NIS2 per le organizzazioni sanitarie
La sanità è classificata nell'Allegato I della NIS2, il che rende gli ospedali e le strutture mediche soggetti essenziali con i requisiti di conformità più elevati. Ecco la tua guida pratica.
Perché la NIS2 si applica alla sanità?
La sanità era già uno dei settori più presi di mira dagli attacchi informatici prima della NIS2. La combinazione di dati sensibili dei pazienti, sistemi critici per la vita e un'infrastruttura IT spesso obsoleta rende ospedali e cliniche bersagli appetibili. L'attacco ransomware del 2020 all'Ospedale universitario di Düsseldorf, che ha costretto alla chiusura del pronto soccorso e al dirottamento dei pazienti, ha dimostrato che gli attacchi informatici alla sanità possono minacciare direttamente vite umane. La NIS2 codifica ciò che il settore già sa: la sicurezza IT in sanità è sicurezza del paziente.
L'UE ha classificato la sanità nell'Allegato I (settori ad alta criticità) della Direttiva NIS2, comprendendo ospedali, laboratori di riferimento, produzione farmaceutica e fabbricanti di dispositivi medici. I grandi soggetti sanitari (250+ dipendenti) sono classificati come "soggetti essenziali" ai sensi del §28(1) BSIG. I soggetti di media dimensione (50-249 dipendenti) sono "wichtige Einrichtungen" (soggetti importanti). I soggetti essenziali sono sottoposti alla vigilanza proattiva del BSI: il BSI può sottoporti ad audit in qualsiasi momento, senza che siano prima necessari indizi di non conformità.
La sanità opera già secondo rigorose norme di protezione dei dati (GDPR, riservatezza del paziente) e una regolamentazione settoriale specifica (KHZG, BSI KRITIS per gli ospedali più grandi). La NIS2 aggiunge un livello sistematico di gestione della cibersicurezza: non solo proteggere i dati dei pazienti, ma mettere in sicurezza l'intera infrastruttura IT che eroga le cure. Se il tuo HIS va in blocco, non puoi accedere alle cartelle cliniche. Se il tuo PACS si guasta, la radiologia si ferma. Se i tuoi dispositivi medici sono compromessi, la sicurezza del paziente è a rischio. La NIS2 ti impone di valutare e gestire tutti questi rischi.
Sistema informativo ospedaliero (HIS/KIS)
Il sistema clinico centrale: cartelle cliniche, ricoveri, pianificazione, documentazione clinica, ordini e fatturazione. Sistemi come SAP IS-H, Dedalus ORBIS, Agfa HealthCare ORBIS o iMedOne. È il singolo asset IT più critico: se l'HIS è in blocco, le operazioni cliniche tornano alla carta e la qualità delle cure cala immediatamente. Una sola voce di asset.
PACS e sistemi di imaging
I sistemi di archiviazione e trasmissione di immagini (PACS) archiviano e distribuiscono immagini medicali (raggi X, TC, RM, ecografia). Strettamente integrati con l'HIS tramite DICOM/HL7. Sistemi come Sectra, Agfa Enterprise Imaging o Philips IntelliSpace. Il PACS archivia enormi quantità di dati ed è spesso collegato alle modalità di imaging in tutta la struttura. Una compromissione può bloccare radiologia e diagnostica.
Dispositivi medici in rete
Monitor pazienti, pompe per infusione, ventilatori, robot chirurgici e apparecchiature diagnostiche collegati alla rete ospedaliera. Molti eseguono sistemi operativi embedded (Windows CE, varianti Linux) con capacità di aggiornamento limitate. I vincoli di certificazione FDA/MDR possono impedire l'applicazione delle patch. Raggruppa per tipo di dispositivo: ad esempio, "35 monitor pazienti (Philips IntelliVue)" è una voce. Questi richiedono un trattamento di sicurezza particolare a causa dei vincoli regolatori.
Sistema informativo di laboratorio (LIS)
Sistemi che gestiscono i flussi di lavoro del laboratorio: tracciamento dei campioni, richiesta di esami, refertazione dei risultati e controllo qualità. Collegati agli analizzatori e all'HIS. Il LIS incide direttamente sui tempi di risposta diagnostici. Se il LIS è compromesso, i risultati di laboratorio non possono essere verificati o comunicati, con potenziale ritardo delle decisioni terapeutiche.
Infrastruttura di rete
La rete clinica che collega HIS, PACS, dispositivi medici e sistemi amministrativi. Include infrastruttura cablata e wireless, firewall, segmentazione di rete tra zone cliniche e amministrative e VPN per l'accesso remoto. La segmentazione di rete è cruciale in sanità: dispositivi medici, sistemi clinici, Wi-Fi per gli ospiti e IT amministrativo dovrebbero risiedere su segmenti di rete separati.
Endpoint e IT amministrativo
Postazioni cliniche, postazioni infermieristiche, PC d'ufficio e dispositivi mobili (tablet per i giri di reparto, smartphone). Applicazioni d'ufficio standard, posta elettronica e strumenti di comunicazione. Grundschutz consente il raggruppamento: "120 postazioni cliniche (thin client)" è una voce. Includi la gestione dei dispositivi mobili (MDM) come asset raggruppato se utilizzata per la comunicazione clinica.
1. Registrati presso il BSI
Completa la registrazione ai sensi del §33 BSIG. I soggetti sanitari classificati come essenziali sono sottoposti alla vigilanza proattiva del BSI, il che significa che il BSI può sottoporti ad audit in qualsiasi momento. Essere registrati e dimostrare un lavoro di conformità attivo ti pone in una posizione di gran lunga migliore rispetto all'essere scoperti come non registrati durante un audit.
2. Costruisci il tuo inventario degli asset
Elenca tutti i sistemi a supporto delle cure cliniche, della diagnostica e dell'amministrazione. Presta particolare attenzione ai dispositivi medici in rete: molte organizzazioni sanitarie non dispongono di un inventario completo dei dispositivi collegati alla loro rete. Percorri i reparti, confrontati con l'ingegneria clinica e documenta ciò che è collegato. Non puoi mettere in sicurezza ciò di cui ignori l'esistenza.
3. Predisponi la segnalazione degli incidenti
Gli incidenti di cibersicurezza in sanità possono mettere a rischio la vita. Il tuo piano di risposta agli incidenti deve tenere conto dell'impatto clinico: quali sistemi possono operare in modalità degradata, quali procedure manuali di ripiego esistono, quando dirottare i pazienti e chi prende tali decisioni. Stabilisci la catena di segnalazione al BSI (24h/72h/1 mese) e la catena interna di escalation clinica in parallelo.
4. Rafforza i controlli di accesso
La sanità presenta una sfida di controllo degli accessi peculiare: i clinici hanno bisogno di un accesso rapido ai dati dei pazienti in situazioni critiche dal punto di vista del tempo, ma un accesso esteso crea rischio. Implementa controlli di accesso basati sui ruoli (RBAC) per l'HIS, imponi l'MFA per l'accesso remoto e gli account amministrativi, conduci revisioni trimestrali degli accessi e assicurati che al personale che cessa il rapporto venga revocato prontamente l'accesso. Le procedure di accesso d'emergenza ("break glass") dovrebbero essere documentate e sottoposte ad audit.
5. Cifra i dati dei pazienti
I dati dei pazienti rientrano tra le categorie di dati più sensibili sia ai sensi del GDPR sia della NIS2. Implementa la cifratura dei dati inattivi (at rest) per le banche dati contenenti cartelle cliniche e la cifratura dei dati in transito per tutti i flussi di dati clinici. Le immagini PACS, i messaggi HL7/FHIR e i risultati di laboratorio dovrebbero viaggiare tutti cifrati. Documenta i tuoi standard di cifratura e le procedure di gestione delle chiavi: è uno specifico requisito del §30.
La sanità affronta una tensione tra sicurezza e flusso di lavoro clinico che nessun altro settore vive con la stessa intensità. Un sistema blindato che richiede 30 secondi di autenticazione a ogni postazione costa tempo in un pronto soccorso dove i secondi contano. La conformità alla NIS2 in sanità richiede di trovare il giusto equilibrio: sicurezza forte per l'accesso amministrativo e remoto, accesso snello ma tracciato per i flussi di lavoro clinici e procedure di override d'emergenza che vengano registrate e riesaminate.
I dispositivi medici in rete sono la più grande sfida irrisolta del settore. Un monitor paziente del 2018 può eseguire un OS embedded che il fabbricante non aggiorna più. La certificazione FDA/MDR comporta che non puoi modificare il software del dispositivo senza una ricertificazione. La risposta sono i controlli compensativi: segmentazione di rete (isolare i dispositivi medici sulla loro VLAN), monitoraggio del traffico, comunicazione limitata (i dispositivi comunicano solo con i sistemi di cui hanno bisogno) e pianificazione del ciclo di vita. Documenta tutto: il BSI comprende il vincolo dei dispositivi medici e valuta i controlli compensativi come validi.
Le organizzazioni sanitarie che hanno già partecipato a KRITIS (ai sensi dell'originaria BSI-KritisV) hanno un notevole vantaggio di partenza. I requisiti KRITIS si sovrappongono in misura sostanziale alla NIS2. Se disponi di prove di audit KRITIS, usale come base di partenza ed estendile per coprire i requisiti aggiuntivi della NIS2: documentazione formale della responsabilità della direzione (§38), valutazione della sicurezza della catena di approvvigionamento e i termini specifici di segnalazione degli incidenti. Per le organizzazioni sanitarie non KRITIS, i requisiti NIS2 rappresentano la prima volta in cui affrontano una regolamentazione strutturata in materia di cibersicurezza: parti dal piano di 4 settimane e adattalo al tuo contesto clinico.
Domande frequenti
Siamo un ospedale con 200 posti letto. Siamo essenziali o importanti?
La sanità rientra nell'Allegato I (settori ad alta criticità). Se il tuo ospedale ha 250 o più dipendenti, sei classificato come soggetto essenziale. Con meno di 250 dipendenti ma più di 50, sei un soggetto importante. Se sei già classificato come KRITIS (infrastruttura critica), sei automaticamente essenziale a prescindere dalle dimensioni. I soggetti essenziali sono sottoposti alla vigilanza proattiva del BSI e al livello sanzionatorio più alto (fino a 10 milioni di euro).
Non possiamo applicare patch ai nostri dispositivi medici. Come ci conformiamo alla NIS2?
La NIS2 richiede misure "adeguate e proporzionate", non impossibili. Per i dispositivi medici che non possono essere aggiornati a causa di vincoli del fabbricante o regolatori: documenta il rischio nella tua valutazione del rischio, implementa controlli compensativi (segmentazione di rete, monitoraggio del traffico, comunicazione limitata), includi la limitazione nella valutazione del fornitore relativa al fabbricante del dispositivo e mantieni un piano di ciclo di vita per l'eventuale sostituzione. Il BSI riconosce espressamente che gli ambienti OT e dei dispositivi medici richiedono approcci di sicurezza adattati.
La conformità al GDPR copre già i nostri obblighi NIS2 sui dati dei pazienti?
Il GDPR copre la protezione dei dati (riservatezza, consenso, liceità del trattamento), mentre la NIS2 copre l'infrastruttura di sicurezza che protegge tali dati. Si complementano ma non si sostituiscono. La tua conformità al GDPR significa che comprendi i flussi di dati e disponi di registri dei trattamenti: questo aiuta. La NIS2 aggiunge: gestione sistematica del rischio per i sistemi IT che trattano tali dati, segnalazione degli incidenti al BSI (non solo all'autorità di protezione dei dati), sicurezza della catena di approvvigionamento per i fornitori IT e responsabilità della direzione per le misure di cibersicurezza.
Che rapporto ha la NIS2 con i finanziamenti KHZG (Legge sul futuro degli ospedali)?
La KHZG ha finanziato la modernizzazione IT negli ospedali tedeschi, inclusi gli investimenti in sicurezza IT. Se il tuo ospedale ha ricevuto finanziamenti KHZG per progetti di cibersicurezza, tali investimenti probabilmente soddisfano alcuni requisiti NIS2. Tuttavia, la KHZG riguardava l'investimento, non la gestione continua della conformità. La NIS2 richiede gestione continua del rischio, revisioni periodiche, processi di segnalazione degli incidenti e vigilanza della direzione: queste sono prassi operative, non progetti una tantum. Usa i tuoi investimenti KHZG come base tecnica e costruisci il quadro di gestione NIS2 al di sopra di essi.