Nasce l’Agenzia per la cyber sicurezza nazionale: focus sui risvolti in sanità

Il D.L. n. 82 del 14 giugno 2021, recante “Disposizioni urgenti in  materia di cyber sicurezza, definizione dell’architettura nazionale di  cyber sicurezza e istituzione dell’Agenzia per la cyber sicurezza  nazionale” ha istituito, all’art.5, l’Agenzia per la cyber sicurezza  nazionale  (https://www.gazzettaufficiale.it/eli/id/2021/06/14/21G00098/SG).

L’organizzazione e il funzionamento dell’Agenzia saranno definiti da  apposito Regolamento, che dovrà essere adottato entro centoventi  giorni dalla data di entrata in vigore della Legge di conversione del  Decreto, e prevederà l’articolazione della stessa fino a otto uffici  di livello dirigenziale generale e fino a un numero di trenta  articolazioni di livello dirigenziale non generale. Il Decreto prevede  inoltre l’istituzione di eventuali sedi secondarie.

Le funzioni dell’Agenzia sono stabilite dall’art. 7, che, tra l’altro,  prevede che la stessa eserciti le funzioni di Autorità nazionale in  materia di cyber security, sviluppando capacità nazionali di  prevenzione, monitoraggio, analisi e risposta per prevenire e gestire  gli incidenti di sicurezza informatica, nonché gli attacchi  informatici dei sistemi di ICT delle pubbliche amministrazioni, dei  fornitori dei servizi digitali, degli operatori dei servizi essenziali.

L’Agenzia, inoltre, assume tutte le funzioni in materia di cyber  sicurezza già attribuite all’Agenzia per l’Italia digitale dalle  disposizioni vigenti e dovrà curare e promuovere la definizione ed il  mantenimento di un a quadro giuridico nazionale aggiornato e coerente  nel dominio della cyber sicurezza, tenendo in considerazione gli  orientamenti e gli sviluppi in ambito internazionale.

Appare importante anche l’attività di comunicazione e promozione della  consapevolezza in materia di cyber sicurezza e di promozione della  formazione, crescita tecnico-professionale e qualificazione delle  risorse umane, anche attraverso l’assegnazione di borse di studio,  dottorati e assegni di ricerca, sulla base di convenzioni con soggetti  pubblici e privati.

Non v’è dubbio, quindi, che la nuova normativa ha ed avrà estrema  rilevanza anche in ambito sanitario, sia per quanto concerne  l’interesse delle strutture sanitarie alla conservazione, accesso,  modifica e condivisione dei dati, sia dal punto di vista della tutela  dei diritti dei cittadini relativamente ai dati personali sensibili,  quali quelli riguardanti il loro stato di salute, i trattamenti e gli  interventi sanitari ricevuti, custoditi e trattati, appunto, tramite  l’utilizzo di sistemi informativi.

I diritti da tutelare, quindi, sono  fondamentalmente due: la salute dei cittadini e la riservatezza dei  loro dati sensibili.

Infatti, paradossalmente, la diffusione del digitale e delle nuove  tecnologie in ambito sanitario ha comportato, da un lato, la  semplificazione, l’efficienza e la positiva evoluzione dei servizi e  dei processi di cura e monitoraggio della salute dei cittadini,  dall’altro una maggiore vulnerabilità dei dati trattati. Sono divenuti  sempre più frequenti, infatti, gli attacchi informatici, che non hanno  risparmiato il settore sanitario neanche durante la pandemia da  Covid-19.

A tal proposito sono stati rilevati, tra l’altro, numerosi  attacchi contro organizzazioni sanitarie e laboratori di ricerche  attivi nella ricerca per il contrasto al coronavirus. Lo strumento  offensivo utilizzato è sovente il “ransomware”, un software che si  appropria dei dati delle strutture sanitarie e delle informazioni  personali dei pazienti tenendoli bloccati fino a quando i soggetti che  lo hanno creato non ricevono in pagamento il riscatto richiesto.

Emblematico il caso dell’Irlanda, che venerdì 14 maggio 2021 è stata  allertata riguardo un’infezione da ransomware, ai danni dell’Health  Service Executive (HSE); è stato necessario intervenire con  l’interruzione del funzionamento del sistema informativo per impedire  la propagazione del virus e permettere agli esperti di cyber security  in carica di identificarlo e rimuoverlo.

Peraltro, si tratta si tratta  solo dell’ultimo attacco informatico, in ordine temporale, alle  strutture sanitarie, che ormai da anni in tutto il mondo si trovano a  dover gestire l’interruzione di servizi sanitari ai danni dei cittadini.

Se si considera che l’Italia, per ora, è stata esente da attacchi  informatici di tale portata, va detto che la normativa appena emanata  risulta essere non solo appropriata ma soprattutto tempestiva  nell’ambito della prevenzione.

Non resta che attendere l’adozione dei provvedimenti attuativi del  Decreto Legge per capire quali saranno i passaggi prettamente  operativi che le pubbliche amministrazioni e tutti gli enti  interessati dovranno compiere per adempiere al meglio a quanto  stabilito dalla norma.