Analizzando i report statistici ENISA sulle minacce cyber nel settore sanitario europeo e convergendo nei dati statistici del CLUSIT sul territorio italiano, emerge un quadro “clinico” critico delle strutture sanitarie rispetto al rischio ICT.
In particolare, in un asse cartesiano “maturità-rischio”, il settore sanitario si colloca in una “risk zone” dove all’alta criticità corrisponde anche una bassa maturità.
Il settore sanitario supera PA e utilities di base, ma resta ben distante da banche, telecomunicazioni ed energia. I report evidenziano, infatti, come la Sanità sia il settore più colpito da attacchi cyber:
• nel 2024, il ransomware rappresenta il 54% delle minacce nel settore e il 45% degli incidenti analizzati e il 28% riguarda violazioni di dati personali (categorie particolari di dati);
• gli ospedali sono vittime nel 53% dei casi con impatti principali su esfiltrazione di dati (43%) e interruzione dei servizi (22%);
• nel 2024 sono stati violati 276 milioni di record sanitari.
Indice degli argomenti
Perché la Sanità è il settore più colpito dagli attacchi cyber
Le ragioni di questa esposizione sono molteplici e si intrecciano tra loro. La digitalizzazione accelerata delle strutture ospedaliere – spinta ulteriormente dalla pandemia – ha moltiplicato le superfici d’attacco senza che vi fosse sempre un corrispondente potenziamento delle difese.
I sistemi sanitari gestiscono dati tra i più sensibili e preziosi in assoluto: cartelle cliniche, dati genetici, informazioni sui trattamenti farmacologici. L’interruzione di questi sistemi non produce solo danni economici e reputazionali, ma può mettere a rischio la vita stessa dei pazienti.
A complicare ulteriormente il quadro, vi è la convergenza tra sistemi IT tradizionali e sistemi OT: ventilatori, pompe per infusione, monitor cardiaci e scanner diagnostici sono oggi dispositivi connessi in rete, spesso basati su sistemi operativi obsoleti e privi di aggiornamenti di sicurezza.
La carenza di professionisti specializzati in cybersecurity sanitaria e la necessità di garantire operatività continua 24 ore su 24, 7 giorni su 7, completano uno scenario che richiede un approccio sistematico, normato e documentato.
| Dimensione | CLUSIT (H1 2025) | ENISA (lug 2024 – giu 2025) |
| Perimetro | Incidenti globali di pubblico dominio | Incidenti UE e paesi limitrofi |
| Campione | 2.755 incidenti (H1 2025) | 4.875 incidenti (12 mesi) |
| Quota sanità | 12,2% degli attacchi globali | 13,7% delle infrastrutture critiche |
| Incidenti sanità H1 2025 | 337 (già il 67% dell’intero 2024) | — |
| Posizione settoriale | 3° posto (dopo target multipli e Gov/Mil) | 1° posto per 4 anni consecutivi (CIRAS) |
| Tecnica dominante | Unknown (40%), poi Malware (20%), DDoS (34% Q1) | DDoS (76,7% globale), Ransomware più impattante |
| Ransomware su sanità | Principale causa di impatti critici | 45% degli incidenti sanitari (2024) |
| Data breach su sanità | — | 28% degli incidenti sanitari (2024) |
| Severity critica | Raddoppiata in sanità H1 2025 vs 2024 | 276 mln record violati in 2024 |
| Vittime più colpite | Tutte le strutture healthcare | Ospedali (53% degli incidenti) |
| Italia | 1,8% incidenti nazionali, in calo vs 2024 | — (dato non disaggregato per IT) |
| Hacktivismo | 54% incidenti italiani; 34% attacchi sanità Q1 | DDoS hacktivisti = 76,7% volume totale UE |
| Maturità settore | Gap difesa vs offesa in crescita strutturale | “Risk zone” NIS360: maturità < criticità |
| AI come vettore | Citata come acceleratore delle minacce | Usata in >80% dei social engineering |
| Vulnerabilità | Zero-day in forte crescita nel 2025 | Causa del 61%+ degli incidenti per l’80% delle strutture |
Cyber resilience in Sanità: tavola di confronto CLUSIT vs ENISA sugli attacchi cyber nel settore
Le sfide principali includono:
- ampie variazioni nell’implementazione NIS tra Stati membri;
- supporto limitato delle autorità nazionali;
- scarsa gestione del rischio cyber a livello settoriale;
- preparazione operativa disomogenea.
Il settore sanitario continua ad affrontare sfide specifiche:
- dipendenza da supply chain complesse;
- sistemi legacy;
- dispositivi medici scarsamente protetti.
Di seguito, dopo una breve ricognizione dei principali obblighi normativi previsti per il settore sanitario, analizzeremo nel modo più pratico possibile gli “otto passi” che una struttura sanitaria deve seguire per identificare, definire e implementare un sistema di cyber reselience digitale e operativa.
Il quadro normativo di riferimento
La Direttiva NIS2 e il recepimento italiano (D.Lgs. 138/2024)
La Direttiva NIS2 (2022/2555), entrata in vigore il 17 gennaio 2023, rappresenta il pilastro normativo europeo per la cybersecurity delle infrastrutture critiche, nelle quali il settore sanitario occupa un ruolo di primissimo piano. La direttiva supera i limiti della precedente NIS1 introducendo un perimetro applicativo molto più ampio, requisiti di sicurezza più stringenti e un sistema sanzionatorio significativamente rafforzato.
Tra gli obblighi più rilevanti per le organizzazioni sanitarie figurano: l’adozione di un approccio multirischio (che includa sia le minacce cyber che quelle operative), l’implementazione obbligatoria dell’autenticazione multifattore (MFA) e della crittografia avanzata, e l’obbligo di notifica degli incidenti significativi entro 24 ore (preallarme) e 72 ore (notifica completa). Le sanzioni previste per i soggetti essenziali raggiungono i 10 milioni di euro o il 2% del fatturato globale annuo.
In Italia, la NIS2 è stata recepita attraverso il Decreto Legislativo 138/2024 che attribuisce all’Agenzia per la Cybersicurezza Nazionale (ACN) il ruolo di autorità nazionale di vigilanza e coordinamento. Le scadenze operative per le strutture sanitarie sono state serrate: entro il 31 maggio 2025 è stato necessario designare il punto di contatto e il suo sostituto sul portale ACN; nei 9 mesi successivi alla notifica da parte dell’Agenzia devono essere state adottate le procedure di gestione e notifica degli incidenti; entro 18 mesi dalla notifica deve essere completata l’implementazione di tutte le misure di sicurezza previste.
GDPR
Il GDPR (Regolamento 2016/679) è un pilastro fondamentale per il settore sanitario che, per sua natura, tratta dati di categoria speciale. La convergenza tra GDPR e NIS2 crea un framework normativo complementare: la NIS2 si occupa della resilienza operativa dei sistemi, il GDPR tutela i dati personali trattati da quei sistemi.
In caso di data breach, le strutture sanitarie devono notificare l’incidente al Garante Privacy entro 72 ore e, qualora il rischio per i diritti degli interessati sia elevato, comunicare l’accaduto anche ai pazienti coinvolti.
Standard internazionali: ISO 27001, ISO 22301 e NIST
Accanto al quadro normativo obbligatorio, le organizzazioni sanitarie devono fare riferimento a standard internazionali consolidati che forniscono framework operativi dettagliati.
Lo standard ISO/IEC 27001:2022 è espressamente citato dalla Direttiva NIS2 come riferimento per i controlli di sicurezza: esso fornisce un sistema di gestione della sicurezza delle informazioni (ISMS) basato sul ciclo Plan-Do-Check-Act. I controlli dell’Annex più rilevanti per la resilienza operativa riguardano la pianificazione della continuità della sicurezza informativa, la disponibilità delle risorse ICT critiche con RTO definiti e la ridondanza dei sistemi critici.
Lo standard ISO 22301 per il Business Continuity Management System (BCMS) è complementare all’ISO 27001 e fornisce un approccio strutturato alla gestione della continuità operativa, definendo ruoli specifici per la gestione strategica, tattica e operativa durante le interruzioni.
L’adozione congiunta dei due standard consente alle strutture sanitarie di costruire un framework integrato che copre sia la sicurezza delle informazioni che la continuità dei servizi.
Il NIST Cybersecurity Framework è ampiamente adottato nel settore sanitario e articola i controlli di sicurezza in 6funzioni fondamentali: Identify (identificazione degli asset e delle superfici d’attacco), Protect (implementazione dei controlli di protezione), Detect (rilevamento tempestivo delle minacce), Respond (risposta efficace agli incidenti) e Recover (ripristino rapido delle operazioni). A queste si aggiunge ora la funzione Govern, che enfatizza il ruolo del management nella supervisione della cybersecurity.
Le linee guida ENISA aggiornate al 2025 identificano 13 misure chiave per l’implementazione della NIS2, che spaziano dalla gestione del rischio alla sicurezza della supply chain, dal controllo degli accessi alla formazione del personale.
Cyber Resilience in Sanità: governance e responsabilità organizzativa
Uno degli elementi più innovativi introdotti dalla NIS2 – da tenere in grande considerazione per tutti gli aspetti attuativi della cyber resilience in Sanità – è il cambio di paradigma nella responsabilità della cybersecurity: non più una questione meramente tecnica delegata alla direzione IT, ma una responsabilità di governance che coinvolge direttamente gli organi di amministrazione e direzione.
I vertici delle strutture sanitarie devono approvare formalmente le misure di sicurezza, supervisionare attivamente la loro implementazione, ricevere formazione obbligatoria in materia di cybersecurity e rispondere personalmente in caso di violazioni gravi.
Sul piano operativo, il modello di governance raccomandato prevede tre figure chiave:
- Il Chief Information Security Officer (CISO) è il punto di contatto principale con l’ACN e coordina tutte le attività di cybersecurity: definisce le politiche, gestisce la relazione con le autorità, coordina la risposta agli incidenti e riferisce alla direzione.
- Il Data Protection Officer (DPO) garantisce la conformità GDPR, conduce le valutazioni d’impatto (DPIA) e gestisce le notifiche di data breach al Garante.
- Il Responsabile Operativo (OT Manager), figura tipica del contesto sanitario, presidia la gestione dei sistemi operativi critici e coordina con il CISO la governance integrata IT/OT.
La struttura di governance deve essere completata dall’istituzione di un Comitato Direttivo per la Cybersecurity (composto da direzione generale, CISO, DPO e responsabili IT/OT), di un Team di Risposta agli Incidenti (CSIRT) operativo e di un Gruppo di Lavoro per la Business Continuity. Il D.Lgs. 138/2024 impone, inoltre, la designazione di un punto di contatto unico e di un suo sostituto per le comunicazioni con l’ACN, con capacità di interlocuzione con l’autorità nazionale.
Gestione del rischio cyber: approccio multirischio
La NIS2 introduce un requisito esplicito di approccio multirischio, che nel settore sanitario assume una connotazione particolarmente critica: accanto ai rischi informatici convenzionali, devono essere valutati i rischi per la sicurezza diretta dei pazienti. L’interruzione di un sistema di terapia intensiva o la compromissione di una pompa per infusione collegata in rete non è solo un problema tecnico: è una questione di “vitale importanza”.
Il processo di risk assessment si articola in tre fasi:
- La prima è l’identificazione degli asset critici: sistemi EHR/FSE, PACS, dispositivi medici connessi, sistemi di laboratorio (LIS), sistemi di farmacia, piattaforme di telemedicina e infrastrutture di rete;
- La seconda fase riguarda l’analisi delle minacce più rilevanti per il settore: il ransomware (71% degli attacchi con impatto clinico), il phishing e il social engineering (all’origine del 75-90% degli attacchi via email), gli attacchi alla supply chain, le minacce insider e le vulnerabilità dei dispositivi medici legacy non più supportati dai produttori;
- La terza fase è la valutazione dell’impatto su quattro dimensioni: sicurezza dei pazienti (scala critico/alto/medio/basso), impatto operativo (numero di servizi e pazienti interessati, durata dell’interruzione), impatto economico (costi diretti e indiretti) e impatto legale e reputazionale.
Per ciascun rischio identificato deve essere definita una strategia di trattamento: mitigazione tramite controlli, trasferimento tramite assicurazioni cyber o clausole contrattuali, accettazione formale per rischi a basso impatto o eliminazione per sistemi non essenziali ad alto rischio.
Misure tecniche e organizzative fondamentali per la cyber resilience delle strutture sanitarie
Le strutture sanitarie, al fine di ottenere un giusto grado di cyber resilience dei loro servizi e processi, devono graduare in funzione della criticità dei sistemi l’implementazione delle misure tecniche e organizzative previste dalla NIS2 e dagli standard internazionali.
L’autenticazione multifattore (MFA) è obbligatoria per tutti gli accessi amministrativi ai sistemi critici, per gli accessi remoti (VPN, RDP, cloud), per i sistemi EHR/FSE e per tutti gli account privilegiati. La gestione delle identità e degli accessi (IAM) deve basarsi sul principio del minimo privilegio, sulla segregazione dei ruoli e su revisioni periodiche almeno trimestrali, con disabilitazione immediata degli account in caso di cessazione del rapporto di lavoro.
La crittografia è un requisito non negoziabile: AES-256 per tutti i database contenenti dati sanitari e per i dispositivi di storage, TLS 1.3 per le comunicazioni web, VPN con crittografia robusta per gli accessi remoti. I backup devono essere anch’essi crittografati. La segmentazione di rete prevede la separazione logica e fisica tra rete clinica, rete amministrativa, rete ospiti e DMZ per i servizi esposti a Internet, con un segmento dedicato e isolato per i dispositivi medici legacy.
Il modello Zero Trust – basato sul principio “never trust, always verify” – rappresenta la direzione strategica verso cui tendere, con implementazione graduale che include la micro-segmentazione della rete e il monitoraggio continuo delle attività.
La gestione delle vulnerabilità prevede scansioni automatizzate mensili, classificazione CVSS, patch management con tempistiche differenziate per criticità (48-72 ore per le patch critiche, 7 giorni per quelle importanti), penetration test annuali e simulazioni di attacchi ransomware.
Il monitoraggio H24/7 tramite SOC (interno o in outsourcing) con SIEM, IoC aggiornati e analisi comportamentale (UEBA) completa il quadro delle misure tecniche essenziali.
Business Continuity e Disaster Recovery
La Business Impact Analysis (BIA) è il fondamento di ogni strategia di continuità operativa e, quindi, alla base del progetto di cyber resilience in Sanità, in cui i processi devono essere classificati su quattro livelli di criticità:
- Livello 1 (critici per la vita: pronto soccorso, terapia intensiva, sale operatorie);
- Livello 2 (essenziali: diagnostica per immagini, laboratori, farmacia);
- Livello 3 (importanti: prenotazioni, amministrazione, logistica);
- Livello 4 (servizi ausiliari non urgenti).
Per ciascun livello devono essere definiti gli obiettivi di ripristino: RTO inferiore a 1 ora per il Livello 1, inferiore a 4 ore per il Livello 2, inferiore a 24 ore per il Livello 3, inferiore a 72 ore per il Livello 4.
Il Recovery Point Objective (RPO) – la massima perdita di dati tollerabile – deve essere near-zero per i dati clinici critici (replica sincrona), inferiore a 15 minuti per i dati operativi e inferiore a 24 ore per i dati amministrativi.
Il Business Continuity Plan deve includere scenari di crisi dettagliati (ransomware, guasto infrastrutturale, disastro naturale, attacco alla supply chain), procedure operative per ciascuno scenario, piani di comunicazione interna ed esterna e procedure per le modalità degradate (operatività cartacea, workaround manuali, protocolli di trasferimento pazienti).
Sul piano del Disaster Recovery, la strategia tecnica deve essere calibrata sui target RTO/RPO:
- Hot Site (data center secondario con replica sincrona, RTO inferiore a 1 ora);
- Warm Site (infrastruttura pronta ma non completamente attiva, RTO 4-24 ore);
- Cold Site (risorse disponibili per attivazione, RTO superiore a 24 ore) o Cloud DR su piattaforme ibride.
La strategia di backup deve seguire la regola 3-2-1-1-0: 3 copie su 2 diversi supporti, 1 copia offsite, 1 copia immutabile/air-gapped (protezione antiransomware), 0 errori nei test di restore.
I test di ripristino devono essere condotti mensilmente su campione casuale, trimestralmente su componenti selezionate e annualmente in modo completo per i sistemi critici.
Sicurezza della catena di fornitura
L’articolo 24 del D.Lgs. 138/2024 impone la valutazione della sicurezza informatica dei fornitori di servizi ICT. Per puntare su di una vera cyber resilience nel settore sanitario, dove le dipendenze da software clinici, sistemi di telemedicina e piattaforme di gestione dati sono pervasive, la sicurezza della supply chain è una priorità assoluta.
I fornitori devono essere classificati per criticità (critici: EHR, PACS, LIS; importanti: cloud provider, backup; standard: servizi ausiliari) e sottoposti a due diligence pre-contrattuale che includa la verifica delle certificazioni (ISO 27001, SOC 2), audit di sicurezza o questionari standardizzati e valutazione dell’esperienza nel settore sanitario.
I contratti con i fornitori devono includere clausole specifiche su: obblighi di sicurezza con standard minimi certificati, tempistiche di notifica degli incidenti (entro 24 ore), diritto di audit periodici, localizzazione e crittografia dei dati, obbligo di comunicazione e approvazione dei sub-fornitori, clausole di indennizzo in caso di violazione e procedure di exit strategy con restituzione sicura dei dati. Il monitoraggio dei fornitori critici deve essere almeno annuale e includere la verifica degli SLA di sicurezza e il tracciamento degli incidenti occorsi al fornitore.
I dispositivi medici connessi meritano un’attenzione speciale: richiedono un inventario completo con classificazione per criticità clinica e rischio cyber, una segmentazione di rete dedicata, il monitoraggio del traffico anomalo e l’implementazione di virtual patching per i dispositivi legacy. Il Piano d’Azione europeo per la cybersecurity sanitaria prevede la creazione di un catalogo europeo delle vulnerabilità note per dispositivi medici, cartelle cliniche elettroniche e fornitori ICT sanitari, che le strutture devono monitorare attivamente.
Cyber resilience in Sanità: gestione degli incidenti e obblighi di notifica
Il processo di incident management deve seguire un approccio strutturato articolato in 5 fasi.
Il rilevamento avviene attraverso sistemi automatici (SIEM, IDS/IPS, EDR, anomaly detection) e segnalazioni del personale tramite canali dedicati.
La classificazione distingue 4 livelli di severità: Critico (P1, impatto su pazienti critici o compromissione di sistemi essenziali), Alto (P2, interruzione di servizi importanti), Medio (P3, degrado delle prestazioni) e Basso (P4, incidenti minori).
Il contenimento prevede l’isolamento dei sistemi compromessi, il blocco degli account sospetti, l’implementazione di regole firewall temporanee e la preservazione delle evidenze forensi.
L’eradicazione e il ripristino comportano l’identificazione e rimozione della causa root, il patching delle vulnerabilità sfruttate, il reimaging dei sistemi compromessi e il ripristino da backup verificati, con verifica dell’integrità prima della rimessa in produzione.
La post-incident review entro 72 ore dalla risoluzione, con documentazione completa e identificazione delle azioni correttive, chiude il ciclo e alimenta il miglioramento continuo.
Gli obblighi di notifica sono precisi e vincolanti:
- Verso l’ACN (NIS2/D.Lgs. 138/2024): preallarme entro 24 ore dalla conoscenza dell’incidente, notifica completa entro 72 ore, rapporto finale entro 1 mese dalla risoluzione.
- Verso il Garante Privacy (GDPR): notifica entro 72 ore in caso di data breach con rischio per i diritti degli interessati, comunicazione agli interessati senza ingiustificato ritardo se il rischio è elevato.
- La comunicazione di crisi, sia interna (catena di escalation, briefing al management) che esterna (portavoce unico, messaggi coerenti e verificati), deve essere pianificata preventivamente e non improvvisata nel momento dell’emergenza.
Formazione, awareness e cultura della sicurezza
Un approccio proattivo alla cyber resilience in Sanità passa anche per la diffusione di un’appropriata cultura e governance della sicurezza informatica a tutti i livelli della struttura sanitaria.
La NIS2, in tal senso, introduce l‘obbligo formale di formazione per gli organi direttivi in materia di cybersecurity: non una scelta discrezionale, ma un requisito normativo. Il programma formativo deve essere multilivello e continuo:
- Per il management: formazione annuale su panoramica delle minacce, responsabilità legali e sanzioni, governance della cybersecurity, gestione delle crisi e ROI degli investimenti in sicurezza;
- Per il personale tecnico (CISO, DPO, team IT): formazione continua con certificazioni professionali (CISSP, CISM, CEH) nelle aree del threat hunting, incident response, sicurezza dei dispositivi medici e normative specifiche.
- Per il personale sanitario – medici, infermieri, operatori clinici – la formazione deve essere pratica e focalizzata sui comportamenti quotidiani: riconoscimento del phishing e del social engineering, gestione sicura delle password, protezione dei dati dei pazienti, uso sicuro dei dispositivi mobili e procedure in caso di sospetto incidente. La frequenza raccomandata è: formazione iniziale all’assunzione, refresher annuale, campagne periodiche di sensibilizzazione.
Le campagne di awareness comprendono simulazioni mensili di phishing con feedback personalizzato, newsletter di sicurezza con casi reali, materiali informativi nelle aree comuni e cliniche, giornate dedicate alla sensibilizzazione e iniziative di gamification.
I KPI di efficacia da monitorare includono: tasso di partecipazione ai corsi (target: 100%), click rate nelle simulazioni di phishing (target inferiore al 5%), numero di segnalazioni di email sospette e riduzione degli incidenti causati da errore umano.
Cyber resilience in Sanità: la roadmap di implementazione in 5 fasi
L’implementazione di una completa strategia di cyber resilience in Sanità richiede un approccio graduale e strutturato, realizzabile in un arco temporale definito e monitorabile che presuppone una o più figure di project management a seconda della complessità organizzativa a cui segue una fase permanente di miglioramento continuo.
Fase 1 – Assessment e Gap Analysis (stimabile da1-6 mesi): costituzione del team di progetto, assessment dello stato attuale rispetto a NIS2, ISO 27001 e GDPR, inventario degli asset ICT, Business Impact Analysis, risk assessment iniziale e gap analysis dettagliata. I deliverable di questa fase sono il rapporto di gap analysis, il registro dei rischi prioritari e il piano di progetto con budget.
Fase 2 – Quick Wins e Fondamenta (stimabile nei successivi 6-12 mesi): registrazione sul portale ACN (ad oggi già dovrebbe essere adempiuto), implementazione MFA su tutti i sistemi critici, avvio del programma di formazione, definizione delle politiche di sicurezza fondamentali, implementazione o potenziamento del SOC/SIEM, segmentazione di rete di base, processo strutturato di patch management e revisione dei backup esistenti.
Fase 3 – Implementazione Avanzata (stimabile nei successivi 13-24 mesi): sviluppo completo del Business Continuity Plan, implementazione della strategia di Disaster Recovery, crittografia avanzata, valutazione e gestione della supply chain, controlli di rilevamento avanzati (EDR, NDR, UEBA), avvio del modello Zero Trust, penetration testing e prime simulazioni di disaster recovery.
Fase 4 – Ottimizzazione e Certificazione (stimabile nei successivi 25-30 mesi): preparazione alla certificazione ISO 27001, audit interno completo, risoluzione delle non conformità, test completi del BCP/DRP, implementazione del sistema di metriche e KPI, automazione dei processi e red team/blue team exercises. I deliverable attesi sono la certificazione ISO 27001, l’attestazione di conformità NIS2 e una dashboard di monitoraggio KPI operativa.
Fase 5 – Miglioramento Continuo (ongoing): monitoraggio continuo delle minacce, revisione periodica delle politiche, aggiornamento della formazione, test periodici di BC/DR, audit di sorveglianza ISO 27001 e partecipazione a iniziative di information sharing settoriali.
Dalla compliance alla cyber resilience
Resilienza operativa ICT e cyber resilience nel settore sanitario non sono più un’opzione strategica tra le tante, ma una necessità vitale che si declina contemporaneamente su tre piani: normativo, clinico e organizzativo.
Le strutture sanitarie italiane si trovano oggi a dover rispondere a un quadro regolatorio articolato e urgente – NIS2, D.Lgs. 138/2024, GDPR, EHDS – con scadenze che non ammettono dilazioni, pena sanzioni severe e responsabilità personali per i vertici aziendali.
Tuttavia, ridurre la questione alla sola compliance sarebbe un errore di prospettiva. Il vero obiettivo è costruire organizzazioni capaci di resistere agli attacchi, contenere i danni, ripristinare rapidamente i servizi e apprendere da ogni incidente per diventare più forti. Questo richiede impegno del top management (la cybersecurity è responsabilità di governance prima ancora che tecnica), un approccio olistico che integri sicurezza, operatività clinica e compliance, investimenti adeguati in tecnologie, persone e processi, e una cultura della sicurezza diffusa a tutti i livelli dell’organizzazione.
Le strutture sanitarie che investiranno strategicamente in cyber resilience non solo si metteranno al riparo da sanzioni e danni reputazionali, ma costruiranno un vantaggio competitivo fondato sulla fiducia dei pazienti e sulla continuità del servizio.
In un contesto in cui la Salute delle persone dipende sempre di più dalla correttezza e dalla disponibilità dei sistemi digitali, resilienza operativa ICT e cyber resilience sono, in ultima analisi, resilienza organizzativa: la capacità di affrontare le avversità, apprendere dalle crisi e uscirne rafforzati.
