Protezione dello spazio cibernetico nel settore sanitario: parte 3
Chi sono gli Operatori di Servizi Essenziali del settore sanitario che rientrano nel Perimetro di Sicurezza Nazionale Cibernetica.
Considerato il quadro regolatorio sinteticamente rappresentato nei numeri esposti nelle puntate precedenti sembra a questo punto appropriato approfondire, in dettaglio, il contenuto dei recenti, provvedimenti legislativi in materia, e in particolare, da una parte, quanto previsto dalle Linee Guida per gli Operatori di Servizi Essenziali (OSE) approvate il 7 novembre 2019, in sede di conferenza permanente per i rapporti tra Stato, le regioni e le province autonome di Trento e Bolzano e, dall’altra, quanto stabilito, sia nel D.P.C.M. 30 luglio 2020 nr. 131, “Regolamento in materia di Perimetro di Sicurezza Nazionale Cibernetica, ai sensi dell’articolo 1, comma 2, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133” (in GU Serie Generale n.261 del 21-10-2020), sia, più recentemente, dal D.P.C.M. 5 febbraio 2021, n. 54 (GU Serie Generale n.97 del 23-04-2021), in materia di procedure, modalità e termini da seguire ai fini delle valutazioni, da parte del Cvcn (Centro di Valutazione e Certificazione nazionale, istituito presso il Ministero dello sviluppo economico) e dei CV (centri di valutazione del Ministero dell’interno e del Ministero della difesa) ciascuno nell’ambito delle rispettive competenze, in ordine all’acquisizione, da parte dei soggetti inclusi nel perimetro, di oggetti di fornitura ICT.
Le Linee Guida per gli Operatori di Servizi Essenziali
Seguendo il criterio cronologico di emanazione dei provvedimenti appena citati, esamineremo, di seguito, quanto previsto dalle Linee Guida per gli Operatori di Servizi Essenziali, che sono state predisposte nell’ambito di un tavolo tecnico costituitosi presso il DIS (Il Dipartimento delle informazioni per la sicurezza) con la partecipazione delle Autorità competenti NIS, e che dovranno essere aggiornate con cadenza almeno biennale, in base alle evoluzioni tecnologiche e a eventuali nuove tipologie di minaccia cyber.
Al DIS, infatti, la legge 133/2012, concernente il Sistema di informazione per la sicurezza della Repubblica e la disciplina del segreto, approvata dal Parlamento, su iniziativa del Copasir (Comitato parlamentare per la sicurezza della Repubblica), ha assegnato il coordinamento dell’intera attività di informazione (intelligence) per la sicurezza, compresa quella relativa alla sicurezza cibernetica.
Ciò chiarito, occorre precisare che il decreto di recepimento della direttiva NIS ha individuato, tra le “Autorità competenti NIS”, il Ministero della salute per l’attività di assistenza sanitaria prestata dagli operatori dipendenti o incaricati dal medesimo Ministero o convenzionati con lo stesso, nonché, le Regioni e le province autonome di Trento e Bolzano, direttamente o per il tramite delle Autorità sanitarie territorialmente competenti, per le attività di assistenza sanitaria prestata dagli operatori autorizzati e accreditati delle Regioni o dalle province autonome negli ambiti territoriali di rispettiva competenza.
La stessa norma, prevedeva altresì, che le Autorità competenti NIS procedessero a identificare, a loro volta, per ciascun settore, in base ai criteri indicati dal Ministero della Salute, gli Operatori di Servizi Essenziali con una sede nel territorio dello Stato da individuare con Decreto dello stesso Ministero.
Giova ricordare, per completezza, che l’art. 12 del D.Lgs. 18 giugno 2018, n. 65 prevede, in primo luogo, che gli OSE devono adottare misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza della rete e dei sistemi informativi, in grado di assicurare un livello di sicurezza della rete e dei sistemi informativi adeguato al rischio esistente, e di prevenire e minimizzare l’impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi utilizzati per la fornitura di servizi essenziali, al fine di assicurare la continuità dei servizi e, in secondo luogo, che gli OSE devono notificare al Csirt (Computer Security Incident Response Team) e all’Autorità competente NIS, gli incidenti con impatto rilevante sulla fornitura dei servizi essenziali; a sua volta il Csirt è tenuto a inoltrare tempestivamente le notifiche ricevute al NSC (Nucleo per la Sicurezza Cibernetica), istituito nell’ambito del DIS, con il compito principale di coordinare, nel rispetto delle rispettive competenze, le azioni dei diversi attori che compongono l’architettura istituzionale nelle attività di prevenzione e preparazione a eventuali situazioni di crisi cibernetica e di attivazione delle procedure di allertamento.
L’applicazione al settore sanitario
La base di conoscenza utilizzata per la predisposizione delle Linee Guida è il Framework Nazionale di Cyber Security, predisposto dal CINI Cybersecurity National Lab (Consorzio Interuniversitario Nazionale per l’Informatica) e dal CIS-Sapienza (Research Center of Cyber Intelligenze and Information Security – Sapienza Università di Roma), il cui scopo è quello di offrire alle organizzazioni uno strumento per affrontare la cyber security al fine di ridurre il rischio delle minacce cyber, a prescindere da standard tecnologici specifici individuati a priori.
Con riferimento specifico al settore sanitario, nell’ambito della definizione di servizi essenziali, contenuta alla lettera b) dell’art. 2 del D.P.C.M 131/202, quali attività, strumentali all’esercizio di funzioni essenziali dello Stato, o necessarie per l’esercizio e il godimento dei diritti fondamentali, ovvero per la continuità degli approvvigionamenti, l’efficienza delle infrastrutture e della logistica, o di ricerca o relative alle realtà produttive nel campo dell’alta tecnologia e in ogni altro settore, ove presentino rilievo economico e sociale, anche ai fini della garanzia dell’autonomia strategica nazionale, della competitività e dello sviluppo del sistema economico nazionale, sono stati specificamente individuati, anche nelle Linee Guida, i seguenti tre servizi:
a. i servizi di emergenza-urgenza;
b. i servizi di ricovero per acuti, in assenza di un presidio sanitario alternativo e disponibile entro un raggio di 25 Km;
c. i servizi di lungodegenza o riabilitazione o regime ambulatoriale in assenza di un presidio sanitario alternativo e disponibile entro un raggio di 25 Km.
In relazione ai servizi descritti, le Linee Guida prevedono che entro quattro mesi dalla loro notifica all’OSE individuato, per esempio una ASL, quest’ultima provveda a inviare all’Autorità competente NIS regionale le seguenti informazioni:
a. la “dichiarazione di applicabilità” risultante dal “risk assessment”;
b. le misure di sicurezza già implementate e il relativo livello di maturità;
c. le misure di sicurezza da implementare, indicando le relative priorità (scadenza) in conformità con quanto previsto dall’allegato 2 delle stesse Linee Guida;
d. il cronoprogramma di incremento del livello di maturità delle misure già implementate.
Risulta evidente a una prima lettura delle norme richiamate da ultimo, come avuto modo di precisare nello scorso numero, come il fulcro centrale dell’attività diretta a dotare gli operatori di servizi essenziali delle misure di sicurezza previste sia costituito dall’analisi dei rischio, definita alla lettera z) del DPCM 131 come un processo che consente di identificare i fattori di rischio di un incidente, valutandone la probabilità e l’impatto potenziale sulla continuità, sulla sicurezza o sull’efficacia della funzione essenziale o del servizio essenziale, e conseguentemente di trattare tale rischio individuando e implementando idonee misure di sicurezza.
