Con il D.Lgs. 18/2024, che recepisce la Direttiva NIS2, strutture sanitarie e aziende del settore life sciences sono entrate a pieno titolo nel perimetro dei soggetti essenziali o importanti in materia di cybersicurezza. Tra gli obblighi più rilevanti figura la predisposizione di una procedura strutturata per la gestione degli incidenti informatici. Vediamo come redigerla correttamente.
Perché è indispensabile
Una procedura scritta non è solo un adempimento formale. Sul piano operativo, garantisce che in caso di attacco o violazione l'organizzazione sappia esattamente cosa fare, chi coinvolgere e in quanto tempo. Sul piano legale, costituisce una prova concreta dell'adozione delle misure richieste dalla norma per evitare le sanzioni che, per i soggetti essenziali, possono arrivare fino al 2% del fatturato annuo mondiale, con possibile responsabilità personale degli organi di gestione.
Cosa deve contenere
- Ambito e definizioni.La procedura deve indicare quali sistemi sono coperti dalla stessa e a chi è rivolta. Va inoltre definito cosa si intende per "incidente" e, soprattutto, cosa costituisce un incidente significativoche fa scattare gli obblighi di notifica.
- Classificazione degli incidenti.Non tutti gli eventi hanno lo stesso peso. È necessaria una scala di gravità che guidi le decisioni operative. Per le strutture sanitarie, un criterio centrale è l'impatto sulla continuità delle cure: ad esempio, un ransomware che blocca il pronto soccorso ha una dimensione di rischio estremamente elevato per la vita umana.
- Ruoli e responsabilità.Devono essere chiaramente inclusi nella procedura:
- gli organi di Amministrazione e Direttivi (Direzione/CdA) in quanto ai sensi dell’articolo 20 della Direttiva NIS2 e 14 del D.Lgs. 138/2024 devono approvare le misure di gestione dei rischi di cybersicurezza e sovrintenderne l'attuazione;
- il Referente CSIRT per la gestione delle comunicazioni con lo CSIRT Italia (Computer Security Incident Response Team);
- il Punto di Contatto NIS2 come figura che gestisce l'interlocuzione amministrativa e legale con l'Agenzia per la Cybersicurezza Nazionale (ACN) durante e dopo la crisi;
- il DPO, se nominato, per coordinare la notifica al Garante Privacy – che ha tempi (72h) e modalità differenti da quelli verso l'ACN – nel caso molto frequente in cui l’incidente NIS2 comporti una violazione di dati (data breach).
A seconda della realtà organizzativa la procedura può poi includere altre figure come ad esempio il CISO/Responsabile IT, l’Incident Response Team e l’Ufficio Legale/Compliance.
- Le fasi operative.Il cuore della procedura descrive il processo di risposta: rilevazione e segnalazione interna, valutazione, contenimento e mitigazione, ripristino e analisi post-incidente. Ogni fase deve avere tempi, responsabili e output definiti.
- Gli obblighi di notifica. La NIS2 prevede un sistema a tre livelli per la comunicazione degli incidenti significativi all’Autorità (pre-allarme entro 24 ore, notifica entro 72 ore e relazione finale entro 1 mese). La procedura deve coordinare questi adempimenti con quelli paralleli: la notifica al Garante Privacy(art. 33 GDPR, entro 72 ore) e, per i fabbricanti di dispositivi medici, le eventuali comunicazioni previste dal Regolamento MDR (articolo 87).
- Comunicazione esterna.Vanno individuati adeguatamente i ruoli anche per la effettuazione delle comunicazioni ai pazienti o clienti destinatari dei servizi impattati dagli incidenti e delle comunicazioni pubbliche, da gestire con particolare cautela per evitare danni reputazionali.
Gli errori da evitare
Nella redazione delle procedure emergono alcune criticità ricorrenti. La prima è adottare procedure generiche e non calate nella propria realtà organizzativa: va sottolineato che un modello standard non basta. La seconda è non testare mai la procedura: senza esercitazioni pratiche, il documento rimarrà inutilizzato nel momento del bisogno. La terza è trattare cybersecurity e protezione dei dati come compartimenti separati: i Responsabili IT/CISO e i DPO/Referenti Privacy devono lavorare in modo coordinato.
Una efficace procedura di gestione degli incidenti NIS2 è uno strumento operativo e giuridico che, se ben redatto e applicato, protegge l'organizzazione sia sul piano tecnico – consentendo una gestione tempestiva dell’incidente che può tradursi in un suo contenimento – che su quello della responsabilità legale.