Il Ministero della Salute è Autorità competente NIS – Network and information security per l’attività di assistenza sanitaria,
prestata dagli operatori dipendenti o incaricati dal Ministero o convenzionati con il medesimo, ai sensi del decreto legislativo 18 maggio 2018, n. 65.
Le Regioni e le Province autonome di Trento e Bolzano, direttamente o per il tramite delle Autorità sanitarie territorialmente competenti, sono pure Autorità competenti NIS per le attività di assistenza sanitaria prestata dagli operatori autorizzati e accreditati delle Regioni o dalle Province autonome negli ambiti territoriali di rispettiva competenza.
Le Autorità competenti NIS sono responsabili dell’attuazione del citato decreto legislativo con riguardo al settore e ai servizi di competenza, vigilano sull’applicazione del medesimo a livello nazionale, esercitando altresì le relative funzioni ispettive e sanzionatorie.
Operatori di servizi essenziali – OSE
Tra i numerosi operatori del settore salute presenti su tutto il territorio nazionale, il Ministero della Salute, d’intesa con le Regioni e Province autonome, ha individuato gli OSE, ossia quei soggetti che forniscono uno o più servizi essenziali dipendenti dalla rete e dai sistemi informativi, per i quali un incidente avrebbe effetti negativi rilevanti sulla fornitura di tali servizi.
Obblighi in materia di sicurezza e notifica degli incidenti
Gli OSE adottano misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza della rete e dei sistemi informativi che utilizzano nelle loro operazioni, anche per prevenire e minimizzare l’impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi utilizzati per la fornitura dei servizi essenziali, al fine di assicurare la continuità di tali servizi.
Gli OSE hanno l’obbligo di notificare al CSIRT italiano (gruppo di intervento per la sicurezza informatica in caso di incidente) e, per conoscenza, all’Autorità competente NIS, senza ingiustificato ritardo, gli incidenti aventi un impatto rilevante sulla continuità dei servizi essenziali forniti.
Linee guida per gli OSE
Per agevolare e supportare l’OSE nell’adempimento dei propri obblighi, l’Autorità NIS del Ministero della Salute, in accordo con i rappresentanti regionali, ha predisposto apposite linee guida, frutto di un ampio lavoro coordinato dalla Presidenza del Consiglio dei Ministri – Dipartimento delle informazioni per la sicurezza (DIS) – in cooperazione con le Autorità NIS di tutti i Ministeri coinvolti.
Le Linee guida per gli OSE costituiscono uno strumento operativo di supporto al processo di gestione e trattamento del rischio cyber, per affrontare in modo organico e qualificato la gestione della sicurezza delle reti e dei sistemi informativi. A tale scopo sono basate sul Framework Nazionale per la Cyber Security e la Data Protection, nel cui ambito è possibile inquadrare le misure di sicurezza, gli standard e le norme di settore, secondo un principio di neutralità tecnologica, che non va ad imporre agli operatori l’impiego di una specifica dotazione strumentale, bensì suggerisce un approccio razionale e dinamico strettamente legato all’analisi del rischio. Allo stesso tempo le linee guida disciplinano le procedure di notifica obbligatoria degli incidenti rilevanti sulla continuità dei servizi essenziali forniti nonché mirano a promuovere azioni concrete di prevenzione attraverso meccanismi di early warning che fanno uso del sistema delle notifiche volontarie per la condivisione delle informazioni sugli incidenti con la comunità di sicurezza nazionale posta a protezione dello spazio cibernetico