati sanitari (EHDS) richieda un’attenzione maggiore per quanto riguarda la sicurezza delle infrastrutture di interconnessione nazionali e transfrontaliere (ad esempio, i punti di contatto nazionali per la sanità elettronica), che diventano punti critici per la protezione dei dati su larga scala; è dell’avviso che per queste infrastrutture si dovrebbero elaborare misure specifiche.

---

(1)   Homepage - Cymedsec.