NIS2 e Cybersicurezza

NIS2 nel Settore Sanitario: Obblighi per Ospedali e ASL

Pubblicato il 2026-03-27 3 min di lettura Di Redazione NIS2 Italia

Nel maggio 2025, un attacco ransomware a un'ASL del Centro Italia ha paralizzato per giorni il sistema informatico di 5 ospedali. Prenotazioni bloccate, referti inaccessibili, pazienti dirottati su altre strutture. Non e un caso isolato: il settore sanitario e il bersaglio preferito dei cybercriminali, perche i dati sanitari valgono piu di quelli finanziari sul dark web e perche un ospedale bloccato non puo semplicemente chiudere.

La NIS2 classifica il settore sanitario come settore essenziale ad alta criticita. Ospedali, ASL, laboratori, aziende farmaceutiche e produttori di dispositivi medici sono tutti nel perimetro. E le sanzioni per i soggetti essenziali arrivano fino a 10 milioni di euro o il 2% del fatturato.

Chi rientra nel perimetro NIS2 in sanita

  • Ospedali pubblici e privati con piu di 50 dipendenti
  • ASL e ATS — tutte, come enti pubblici sanitari
  • Laboratori di analisi di riferimento (ex art. 15 D.Lgs. 138/2024)
  • Aziende farmaceutiche — produzione e distribuzione
  • Produttori di dispositivi medici — come settore importante (manifattura)
  • Centri di ricerca biomedica — se conducono attivita di ricerca

Le sfide specifiche della sanita

Il settore sanitario affronta sfide uniche nella cybersicurezza. I sistemi sono spesso vecchi (dispositivi medici con Windows XP ancora in uso), le reti sono complesse (migliaia di dispositivi connessi, dal monitor cardiaco al sistema di cartelle cliniche), il personale medico ha priorita diverse dalla sicurezza IT e i budget IT sono storicamente inadeguati.

Un ulteriore complicazione: i dati sanitari sono tra i piu sensibili del GDPR (dati particolari ex art. 9). Un data breach sanitario attiva contemporaneamente gli obblighi NIS2 (notifica CSIRT) e GDPR (notifica Garante + comunicazione agli interessati).

Misure prioritarie per la sanita

  1. Segmentazione rete IT/OT/IoMT — separare i dispositivi medici dalla rete amministrativa e da internet
  2. Inventario dispositivi medici — sapere cosa e connesso alla rete, molti dispositivi IoMT sono invisibili
  3. Patch management per sistemi legacy — dove non si puo aggiornare, isolare e proteggere con controlli compensativi
  4. Backup dei sistemi clinici — RPO aggressivo per cartelle cliniche e sistemi diagnostici
  5. Formazione del personale sanitario — il personale medico e particolarmente esposto al phishing
  6. Piano di continuita clinica — come continuare a curare i pazienti durante un incidente IT

IoMT: la sfida dei dispositivi medici connessi

L'Internet of Medical Things (IoMT) — pompe infusione, monitor, apparecchiature diagnostiche connesse in rete — rappresenta una sfida unica. Questi dispositivi spesso non possono essere aggiornati (il firmware e certificato dal produttore), non supportano antivirus o EDR e comunicano con protocolli proprietari. La soluzione e la segmentazione: isolarli in una rete dedicata con regole di accesso restrittive e monitorarli con strumenti specifici per IoMT.

Approfondimento Leggi anche i settori essenziali NIS2 e l'Incident Response Plan.

Domande Frequenti

I medici devono seguire formazione sulla cybersecurity?
Si, la NIS2 richiede formazione per tutto il personale con accesso ai sistemi informativi. Il personale sanitario e particolarmente esposto al phishing e deve saper riconoscere le minacce.
I dispositivi medici vecchi sono un problema per la NIS2?
Si, i dispositivi legacy rappresentano una delle maggiori sfide. Non potendo aggiornarli, vanno isolati in reti segmentate, monitorati e protetti con controlli compensativi (firewall dedicati, IDS).
Un ospedale deve notificare un ransomware al CSIRT?
Si, e entro 24 ore (pre-notifica). Un ransomware che blocca i sistemi ospedalieri e quasi sempre un incidente significativo. Se coinvolge dati dei pazienti, va notificato anche al Garante Privacy.

Articoli Correlati

ACN: Ruolo e Funzioni dell'Autorita Nazionale per la Cybersicurezza
3 min di lettura
Audit di Cybersecurity: Come Valutare la Sicurezza della Tua Azienda
2 min di lettura
Backup e Disaster Recovery: Strategie per la Continuita Aziendale
3 min di lettura