“La Direttiva NIS2 sposta in maniera più marcata l’attenzione su un approccio basato sul rischio. Ogni organizzazione dovrà adottare misure di sicurezza specifiche, in base alla natura dei servizi offerti e alla dimensione e complessità dell’organizzazione ma, soprattutto, plasmare il livello di rischio derivante da minacce informatiche. L’obiettivo è quello di rafforzarne la resilienza, prevenire incidenti e limitare i danni in caso di attacco in un’ottica di filiera allargata. Consideriamo le attività contenute nella direttiva come un generatore di emergenza per il mondo digitale: senza di esse i pazienti stessi sarebbero a rischio e la struttura sanitaria potrebbe patire danni reputazionali ed economici inquantificabili”. E’ quanto dichiara in un’intervista a One Health, rivista di approfondimento del Gruppo The Skill, Alvise Biffi, imprenditore impegnato sui temi della digital transformation, della cyber security e dell’innovation management, amministratore delegato di Secure Network (BV TECH) e, da giugno, presidente di Assolombarda.

Ma quali sono i rischi più significativi per i nostri ospedali? “Prima fra tutti l’obsolescenza dei sistemi informatici, spesso basati su tecnologie non più supportate o difficili da aggiornare – spiega Biffi. Pensiamo, ad esempio, ai software per la gestione delle cartelle cliniche, o a quelli inseriti nei dispositivi medici con software proprietario, o applicazioni contabili sviluppate su misura anni fa. Il problema principale è che questi sistemi, pur essendo ancora essenziali per il funzionamento quotidiano, rappresentano un rischio significativo per la sicurezza informatica”.

“Le attività da svolgere sono molte: il primo step è lavorare a livello tecnologico, ammodernando sistemi e strutture, e contemporaneamente sulle persone, investendo nella loro formazione, poiché rappresentano il primo livello di sicurezza delle nostre realtà. Poi occorre realizzare piani di Disaster recovery che permettano di ripristinare rapidamente i sistemi e i dati dopo un evento critico e testarli con delle prove finalizzate a valutarne l’efficacia. Nel mondo sanitario, dove ogni minuto può fare la differenza per la vita di un paziente, il disaster recovery non è solo una questione tecnica, ma una responsabilità clinica e organizzativa. Prepararsi in anticipo eseguendo simulazioni e coinvolgere tutti i reparti è ciò che fa la differenza tra un’interruzione gestita bene e una crisi”, conclude Biffi.