La direttiva NIS 2: un campanello d'allarme sulle strategie di disaster recovery per il setto

La direttiva NIS 2 è ormai diffusamente applicata e impone solide strategie di disaster recovery alle strutture sanitarie. Scopri le maggiori responsabilità, i rischi per la sicurezza dei pazienti e perché la resilienza non è più negoziabile.

L'adozione della direttiva NIS 2 procede a pieno ritmo con un impatto incisivo su diversi settori, soprattutto quelli designati dallo standard come "essenziali", una categoria in cui rientrano energia, trasporti, istituti bancari e infrastrutture critiche. Anche il settore dell'assistenza sanitaria è tra questi e gli attacchi ransomware contro gli ospedali fanno regolarmente notizia.

Il mancato rispetto della direttiva NIS 2 può comportare sanzioni fino a 10 milioni di euro o pari al 2% del fatturato annuo. Qual è l'obiettivo comune per la protezione di questi dati? Rendere le organizzazioni resilienti. Difendersi non basta più: le strutture sanitarie devono anche poter recuperare i dati e tornare operative in modo rapido ed efficace. Combinare misure di difesa e disaster recovery è ormai imprescindibile. 

La direttiva NIS 2 solleva preoccupazioni specifiche per i responsabili e i professionisti IT che lavorano in ambito sanitario. 

1. Ambito e obblighi estesi: la direttiva NIS 2 estende notevolmente la gamma di entità considerate "essenziali" e "importanti". Ciò significa che un maggior numero di fornitori di assistenza sanitaria e strutture correlate saranno tenuti al rispetto dei suoi rigorosi requisiti, da cui consegue la necessità di una revisione completa e di un potenziale rinnovamento delle misure di Cyber Security resilienza esistenti. 
2. Maggiori responsabilità: la NIS 2 attribuisce maggiori responsabilità agli organi dirigenziali, sui quali possono ricadere responsabilità finanziarie e persino penali in caso di mancata conformità; la Cyber Security diventa pertanto un rischio aziendale prioritario che esige attenzione immediata e costante. 
3. Interruzioni operative e sicurezza dei pazienti: l'accento posto dalla direttiva sulla continuità operativa sottolinea quanto sia importante ridurre al minimo le interruzioni dei servizi sanitari in caso di incidente informatico. In caso contrario, la sicurezza dei pazienti può essere a repentaglio, un rischio che nessun responsabile sanitario può permettersi di correre. 
4. Vulnerabilità della supply chain: le norme della NIS 2 impongono di affrontare i rischi per la sicurezza della supply chain. Le organizzazioni sanitarie devono valutare con rigore il livello di Cyber Security dei propri fornitori e partner, un'attività complessa considerata la natura interconnessa dell'ecosistema sanitario nel suo complesso. 
5. Requisiti di segnalazione rigorosi: la NIS 2 prevede rigidi obblighi di segnalazione degli incidenti con scadenze a breve termine, inclusa la notifica alle autorità entro 24 ore. Le organizzazioni del settore sanitario devono predisporre procedure interne consolidate per il rilevamento, l'analisi e la segnalazione dei problemi, al fine di evitare sanzioni e garantire trasparenza. 

Inoltre, il settore sanitario è una delle principali destinazioni degli attacchi informatici. Non occorre ricordare che un'interruzione operativa causata da un eventuale attacco può mettere a rischio l'assistenza ai pazienti e la loro stessa vita.

Le procedure di disaster recovery non si limitano al ripristino dei dati, ma garantiscono la continuità nella cura dei pazienti critici. Pianificazione, tecnologie ed esecuzione efficaci del disaster recovery consentono alle organizzazioni sanitarie di: 

• Ridurre le interruzioni operative:dopo un incidente, il rapido failover alle repliche delle applicazioni e dei dati nel cloud limita l'interruzione dei servizi offerti ai pazienti, garantendo che medici e infermieri possano accedere ai sistemi essenziali quando ne hanno più bisogno. 

• Proteggere i dati dei pazienti: la crittografia sicura delle repliche di dati e applicazioni è indispensabile per tutelare le informazioni sensibili dei pazienti e garantire il rispetto dei requisiti di privacy della NIS 2. 

• Mantenere l'integrità operativa: un piano di disaster recovery completo prevede un'ampia gamma di possibili interruzioni operative, dagli attacchi ransomware alle emergenze naturali, e garantisce il funzionamento dell'organizzazione anche in condizioni di emergenza. 

Per raggiungere questo livello di resilienza, le organizzazioni sanitarie devono: 

• Investire in soluzioni collaudate di backup e disaster recovery e adottare soluzioni che consentono di ripristinare i sistemi e i dati critici in modo rapido e affidabile. Ad esempio, le soluzioni dotate di funzionalità come il ripristino self-service permettono a chi lavora da remoto di tornare rapidamente operativo dopo un incidente, senza dover attendere l'intervento del personale IT. 

• Sviluppare piani di incident response dettagliati e completi, che delineino le procedure di risposta a vari incidenti informatici, compresi ruoli e responsabilità, protocolli di comunicazione e passaggi per il ripristino. 

• Migliorare il rilevamento e la risposta: considerata la sempre maggiore complessità delle minacce, dovuta anche all'utilizzo degli strumenti di AI generativa da parte dei criminali, le funzionalità EDR (Endpoint Detection and Response) e XDR (Extended Detection and Response) sono ormai essenziali. 

• Effettuare regolarmente esercitazioni e test dei piani di disaster recovery per individuare i punti deboli e garantire l'efficacia delle procedure di ripristino, soprattutto in caso di incidente informatico. 

• Adottare un approccio alla sicurezza a più livelli, implementando una strategia di difesa in profondità, allineandosi a framework come NIST CSF 2.0 e CIS Critical Security Controls, per sfruttare le best practice del settore e ridurre la probabilità e l'impatto degli attacchi informatici.  

Nel loro complesso, la direttiva NIS 2, la minaccia onnipresente degli attacchi informatici e i rigorosi requisiti delle coperture assicurative richiedono una trasformazione dell'approccio del settore sanitario alla Cyber Security e alla protezione dati. Il disaster recovery va considerato come un componente chiave per la resilienza del settore sanitario, indispensabile per garantire la sicurezza dei pazienti sia nel mondo digitale che nelle strutture di assistenza. 

Rafforzare la resilienza nel settore sanitario con Acronis Disaster Recovery. 

Acronis Cyber Protect integra in modo nativo Cyber Security e protezione dati, promuovendo la resilienza richiesta al settore sanitario nell'era della NIS 2. La pluripremiata soluzione di protezione dati di Acronis permette agli operatori della sanità di garantire la disponibilità e l'integrità dei dati di valore e delle applicazioni sanitarie, e il loro ripristino rapido in caso di imprevisti.  

Una delle funzionalità più apprezzate dai reparti IT del settore sanitario è la funzionalità Acronis One-Click Recovery. Nelle situazioni in cui il tempo è fondamentale, la qualità dell'assistenza ai pazienti può dipendere dalla capacità della struttura di tornare rapidamente operativa, incluso il personale che lavora da remoto. Acronis One-Click Recovery permette a qualsiasi dipendente, a prescindere dal livello di competenza IT, di ripristinare il sistema di lavoro utilizzando il backup più recente.