TUTELA DEL RISCHIO INFORMATICO: QUALI SONO LE REGOLE EUROPEE?
La normativa vigente, la Direttiva NIS, il focus sui dispositivi medicali e una comparazione tra modelli degli Stati Membri alla luce dei crescenti attacchi cyber alla sanità europea.
Il 2020 è stato un anno caratterizzato da un numero alquanto elevato di attacchi informatici che hanno interessato numerose Strutture Sanitarie in Italia così come negli altri Paesi europei. Da un rapporto della polizia postale del 2020 è emerso1 che il bersaglio degli hacker non risultano essere solo i fascicoli sanitari dei pazienti quanto, piuttosto, i sistemi e i dispositivi clinici in uso dalle stesse, con conseguente possibile rischio di blocco dell’attività ospedaliera. Già nel 2008 l’Unione europea, riconoscendo il grave rischio per la salute dei pazienti e la minaccia globale società di un attacco informatico in ambito sanitario, inserì la sanità nell’elenco dei settori strategico previsti dalla Direttiva 2008/114/CE. Da allora la legislazione europea ha continuato a evolvere per far fronte alla nuova minaccia. Sanità 360° incontra l’Avvocato Delia Roselli, Legal Manager di Sham in Italia per raccontare le modalità con le quali si è evoluta.
Avvocato, cosa prescrive l’Europa alle aziende sanitarie per fronteggiare il crescente rischio informatico?
La tutela del rischio informatico costituisce, come noto, uno dei capisaldi della regolamentazione europea degli ultimi annui.
Prima fra tutte, la Direttiva NIS2 la quale ha come obiettivo primario quello di rafforzare la sicurezza informatica all’interno di ciascuno Stato Membro.
Il settore sanitario rientra tra i servizi essenziali cui la suddetta direttiva trova applicazione: ciascuna azienda sanitaria è dunque chiamata ad adottare misure tecnico-organizzative adeguate alla gestione dei rischi e alla prevenzione degli incidenti.
Accanto alla Direttiva NIS non può trascurarsi il rilievo che riveste nell’ambito della sicurezza informatica il Regolamento UE 2016/679 (GDPR), il quale prescrive una serie di misure preventive volte a impedire il successo di un attacco informatico.
Di non minore importanza, la Direttiva UE 2016/680 contenente una serie di disposizioni in materia di protezione dei dati personali applicabili nei casi di trattamento dei dati effettuato dalle autorità competenti per delle finalità di prevenzione, indagine, accertamento di reati penali nonché per l’esecuzione di sanzioni penali e per la salvaguardia di minacce alla sicurezza pubblica.
Da ultimo, vale la pena citare le Linee Guida pubblicate dall’EDPB3 a inizio 2021 a integrazione delle disposizioni del GDPR in materia di Data Breach, le quali prevedono che ogni Struttura Sanitaria è tenuta a informare i propri pazienti ogni qualvolta subisca un attacco informatico, anche se quest’ultimo non comporti di fatto un furto di informazioni sanitarie dei pazienti e la struttura sia in grado di mitigarne gli effetti con un backup.
Sono precauzioni sufficienti?
Quanto previsto a livello europeo necessita di essere recepito da ogni Stato Membro.
Soprattutto per quanto strettamente attinente alla Direttiva NIS, una frammentaria applicazione della stessa a livello locale unita alla mancanza di cooperazione e condivisione nel processo di divulgazione delle conoscenze informatiche acquisite da ciascuno Stato, hanno rafforzato l’idea di intervenire sulla stessa modificando le sue previsioni originarie.
Si è fatta, quindi, largo, l’ipotesi di adozione della Direttiva NIS 2 con estensione delle previsioni ivi contenute anche a settori ad oggi non coperti dalla Direttiva NIS (fra i quali particolare attenzione merita la produzione di dispositivi medici), nonché l’inclusione della crittografia e dei controlli sulla sicurezza informatica dei propri fornitori fra le nuove misure tecnico-organizzative che ciascuno Stato deve adottare per contenere il rischio informatico.
Stando a quanto pubblicato dall’IAIS (International Association of Insurance Supervisors) nel suo ultimo rapporto avente ad oggetto la sottoscrizione dei rischi informatici in Europa e delle considerazioni in tema di sostenibilità del mercato assicurativo in questo ramo, le attuali pratiche di sottoscrizione di tali rischi, benché utili, ancora non risultano ottimali.
La causa di questa mancanza è dovuta principalmente all’incapacità di misurare correttamente l’esposizione al rischio, nonché alla circostanza che sia l’intensità del monitoraggio (come la frequenza delle valutazioni) e lo sviluppo di strumenti specifici (come l’uso di stress test) sono commisurati alle dimensioni relative del mercato della sottoscrizione informatica, che attualmente è generalmente limitato
Quali sono le differenze nel modello italiano e francese.
Dovendo ragionare in un’ottica di differenze esistenti tra il modello di tutela del rischio informatico in vigore in Italia e oltralpe, vale la pena citare un istituto tipico del diritto francese che non ha eguali nel nostro ordinamento. Mi riferisco all’ “hébergement des donnés de santé”, ovvero l’hosting dei dati sanitari su supporti digitali.
Partendo dal presupposto che i dati sanitari sono dati sensibili il cui accesso è protetto dalla normativa in tema di protezione dei dati personali, il legislatore francese stabilisce che l’hosting di tali dati debba essere effettuato in condizioni di sicurezza adeguate alle loro criticità al fine di garantirne la loro riservatezza e sicurezza.
Pertanto, qualsiasi persona fisica o giuridica che ospita dati sanitari personali raccolti nel corso di attività di prevenzione, diagnosi, cura o monitoraggio medico-sociale per conto delle persone fisiche o giuridiche che hanno prodotto o raccolto i dati o per conto del paziente stesso, deve essere approvato o certificato a tal fine.
In conformità con l’GDPR, gli host di dati sanitari su supporti digitali (ad esclusione dei servizi di archiviazione elettronica) devono essere certificati.
L’approvazione degli host è obbligatoria per tutte le organizzazioni che ospitano e utilizzano dati sanitari o che eseguono backup per conto di un’istituzione sanitaria.
