Clusit Healthcare Security Summit, la NIS2 un’occasione per il cambio di passo

Clusit Healthcare Security Summit

Gli speaker rappresentano uno spaccato ampio nel contesto della cybersecurity e della sanità. Nove pesone che contribuiscono al dibattito da diversi punti di vista.

Al centro del Summit i dati, ma anche le prospettive e il valore delle normative. Fare delle norme un’occasione per progredire è un aspetto centrale, da qui il titolo dell’edizione 2025 dell’Health Security Summit, battezzato: “NIS2 & Lifescience: se non ora, quando?”.

I dati Clusit

Sono dati relativi agli incidenti che hanno avuto una certa visibilità, così come sottolinea Claudio Telmon, che continua evidenziando come gli attacchi al settore della sanità sono tra i più sensibili anche per gli impatti che hanno sulla società e sulla fiducia generale dei cittadini, argomento che su questo sito abbiamo affrontato più volte.

Il grafico sotto mostra quanto la Sanità sia sempre più nelle mire del cyber crimine. Tra il 2022 e il 2023 gli incidenti sono più che raddoppiati, passando da 304 a 624 e, spostando il focus sul 2024, gli 810 incidenti registrati rappresentano circa il 30% in più rispetto al 2023.

Il secondo set di dati (raggiungibile mediante le frecce poste in alto a destra nel grafico) mostra invece – relativamente al 2024 – che le attività dei criminali diminuiscono durante i mesi estivi e a dicembre.

Nei primi mesi del 2025 si è invece registrato un calo che, però, va inteso come un rallentamento della crescita e non come una diminuzione degli incidenti in senso stretto e, a farla da padrone sono gli attacchi Distributed Denial of Service (DDoS) in forte aumento.

Tra tutte le minacce, sono quelle che hanno meno conseguenze per la Sanità nel suo insieme ma non per questo sono meno rilevanti.

C’è anche da dire che i conti si fanno alla fine dell’anno e limitarsi a una manciata di mesi rischia di restituire risultati fuorvianti.

Qualcosa sta cambiando

Trapela un certo cauto ottimismo, continua Telemon, perché la gravità degli incidenti tende a calare e questo significa anche che le strutture diventano più competenti e sviluppano una consapevolezza nell’affrontare le minacce.

Punto di vista condiviso da Pier Paolo Gruero ma ci sono delle variabili di cui tenere conto perché il cyber crimine è da considerare come un movimento globale benché fatto di gruppi diversi che spostano il focus su obiettivi specifici cambiandoli nel tempo.

Il fatto che la Sanità sembri uscire dalle orbite dell’interesse primario del crimine non significa che altre realtà non vengano prese di mira con maggiore enfasi.

Gli incidenti però hanno indubbiamente creato cultura e preparazione, c’è la tendenza a credere che il rischio di attacco sia tangibile e questa forma mentis si contrappone a quella sempre più remota che non prendeva in esame la possibilità di essere vittime del cyber crimine.

Le aziende, ribadisce Gruero, stanno investendo in cyber security. C’è ancora molto da fare ma qualche segnale positivo comincia a delinearsi in modo chiaro.

Mario Lugli offre uno spunto in più sostenendo anche l’ipotesi secondo la quale il cyber crimine si concentri su affari più redditizi confermando per esperienza diretta che l’attacco ransomware rivolto a tre Asl modenesi nel 2023 ha dato poche soddisfazioni economiche agli attori.

Le aziende della Sanità, continua Lugli, a partire soprattutto dal 2023 hanno potuto investire grazie anche ai fondi del Piano nazionale di Ripresa e resilienza, comprando competenze costose e diffondendole al proprio interno. Portare in-house prodotti e servizi laddove non c’è la cultura necessaria per usarli non avrebbe avuto molto senso.

Una postura generalmente migliorata entra anche nelle corde di Lorenzo Mori il quale, oltre a sposare la linea di Lugli, ricorda che la Pubblica amministrazione non paga riscatti e questo restituisce una dimensione ancora più puntuale al fatto che il cyber crimine punta altrove le proprie armi ma questo non deve fare abbassare la guardia.

La NIS2 come leva strategica

Che il cyber crimine sia concentrato altrove non esclude una certa ciclicità nel prende di mira la sanità. Non si può parlare di minore pericolo – cosa peraltro confermata dai dati Clusit – così come non ci si può esimere dall’affidarsi a procedure e a tecnologie attuali e in continua revisione.

In quest’ottica la NIS2 è un toccasana – e su questo gli speaker sono concordi – perché ha aumentato la sensibilità, incentivando investimenti ed evocando la figura dei CISO, laddove non la rende persino perentoria.

Gli investimenti servono ma non devono essere considerati panacee. L’introduzione della NIS2 ha anche evidenziato alcune criticità nella catena di approvvigionamento, coinvolgendo anche i fornitori che non sempre sono stati ligi nell’adeguarsi agli standard di cyber security.

La NIS2 vede le organizzazioni come unicum già al proprio interno: rimanendo nell’ambito delle strutture sanitarie, l’ICT propriamente detta e l’ingegneria clinica erano visti come due mondi separati.

Ora, abbattendo i muri, le aziende devono lavorare all’unisono anche dal punto di vista della cyber security.

La NIS2 obbliga le imprese a svolgere attività di introspezione, ridisegnando laddove necessario flussi e processi, perché definire il campo di gioco in modo chiaro aiuta a scrivere o a riscrivere le regole del gioco stesso e a investire in modo più puntuale, con beneficio anche per chi deve allestire i budget per gli anni futuri.

La variabile tempo

La NIS2 richiede che pianificazione e investimenti si traducano in misure operative. Tutto ciò esige del tempo e la compliance nel suo insieme dovrà essere messa in opera entro il mese di ottobre del 2026.

La complessità può essere gestita ma, sempre rimanendo nell’ambito del tempo, chi ne ha a profusione sono proprio i criminal hacker.

Non da ultimo, sarà necessario un percorso di auditing per stabilire l’ordine di rilevanza dei sistemi da proteggere, tutto questo in uno scenario in cui il cyber crimine è sempre un passo avanti.