Direttiva NIS 2, una leva normativa per rendere sicuri i dispositivi medicali

Ruoli, responsabilità e governance

Per garantire una corretta gestione del dispositivo, occorrerà definire ruoli e responsabilità che esulino dalla mera gestione tecnica dei Sistemi informativi e Ingegneria clinica. Ma prevede il coordinamento di altri attori quali:

• il Provveditorato o l’ufficio acquisti, per quanto concerne la gestione dei contratti per l’acquisizione di dispositivi medicali;
• fornitori/produttori che, in virtù delle attività di manutenzione, aggiornamento e patching che effettuano accedendo ai sistemi dell’azienda ospedaliera, devono essere adeguatamente valutati, monitorati e gestiti;
• gli utilizzatori dei dispositivi che devono essere adeguatamente formati rispetto all’utilizzo del dispositivo, ma anche rispetto a buone pratiche di sicurezza informatica.

Dal punto di vista formale, l’azienda ospedaliera deve anche prevedere un corpus documentale di politiche e procedure che prendano in considerazione gli aspetti di sicurezza delle informazioni e l’ambito medicale.

Nello specifico, deve prevedere la politica di sicurezza delle informazioni che delinei principi di sicurezza delle informazioni e aspetti specifici di gestione del dispositivo, le cui attività di dettaglio saranno definite nelle politiche e procedure elencate di seguito:

• politica di gestione dei log;
• politica di classificazione delle informazioni;
• procedura di gestione degli accessi logici;
• procedura di change management;
• procedura di aggiornamento e patching dei sistemi;
• procedura di gestione degli incidenti;
• piano di disaster recovery e business continuity;
• politica e procedura di backup.

Gestione basata sul rischio

La direttiva NIS 2 impone ai soggetti essenziali e importanti di adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete in termini di riservatezza, integrità e disponibilità del dato.

Tutto ciò si concretizza nell’esecuzione di un’analisi dei rischi che prenda in considerazione anche i rischi derivanti dall’utilizzo dei dispositivi medicali. Inoltre, tale aspetto costituisce anche un requisito previsto dai Regolamenti MDR e IVDR (Regolamento UE 2017/745 e 2017/746) al fine di garantire la sicurezza complessiva dei dispostivi medicali sin dal momento della loro progettazione.

L’obiettivo ultimo dell’analisi dei rischi permette di allocare correttamente risorse dove più è necessario, nonché avere una visuale complessiva dell’esposizione al rischio dei propri asset e processi aziendali per indirizzare le strategie aziendali.

Gestione asset e flussi informativi: le aziende ospedaliere devono gestirli in modo corretto

La capacità delle aziende ospedaliere di identificare e gestire in modo corretto e coerente gli asset IT e le informazioni in base alla loro criticità fornisce un elemento fondamentale per supportare la sicurezza delle stesse.

Tale aspetto è garantito dalla presenza di un inventario degli asset che comprenda le informazioni IT del dispositivo (versione software e firmware installati, versioning, stato operativo del dispositivo, interazione o dipendenza con sistemi e applicativi, ubicazione fisica e logica eccetera), ma anche il tracciamento dei flussi informativi che permette all’azienda ospedaliera di definire una corretta segmentazione della rete, di consentire i soli flussi autorizzati e garantire una maggiore visibilità e protezione delle informazioni scambiate.

Ciclo di vita del dispositivo

Per garantire una corretta postura di sicurezza, l’azienda ospedaliera deve prevedere la gestione del dispositivo dal momento in cui viene acquisito fino al momento della sua dismissione.

Durante la fase di acquisizione di nuovi dispositivi, l’azienda ospedaliera deve garantire che la fornitura sia allineata con i propri standard di sicurezza verificando che il fornitore soddisfi i requisiti di sicurezza richiesti e definiti in fase contrattuale.

Durante la fase di installazione, l’azienda ospedaliera provvede al collaudo e installazione del dispositivo nell’ambiente clinico, garantendo un’opportuna segregazione della rete e integrandolo con gli applicativi sanitari e i sistemi di gestione della sicurezza informatica già presenti, accertandosi che siano rispettati tutti i requisiti di sicurezza definiti in fase contrattuale.

Per ciò che concerne la fase di manutenzione, generalmente questa è affidata al fornitore del dispositivo per tutte le attività di manutenzione, aggiornamento o installazione delle patch sui dispositivi.

L’azienda ospedaliera in questo senso indirizza le attività di manutenzione, secondo le modalità definite in fase contrattuale e le monitora utilizzando i processi specifici di change management e patch management.

La fase di decommisioning afferisce a tutte quelle attività di dismissione del dispositivo ormai in end-of-life o end-of-support. Durante le attività, l’azienda ospedaliera deve garantire un processo di dismissione dei dispositivi procedendo a cancellare le informazioni sanitarie e tutte le informazioni relative a configurazioni, licenze in uso, account e relative credenziali presenti.

Gestione della catena di fornitura

La gestione dei fornitori di prodotti e servizi parte da una tracciatura degli stessi in un registro che vada ad indentificare anche tipologia e criticità specifiche. Questo permette all’azienda ospedaliera di definire requisiti specifici in base alla criticità del fornitore, valutare preventivamente la postura di sicurezza dello stesso e facilitare le attività di verifica del rispetto dei requisiti di sicurezza definiti in fase contrattuale.

Tale aspetto è uno degli ambiti principali toccati dalla Direttiva NIS 2 al fine di garantire la sicurezza dei dispositivi sin dal momento della loro acquisizione. Questi requisiti possono prevedere, per esempio, la certificazione del fornitore a standard di settore o la garanzia che il dispositivo prodotto sia sviluppato secondo logiche di security e privacy by design.

Gestione incidenti di sicurezza e continuità operativa

Uno degli obblighi principali imposti dalla Direttiva NIS 2 è quello di gestione degli incidenti di sicurezza che impattano sui sistemi dell’azienda ospedaliera e che potrebbero avere ripercussioni anche sui dispositivi medicali.

Al fine di gestire correttamente un incidente di sicurezza, la Direttiva NIS 2 impone alle aziende ospedaliere di formalizzare ed implementare un processo di gestione degli incidenti al fine di individuare correttamente ruoli e responsabilità, definire i meccanismi di comunicazione verso l’Agenzia per la Cybersicurezza Nazionale garantendo un processo lineare per minimizzare i disservizi e rendere più celeri le attività di contenimento e ripristino.

Stesso ragionamento riguarda la continuità operativa. I piani di business continuity e disaster recovery devono essere formalizzati e adottati sia dai Sistemi informativi sia dall’Ingegneria clinica, in modo tale da definire un approccio che minimizzi indisponibilità prolungate dei sistemi e dei dispositivi medicali.

In virtù del ricorso a numerosi fornitori per quanto riguarda l’ambito medicale, questo aspetto risulta senz’altro essenziale al fine di garantire un miglior coordinamento tra Azienda Ospedaliera e fornitore.

Formazione al personale

La formazione e la sensibilizzazione del personale è un altro requisito richiesto dalla Direttiva NIS 2, al fine di garantire che non solo gli operatori tecnici abbiano conoscenze in termini di sicurezza informatica, ma anche gli utilizzatori dei dispositivi siano adeguatamente formati.

Questa formazione ovviamente non è di carattere puramente tecnico, ma più in ottica di sensibilizzazione al fine di far acquisire al personale concetti di base di sicurezza informatica e su come riconoscere e prevenire potenziali minacce per garantire una corretta postura di sicurezza durante l’utilizzo dei dispositivi medicali.

La formazione dovrebbe essere un processo continuo di apprendimento e adattamento. In questo modo, tutti i dipendenti sono dotati degli strumenti per affrontare le nuove minacce poste da un contesto in forte evoluzione.

Misure di sicurezza tecniche

Gli elementi sono perlopiù afferenti ad aspetti organizzativi piuttosto che tecnici. Al fine di garantire la sicurezza complessiva del dispositivo medicale, al pari di qualsiasi altro asset IT, devono essere garantiti adeguati presidi di sicurezza che devono essere introdotti sia dal produttore del dispositivo, sia dall’azienda ospedaliera che lo acquista e lo utilizza.

In questo senso si elencano gli aspetti principali che devono essere considerati, e che sono previsti dalla Direttiva NIS 2 e dai regolamenti MDR e IVDR:

• assicurare un ciclo di vita dello sviluppo del software sicuro (SDLC);
• garantire modalità di autenticazione e autorizzazione sicure;
• implementare protocolli crittografici sicuri;
• configurare e segregare adeguatamente la rete;
• gestire le vulnerabilità;
• effettuare le attività di backup;
• garantire la sicurezza fisica dei dispositivi;
• assicurare il rilevamento, la registrazione degli eventi e il monitoraggio dei log.

Un framework di sicurezza delle informazioni per le aziende ospedaliere

Al fine di garantire la sicurezza dei dispositivi medicali durante tutto il ciclo di vita è sicuramente necessaria una forte interazione tra gli attori coinvolti nel processo: Sistemi informativi, Ingegneria clinica e i relativi fornitori.

Oltre a ciò, è imprescindibile dotarsi di un framework di sicurezza delle informazioni che permetta alle aziende ospedaliere di avere una postura di sicurezza adeguata e che indirizzi le risorse a disposizione in modo più efficiente ed efficace.

Bibliografia

• Rapporto Clusit 2025 sulla Sicurezza ICT in Italia;
• Cyber Insecurity in Healthcare: The Cost and Impact on Patient Safety and Care 2024;
• Health-ISAC – Medical Device Cybersecurity Lifecycle Management;
• Medical Device Coordination Group – Guidance on Cybersecurity for medical devices;
• IMDRF – Principles and Practices for Medical Device Cybersecurity.