La NIS 2, la nuova direttiva europea sulla cybersecurity, rappresenta una delle risposte più incisive volte a rafforzare la sicurezza digitale e la resilienza del comparto sanitario. Questo settore, negli ultimi anni, è stato messo sotto pressione dalla crescente complessità delle minacce informatiche.

Secondo il Rapporto Clusit 2025, solo in Italia il 100% degli incidenti informatici registrati nel 2024 nel settore sanitario ha avuto impatti gravi (62%) o addirittura gravissimi (38%). Un dato allarmante, che conferma quanto siano elevati i rischi legati alla vulnerabilità dei sistemi ospedalieri, non solo in termini di furto di dati, ma anche di interruzione dei servizi e compromissione della sicurezza dei pazienti.

In questo scenario, la NIS 2 non è semplicemente una normativa da attuare, ma una strategia di trasformazione che coinvolge governance, tecnologie e cultura della sicurezza.

Le minacce: perché il settore sanitario è nel mirino

La sicurezza informatica in sanità è oggi una priorità assoluta. Il settore sanitario rappresenta un bersaglio privilegiato per i cybercriminali per diverse ragioni.

Innanzitutto, i dati sanitari hanno un elevato valore sul dark web: queste informazioni possono essere sfruttate per truffe, ricatti e accessi non autorizzati a servizi sanitari, data la loro natura estremamente sensibile.

A questo si aggiunge un’infrastruttura spesso eterogenea e obsoleta, dove convivono dispositivi medici connessi, software legacy, soluzioni cloud e sistemi ERP non sempre integrati. Questo crea un perimetro di attacco ampio e frammentato, con numerosi punti di ingresso per le minacce.

Le diverse facce della minaccia cibernetica nel settore Healthcare

Le vulnerabilità appena descritte si traducono in una varietà di minacce concrete che le strutture sanitarie devono affrontare costantemente.

Le principali tipologie di rischio includono:

  • ransomware: l’attacco più frequente e devastante. I dati vengono cifrati e le attività sanitarie paralizzate fino al pagamento di un riscatto;
  • violazioni dei dati: furti di informazioni sensibili, come referti, esami diagnostici, numeri di previdenza sociale e informazioni di contatto dei pazienti;
  • accessi non autorizzati: spesso legati a credenziali rubate o insufficientemente protette;
  • dispositivi medici connessi: l’aumento dei dispositivi medici IoT introduce una significativa vulnerabilità, con il rischio di attacchi cibernetici capaci di compromettere la sicurezza e la salute dei pazienti.

Un altro punto critico riguarda la supply chain sanitaria. Le strutture si affidano sempre più a fornitori esterni per servizi IT, diagnostica, telemedicina, gestione dei dati. Tuttavia, questi fornitori non sempre dispongono di adeguate misure di sicurezza e diventano un punto di ingresso vulnerabile per gli attacchi.

L’accesso ai sistemi tramite credenziali fornite ai partner esterni, se non protetto da sistemi come l’autenticazione a più fattori, può facilitare l’infiltrazione.

NIS2 normativa: cosa cambia per la sanità

La Direttiva (UE) 2022/2555, nota come NIS2, impone agli Stati membri requisiti più stringenti in materia di sicurezza informatica. Il suo obiettivo principale è innalzare il livello comune di cyber sicurezza in settori strategici.

Nel settore sanitario, la NIS 2 richiede l’implementazione di misure di sicurezza informatica avanzate per la tutela di infrastrutture IT e dati sensibili. Tra gli obblighi chiave spiccano il significativo miglioramento della cybersecurity, attraverso l’adozione di tecnologie come la crittografia robusta, l’autenticazione a più fattori e firewall di ultima generazione.

Le aziende sanitarie devono inoltre sviluppare piani di gestione del rischio che includano una dettagliata valutazione delle minacce e protocolli efficaci per mitigarne gli impatti.

La sorveglianza costante dei sistemi è essenziale per rilevare tempestivamente eventuali anomalie, così come la predisposizione di procedure di risposta rapida agli incidenti, con l’obbligo di notificare alle autorità competenti eventuali violazioni entro 24 ore.

Infine, la NIS2 pone un’enfasi cruciale sulla formazione continua del personale, riconoscendo il ruolo fondamentale della consapevolezza umana nella difesa contro gli attacchi cibernetici. 

L’IA come leva strategica per la sicurezza

Oltre agli obblighi normativi, l’innovazione tecnologica offre ulteriori strumenti per rafforzare la sicurezza del settore sanitario.

Le opportunità offerte dall’Intelligenza Artificiale in ambito sanitario non si limitano all’ottimizzazione dei percorsi di cura. L’IA, infatti, può giocare un ruolo fondamentale nella protezione dei sistemi informatici. Algoritmi di Machine Learning possono rilevare comportamenti anomali in tempo reale, bloccare automaticamente gli accessi sospetti e supportare i team IT nella prioritizzazione delle vulnerabilità da sanare.

Le indicazioni dell’OMS sull’impiego dell’IA in sanità sottolineano però anche i rischi: occorre garantire trasparenza degli algoritmi, protezione dei dati e supervisione umana.

Inoltre, l’impiego dell’IA deve essere sostenibile dal punto di vista energetico e infrastrutturale. In quest’ottica, l’adozione del principio di “AI by design” è centrale per costruire soluzioni sicure e conformi sin dalla fase di progettazione.

Verso un sistema sanitario sostenibile e resiliente

Un’efficace cybersecurity in sanità non è solo un’esigenza tecnica, ma un pilastro per costruire un sistema sanitario sostenibile. La sicurezza informatica permette di evitare interruzioni nei servizi, protegge i dati sensibili, favorisce l’interoperabilità tra sistemi e riduce i costi derivanti da incidenti e contenziosi.

La conformità alla direttiva NIS2, l’integrazione dell’IA in chiave di sicurezza e l’adozione di standard internazionali (come la ISO/IEC 27001) sono passaggi obbligati per ogni realtà che voglia essere parte del futuro digitale della sanità europea.

Ma oltre alla tecnologia, serve consapevolezza, formazione e collaborazione tra tutti gli attori del sistema.

Healthcare: la soluzione per una sanità digitale sicura ed efficiente

In questo scenario, una risposta concreta arriva da Healthcare, un prodotto progettato per accompagnare le strutture sanitarie nel percorso di trasformazione digitale in modo sicuro, conforme e orientato all’efficienza.

Grazie all’esperienza di Tinexta Infocert, Healthcare consente di semplificare i processi clinici e amministrativi, ridurre i costi e migliorare l’esperienza del paziente.

Healthcare è pensato per alleggerire il carico di lavoro dello staff medico e amministrativo, riducendo le attività di back-office legate alla gestione dei pazienti. Dall’identificazione e onboarding da remoto del paziente, fino alla raccolta del consenso informato tramite firma digitale e all’archiviazione digitale della cartella clinica, il processo diventa più rapido, sicuro e tracciabile.

Questo consente non solo una significativa riduzione dei tempi e dei costi, ma anche un abbattimento degli archivi cartacei, con vantaggi in termini di spazio fisico, sostenibilità e gestione documentale.

Healthcare è la chiave per sviluppare soluzioni digitali al servizio di pazienti, medici e strutture, permettendo alle organizzazioni sanitarie di stare un passo avanti rispetto alle minacce, alle normative e alla concorrenza.