Garantire la sicurezza informatica nel settore sanitario è una preoccupazione sempre maggiore vista la crescente digitalizzazione presso i fornitori di servizi sanitari. Un attacco informatico riuscito può causare effetti dirompenti significativi per la fornitura di servizi sanitari essenziali e può mettere a rischio la salute e la sicurezza dei pazienti.
Le autorità di regolamentazione – a livello nazionale, europeo e transnazionale – hanno iniziato a considerare la sicurezza informatica dei dispositivi medici come una nuova priorità.
La Direttiva NIS, legislazione centrale europea sulla sicurezza informatica è attualmente in fase di riforma. Tra le maggiori novità vi è l’ampliamento della sua applicazione anche per i fabbricanti di dispositivi medici. Con questo articolo offriamo una panoramica sugli impatti per il settore sanitario e le sfide che rimangono aperte.
Indice degli argomenti
Nuove proposte e loro impatto per il settore healthcare
In UE, la sicurezza delle reti e sistemi informativi è regolata dalla Direttiva NIS (o più brevemente, NIS). La sua applicazione è di rilievo anche per le infrastrutture sanitarie al ricorrere di alcune condizioni.
La NIS è stata il primo atto legislativo a livello dell’UE ad aver previsto requisiti comuni per aumentare il livello generale di cybersecurity nell’Unione Europea. Nonostante le sue promesse, tuttavia, la direttiva ha comportato una serie di sfide in pratica.
Ad esempio, alcuni Stati membri l’hanno trasposta tardivamente in legge nazionale. In secondo luogo, l’utilizzo di divergenti metodologie degli Stati membri per l’identificazione degli Operatori di Servizi Essenziali (i c.d. OSE) hanno portato ad una frammentazione nell’implementazione tra i vari stati.
Nel settore sanitario ciò è stato particolarmente evidente.
Oltre a questi aspetti, secondo il legislatore la direttiva ha avuto una supervisione inefficace, un’applicazione limitata e una mancanza di condivisione sistematica di informazioni tra stati.
La Direttiva NIS (prossima NIS 2) e la sua applicazione in ambito healthcare: i principali fronti
Dalla Direttiva NIS alla NIS2
Per porre rimedio a queste criticità, il 6 dicembre 2020 la Commissione ha pubblicato la nuova proposta di direttiva NIS (NIS2).
Tra le novità, viene stabilito un nuovo quadro per la divulgazione coordinata delle vulnerabilità e nuovi requisiti relativi alla sicurezza informatica della supply chain. Inoltre, la direttiva rimuove l’obbligo per gli Stati membri di identificare preventivamente nei loro territori gli OSE e i fornitori di servizi digitali.
Queste categorie sono ora direttamente individuate negli allegati I e II della proposta e sono sostituite dai “soggetti essenziali” e “soggetti importanti“. Tali soggetti dovranno rispondere agli obblighi previsti dalla NIS2, tra cui in particolare la gestione e segnalazione dei rischi di cibersicurezza.
Impatti della NIS2 per il settore healthcare e i dispositivi medici
Il testo attuale della NIS2 va ad ampliare le categorie di soggetti sottoposte ai suoi requisiti. Ora la NIS2 considera i fabbricanti di dispositivi medici e dispositivi medico-diagnostici in vitro come soggetti importanti.
I laboratori di riferimento dell’UE, le entità che svolgono attività di ricerca e sviluppo di medicinali (di cui alla Direttiva 2001/82/EC), le entità che fabbricano prodotti farmaceutici di base nonché i fabbricanti di dispositivi medici considerati critici durante un’emergenza di sanità pubblica sono considerati soggetti essenziali. Rimane la categoria dei prestatori di assistenza sanitaria (già inclusa come OSE nella NIS) ora considerata soggetto essenziale.
Ampliando queste categorie, la direttiva include nel proprio ambito di applicazione i menzionati operatori sanitari.
Di conseguenza, questi dovranno mettere in campo misure di gestione di rischi di cibersicurezza (come ad esempio l’analisi dei rischi e politiche di sicurezza dei sistemi informatici; la gestione degli incidenti; misure di continuità operativa e gestione delle crisi; misure di sicurezza della catena di approvvigionamento; misure per la gestione e la divulgazione delle vulnerabilità; test e audit per valutare l’efficacia delle misure di gestione dei rischi di cibersicurezza; oppure l’uso della crittografia e della cifratura).
Inoltre, i soggetti essenziali e importanti dovranno effettuare la notifica degli incidenti significativi e anche delle minacce informatiche significative che secondo loro avrebbe potuto potenzialmente causarli.
Regolamentazione della cibersicurezza dei dispositivi medici
Dal punto di vista di regolamentazione, la NIS tuttavia non è l’unico strumento normativo a regolare cibersicurezza dei dispositivi medici, e ciò implica una serie di difficoltà. Le normative europee che prevedono tali requisiti sono contenute in ulteriori testi di legge.
In primo luogo, vi è il regolamento 2017/745 (MDR), d’importanza centrale per i dispositivi medici. Il regolamento contiene una serie di requisiti per la loro sicurezza informatica. Nel 2020 l’organismo europeo Medical Device Coordination Group (MDCG) ha illustrato i requisiti e i processi cruciali di cybersecurity nelle sue Guidelines ‘Cybersecurity for medical devices’.
Altri atti normativi rimangono comunque rilevanti. Non solo la Direttiva NIS, ma anche il Cybersecurity Act, il Regolamento generale sulla protezione dei dati (GDPR), la Direttiva 2014/53/UE sulle apparecchiature radio (RED), i quali prevedono alcuni requisiti di sicurezza informatica, che interagiscono con l’MDR e che si applicano nell’ambito dei dispositivi medici. Tale interazione non è sempre semplice e può comportare delle criticità.
Questo perché si tratta sia di far convergere normative settoriali verticali (come l’MDR), con normative generali (come la NIS o il GDPR), sia perché la regolamentazione stessa della cybersecurity è un fenomeno nuovo e che manca ancora di piena coerenza sistematica in ambito regolamentare europeo.
A ciò si aggiunge l’intrinseca complessità della normativa in materia di dispositivi medici, che si inserisce in un quadro giuridico multilivello caratterizzato da specializzazione.
I nodi da sciogliere
Come evidenziato da alcuni stakeholder, la nuova direttiva potrebbe portare ad una serie di adempimenti analoghi o duplicazioni, ad esempio per quanto riguarda la notifica di incidenti. La duplicazione riguarda in particolare l’MDR e la NIS.
Da un lato, l’MDR richiede di notificare all’autorità competente gli incidenti gravi (ossia qualsiasi incidente che, direttamente o indirettamente, ha causato, può aver causato o può causare il decesso o il grave deterioramento delle condizioni di una persona oppure una grave minaccia per la salute pubblica).
Dall’altro lato, un incidente grave ai sensi dell’MDR può essere anche un incidente cyber, e quindi nel perimetro della NIS2. Questa eventualità è ben illustrata dalla guidance del MDCG sulla cybersecurity dei dispositivi medici (Annex II).
NIS e MDR sono certamente due atti legislativi con finalità diverse. Il primo relativo alla cybersecurity, mentre il secondo alla sicurezza dei pazienti e individui. Tuttavia, la formulazione della NIS2, nella versione proposta il 6 Dicembre 2020 può lasciare spazio ad alcuni quesiti. Bisogna considerare l’MDR come legge speciale (e quindi prevalente) rispetto alla NIS per la notifica di incidenti?
L’interazione tra NIS e MDR
Il considerando 12 della proposta di direttiva ci suggerisce che la legislazione e gli strumenti settoriali possono contribuire a garantire livelli elevati di cibersicurezza. Inoltre, ci indica che “qualora un atto giuridico settoriale dell’Unione imponga ai soggetti essenziali o importanti obblighi relativi all’adozione di misure di gestione dei rischi di cibersicurezza o di notifica di incidenti o minacce informatiche significative di effetto almeno equivalente agli obblighi stabiliti nella presente direttiva, dovrebbero applicarsi tali disposizioni settoriali”.
Sembrerebbe dunque aperta l’ipotesi dell’MDR come lex specialis. Tuttavia l’incertezza interpretativa rimane, soprattutto perché non è facile dare significato alla formula “effetto almeno equivalente”.
Se il testo non cambia e l’interpretazione dovrà essere fatta dagli Stati membri in fase di attuazione nazionale, potremmo trovarci di fronte anche ad un ulteriore problema.
Se alcuni Stati considereranno l’MDR come lex specialis, e altri no, avremmo anche frammentazione nel mercato europeo: alcuni richiederanno la notifica di entrambi gli incidenti, mentre altri no.
Le prospettive
L’iter legislativo della direttiva NIS2 non è terminato, e la formulazione finale dell’atto può essere diverso da quanto contenuto nella proposta. Una versione disponibile del testo nella procedura legislativa della direttiva (datato Novembre 2021) suggerisce che le disposizioni in materia di notifica di incidenti potranno subire dei cambiamenti, anche con riferimento al significato di “effetto almeno equivalente”. Non rimane che attenderne gli ulteriori sviluppi.
Altri nodi nella regolamentazione della cibersicurezza dei dispositivi medici
Già con la prima NIS, la regolamentazione della cibersicurezza dei dispositivi medici aveva comportato alcune sfide. Per esempio, in tema di schemi di certificazione previsti dal Cybersecurity Act.
Alcuni stakeholder avevano ravvisato un rischio di sovrapposizioni normative rispetto ai requisiti di certificazione già previsti nell’MDR.
In secondo luogo, rimane la preoccupazione che la volontarietà della certificazione di cui al Cybersecurity Act possa portare rischi di frammentazione in tutta l’UE. Infine, anche l’interazione dei requisiti di sicurezza tra MDR e la direttiva sulle apparecchiature radio lascia aperti dubbi interpretativi che possono dare adito ad incertezza normativa.
Conclusione
L’adeguato livello di sicurezza informatica e resilienza dei dispositivi medici è un elemento cruciale per il mantenimento dell’erogazione quotidiana dei servizi sanitari.
La regolamentazione della cyber security ha acquisito maggiore complessità viste le nuove riforme generali e settoriali a livello europeo. La proposta NIS2 potrebbe comportare nuove sfide – come la notifica di incidenti significativi – che si aggiungono a quelle esistenti.
NOTA BIBLIOGRAFICA
SAFECARE ha ricevuto finanziamenti dal programma di ricerca e innovazione Horizon 2020 dell’Unione europea nell’ambito del Grant Agreement n. 787002. Questo articolo si basa sui risultati della ricerca svolta da Elisabetta Biasin e Erik Kamenjšević in Cybersecurity of Medical Devices: Regulatory Challenges in the EU (in ‘The Future of Medical Device Regulation: Innovation and Protection’, Cambridge University Press, forthcoming).
