Community OSE Sistema Salute

1. La Direttiva NIS e NIS2: cosa cambia per la Sanità Italiana

La Direttiva (EU) 2022/2555, o Direttiva NIS2 estende la categoria degli OSE – Operatori di Servizi Essenziali, incrementando la sua influenza sul settore della Sanità e confermando l’importanza di specifiche aree di operatività come, per esempio, la Supply Chain, la gestione dell’Incident Response, la Gestione del Rischio.
La Direttiva NIS2 richiede agli Enti della Sanità Italiana di adempiere a obblighi normativi complessi, ponendo al contempo, a carico delle Amministrazioni e delle loro Direzioni, oneri e responsabilità che richiedono un intervento immediato ed efficace.

2. La gestione della Supply Chain in ambito sanitario e i Medical Device

Una delle aree maggiormente impattate dalla nuova Normativa è la gestione del rischio relativo alla Supply Chain.
La Supply Chain amplia la potenziale superficie di attacco è spesso viene sfruttata come punto di ingresso per un attacco informatico ad un’organizzazione. I fornitori sovente ignorano di essere oggetto di attacco e, talvolta, tendono a non comunicare l’accaduto, con gravissimo danno per l’azienda cliente.
In ambito sanitario la gestione efficace del rischio cyber della Supply Chain è particolarmente complessa, in quanto necessità di specifiche procedure di gestione del rischio di terza parte, di stringenti linee guida e policy operative e include nel perimetro di rischio anche gli MD - Medical Device, oggetto di appositi Regolamenti. La gestione degli MD è fondamentalmente differente dall’ambito ICT, richiedendo, da parte dell’Amministrazione, un approccio che tenga in debita considerazione le caratteristiche esistenti in quest’area.

3. Community OSE Sistema Salute - Resilienza Cyber

L'esigenza di definire un framework di gestione del rischio cyber delle terze parti nasce dal fatto che ogni Organizzazione adotta strumenti e pratiche diverse, in funzione di molteplici fattori: il contesto di mercato, il grado di maturità dell’azienda, la propensione al rischio solo per citarne alcuni. L'approccio proposto mira a definire un framework di valutazione del rischio che permetta di integrare criteri comunemente applicati a tutte le terze parti tecnologiche, rispettando tuttavia l'utilizzo di strumenti e standard preferiti da ciascuna Azienda. In questo modo, si vuole rendere possibile la gestione del rischio cyber delle terze parti, senza dover limitare le aziende nell’utilizzo di approcci preferiti e soluzioni di mercato.
The European House - Ambrosetti intende lanciare un confronto multi-stakeholder denominato “Community OSE Sistema Salute - Resilienza Cyber” che si configuri come un punto di incontro e confronto tra le aziende del Servizio Sanitario Nazionale per definire un framework di integrazione sintetica dei criteri e delle prassi di valutazione del rischio cyber derivante dalle terze parti.
Partendo dal monitoraggio dello stato di implementazione delle diverse progettualità, anche a confronto con i requisiti normativi e benchmark internazionali, il fine ultimo di questo track della Community OSE Sistema Salute - Resilienza Cyber Sanità è di attivare una piattaforma di sistema in grado di agevolare lo sviluppo e l’implementazione di progettualità di ampio respiro.
Il track Resilienza Cyber della Community, OSE Sanità infatti, mira a produrre e diffondere nuove esperienze ed elaborare proposte di policy concrete, formulate con la massima autorevolezza e secondo criteri super-partes.

4. L’obiettivo

L’obiettivo della Community è fornire supporto alle aziende della Sanità Italiana, identificando un percorso di adeguamento comune alle numerose e specifiche richieste della Direttiva NIS2 e, in generale, alla Normativa vigente, con particolare riguardo alla gestione della Supply Chain.
La Community metterà quindi a fattor comune le varie esperienze, avvalendosi dell’ausilio di riconosciuti esperti di settore, anche in forza alle istituzioni competenti, con lo scopo di consentire agli Enti non solo una visione di insieme e coordinata degli interventi strategici e operativi ai quali sono obbligati, ma anche di disporre di strumenti adeguati e condivisi nell’ambito della Sanità italiana.
In modo particolare tali interventi verteranno sulla ricerca di un modello operativo comune, basato su Best practice relative alle seguenti aree:

•    Gestione del rischio di cybersicurezza relativo alla Supply chain;
•    Gestione della relazione con il fornitore con particolare riferimento al processo di procurement;
•    Gestione delle vulnerabilità per gli operatori di network e infrastrutturali;
•    Gestione delle vulnerabilità nei prodotti e nel ciclo di sviluppo delle relative componenti;
•    Gestione delle vulnerabilità relative al processo di integrazione dei sistemi;
•    Requisiti richiesti ai fornitori, agli integratori di sistemi e ai consulenti;
•    Requisiti richiesti CSP – Cloud Service Provider con modello SaaS.

Normativa, best practice e linee guida

•    OSE - Direttiva NIS, Direttiva NIS2, Decreto Perimetro;
•    Medical Device - MDR, MDCG 2019-16;
•    Supply Chain - NIST SP 800-161, Enisa Good practices for supply chain cybersecurity.