Saccomanno-Onesti-Vivaldi: «Cybersecurity, ADR, nuovi obblighi digitali e coperture assicurative dedicate impongono investimenti continuativi. Per le strutture ambulatoriali l’impatto aggiuntivo annuo si colloca mediamente intorno ai 20.000 euro; nelle realtà con maggiore complessità organizzativa può attestarsi tra i 30.000 e i 50.000 euro. Serve equilibrio tra obblighi e sostenibilità economica»

ROMA 21 FEB 2026 – Negli ultimi tre anni il costo della compliance normativa e tecnologica per le strutture sanitarie è cresciuto mediamente tra il 20% e il 25%, secondo le stime elaborate da AISI, Associazione Imprese Sanitarie Indipendenti.

L’introduzione e il rafforzamento di obblighi come Direttiva NIS2 sulla cybersecurity, normativa sul whistleblowing (D.Lgs. 24/2023), ADR, adeguamenti GDPR, responsabilità civile anche in ambito cyber (R&C), Fascicolo Sanitario Elettronico e interoperabilità dei sistemi regionali stanno trasformando la compliance in una componente strutturale dei bilanci.

Per le strutture ambulatoriali e di dimensioni contenute, l’impatto economico aggiuntivo annuo si colloca mediamente intorno ai 20.000 euro, considerando adeguamenti software per l’interoperabilità del Fascicolo Sanitario Elettronico, sicurezza informatica – inclusa la componente assicurativa – aggiornamenti delle reti aziendali, consulenze specialistiche, formazione obbligatoria e adempimenti organizzativi. Nelle realtà con maggiore articolazione di servizi e personale, i costi crescono in funzione della complessità organizzativa e tecnologica, attestandosi generalmente in una fascia compresa tra i 30.000 e i 50.000 euro annui.

UN SISTEMA DI OBBLIGHI CUMULATIVI

Negli ultimi anni gli interventi normativi non si sono sostituiti tra loro, ma si sono sommati. Ogni nuova disposizione comporta:
– nomina di responsabili e referenti interni (DPO, referenti sicurezza, responsabili ADR)
– audit periodici e reportistica
– investimenti in infrastrutture digitali e aggiornamenti software
– adeguamenti continui dei sistemi informativi e interoperabilità (FSE)
– formazione obbligatoria del personale
– coperture assicurative dedicate (cyber risk, R&C)

La Direttiva NIS2 classifica la sanità tra i settori critici, imponendo standard di sicurezza più elevati e responsabilità dirette in caso di incidenti informatici. Il whistleblowing introduce canali dedicati e procedure interne di segnalazione. Il potenziamento del Fascicolo Sanitario Elettronico richiede adeguamenti tecnici permanenti e continuità operativa.

SACCOMANNO: “SICUREZZA E TRASPARENZA, MA CON SOSTENIBILITÀ”

«La sicurezza informatica, la trasparenza e la digitalizzazione sono obiettivi condivisi – dichiara Karin Saccomanno, Presidente AISI –. Tuttavia l’accumulo normativo genera un impatto economico crescente e continuativo. Senza un adeguato riconoscimento dei costi, il rischio è comprimere la capacità di investimento delle strutture».

ONESTI: “LA CYBERSECURITY È UN COSTO STRUTTURALE”

«Gli obblighi legati alla NIS2 e alla protezione dei dati richiedono monitoraggi costanti, aggiornamenti tecnologici e coperture assicurative specifiche – spiega Giovanni Onesti, Direttore Generale AISI –. Non si tratta di interventi una tantum, ma di costi che incidono stabilmente sui bilanci».

VIVALDI: “SERVE UN CONFRONTO ISTITUZIONALE”

«Legalità e controllo sono indispensabili – afferma Fabio Vivaldi, Segretario Generale AISI –. Quando gli obblighi si sommano, è necessario un confronto istituzionale per garantire sostenibilità economica e qualità dei servizi».

UN TEMA STRATEGICO PER IL FUTURO

L’obiettivo della sicurezza e della digitalizzazione non può tradursi in uno squilibrio strutturale per le imprese sanitarie. AISI ribadisce la disponibilità al dialogo con le istituzioni per costruire un percorso di adeguamento sostenibile e coerente con la realtà operativa del settore.