Cyber Resilience Act e NIS2: sanzioni e rischi per le strutture sanitarie inadempienti

Il Cyber Resilience Act (CRA) e la Direttiva NIS2, come ampiamente analizzato in questa guida per le aziende del settore sanitario, sono due normative cardine che impattano in maniera diretta sulla cybersecurity.

Ma quali sono i rischi e le sanzioni per le organizzazioni sanitarie inadempienti? E quali le scadenze per l’adeguamento dei sistemi legacy?

Il regime sanzionatorio del Cyber Resilience Act

Il CRA prevede un sistema sanzionatorio progressivo calibrato sulla gravità della violazione e ispirato al modello GDPR.

Le sanzioni sono irrogate dalle autorità di sorveglianza del mercato nazionali (in Italia, l’Organismo di vigilanza designato) e possono raggiungere:

• Fino a 15 milioni di euro o 2,5% del fatturato mondiale annuo (se superiore) per le violazioni più gravi dei requisiti essenziali di cybersicurezza;
• Fino a 10 milioni di euro o 2% del fatturato mondiale annuo per le violazioni degli obblighi di gestione delle vulnerabilità e di notifica;
• Fino a 5 milioni di euro o 1% del fatturato mondiale annuo per la fornitura di informazioni inesatte o incomplete alle autorità.

Il regime sanzionatorio della NIS2 (D.Lgs. 138/2024)

Per le strutture sanitarie nella loro qualità di soggetti della NIS2, il D.Lgs. 138/2024 prevede, all’art. 38, sanzioni amministrative pecuniarie che possono raggiungere:

• Soggetti essenziali (es. ospedali pubblici di grandi dimensioni): fino a 10 milioni di euro o il 2% del fatturato mondiale annuo.
• Soggetti importanti (es. cliniche private accreditate, laboratori): fino a 7 milioni di euro o l’1,4% del fatturato mondiale annuo.
• Violazioni formali (es. mancata iscrizione alla piattaforma ACN): per i soggetti essenziali fino allo 0,1% del fatturato mondiale; per i soggetti importanti fino allo 0,07%.

Significativa è la previsione di responsabilità personale per i vertici delle organizzazioni: gli organi di amministrazione e di direzione possono essere soggetti a sanzioni disciplinari per mancata conformità agli obblighi di gestione del rischio.

Rischi non sanzionatori

Oltre alle sanzioni amministrative, le strutture sanitarie non adempienti sono esposte a:

• responsabilità civile per danni a pazienti derivanti da incidenti informatici non gestiti adeguatamente;
• reputational damage con impatto sulla fiducia degli utenti;
• rischio di esclusione da appalti pubblici per mancata certificazione di sicurezza;
• interruzione dei servizi essenziali con conseguente impatto sulla continuità delle cure.

La gestione dei sistemi legacy ospedalieri

I sistemi legacy sono una delle sfide più complesse per le strutture sanitarie italiane. Apparecchiature diagnostiche con sistemi operativi non più supportati (es. Windows XP/7), dispositivi di imaging DICOM o pompe infusionali con firmware non aggiornabile, ad esempio, non potranno ricevere aggiornamenti di sicurezza conformi al CRA.

Le azioni raccomandate, in ordine di priorità, sono:

• Network segmentation: isolare i dispositivi legacy in VLAN dedicate, impedendone la comunicazione diretta con sistemi critici o con Internet;
• Compensating controls: applicare firewall applicativi, sistemi di whitelisting delle applicazioni (es. application control) e monitoraggio anomalo del traffico;
• Asset inventory: mantenere un inventario aggiornato di tutti i dispositivi legacy con indicazione del livello di rischio residuo e delle misure compensative adottate;
• Pianificazione della sostituzione: definire un piano pluriennale di rinnovo tecnologico che tenga conto delle scadenze normative e dei cicli di procurement delle strutture SSN.

Cyber Resilience Act e NIS2: il cronoprogramma e le scadenze per l’adeguamento dei sistemi legacy

La complessità del panorama normativo richiede una pianificazione strutturata.
Di seguito, il cronoprogramma delle scadenze principali.

Scadenze NIS2 / D.Lgs. 138/2024

Scadenze CRA (Reg. UE 2024/2847)