Server obsoleti, OTP non inviati e gateway fuori supporto non sono più semplici disservizi tecnici. Con NIS2, nel settore sanitario, diventano segnali di mancata gestione del rischio, continuità operativa fragile e possibile non conformità, con sanzioni rilevanti per aziende e vertici.

Un server di autenticazione che cade periodicamente, codici OTP che non vengono inviati, gateway di accesso fuori supporto. Sono incidenti che molte aziende sanitarie— soprattutto nel comparto domiciliare — continuano a derubricare a “fastidi tecnici”. Sotto la lente della Direttiva NIS2, recepita in Italia con il D.Lgs. 138/2024, gli stessi episodi diventano la prova concreta di una non conformità normativa, con sanzioni che possono arrivare a 10 milioni di euro o al 2% del fatturato globale annuo.

Il rischio legale parte da lontano

Il punto critico è che NIS2 non aspetta il “data breach” per intervenire: sanziona l’assenza di processi proattivi di gestione del rischio. E un server EoL in produzione, senza una roadmap di migrazione, è già la prova dell’assenza di quei processi.

Scenario quotidiano: paziente in attesa

Immaginiamo uno scenario realistico, di quelli che capitano in molte aziende che operano nell’assistenza sanitaria domiciliare. L’operatore in trasferta dal paziente apre la app aziendale per consultare la cartella clinica, registrare i parametri vitali rilevati, aggiornare il piano terapeutico. Per accedere deve digitare un codice OTP che il sistema invia via SMS o tramite app di autenticazione. Il codice non arriva. Ne richiede un altro. Non arriva neanche quello. Riprova dopo cinque minuti, dopo dieci. Nulla.

Nel frattempo il paziente attende. La rilevazione clinica non viene caricata. La centrale operativa non riesce a tracciare le visite. Il piano terapeutico viene aggiornato a memoria, su carta, per essere poi trascritto “appena il sistema torna su”. Non è una catastrofe. È un disservizio. E proprio per questo, nella narrativa interna, viene spesso archiviato come “incidente tecnico minore”. Si chiama il fornitore IT, si fa un riavvio, si attende, si riparte. Tutto rientra. Apparentemente.

Sotto la superficie, però, quello stesso episodio dice molte cose all’osservatore esterno qualificato— un auditor, un’ispezione dell’Agenzia per la Cybersicurezza Nazionale (ACN), un consulente legale chiamato dopo un evento più serio. Dice che il server di autenticazione probabilmente non è ridondato. Dice che il gateway OTP è una single point of failure. Dice che, se un riavvio risolve il problema in modo ricorrente, c’è un nodo strutturale e non un evento accidentale. Soprattutto, dice che l’organizzazione non ha — o non ha attivato — un processo documentato di manutenzione e gestione del ciclo di vita di un componente critico per la fornitura del servizio.

Tradotto nel linguaggio della direttiva NIS2: tre adempimenti contemporaneamente disattesi.

Il contesto giuridico: Direttiva NIS2 e nuove responsabilità

Che cosa dice la NIS2

La Direttiva (UE) 2022/2555, nota come NIS2, è stata recepita in Italia con il D.Lgs. 138/2024 ed estende in modo molto significativo il perimetro dei soggetti obbligati alla cybersicurezza rispetto alla precedente NIS. Nel comparto sanitario rientrano nell’ambito di applicazione, fra gli altri, i fornitori di cure e assistenza sanitaria, inclusi quelli che operano in assistenza domiciliare integrata, telemedicina e gestione di dispositivi medici al domicilio del paziente.

I requisiti tecnologici e gestionali

Il salto di paradigma rispetto al passato è netto. La direttiva non chiede più, in termini generali, di “essere sicuri”. Chiede di adottare misure tecniche e organizzative adeguate a gestire i rischi per la sicurezza delle reti e dei sistemi informativi, e indica espressamente quali sono gli ambiti minimi su cui un’organizzazione deve poter dimostrare di avere processi attivi:

    • Gestione degli incidenti di cybersicurezza, con notifica obbligatoria entro tempi stringenti;
    • Continuità operativa, con piani di backup e ripristino documentati;
    • Sicurezza della catena di approvvigionamento, comprese le forniture IT;
    • Politiche di autenticazione e di controllo degli accessi, con uso di MFA dove appropriato;
    • Crittografia, sicurezza nello sviluppo e nell’acquisto dei sistemi;
    • Manutenzione, aggiornamento e gestione del ciclo di vita dei sistemi.

La parola chiave: “dimostrare”

La responsabilità giuridica della documentazione

La parola chiave è “dimostrare”. NIS2 introduce un obbligo di accountability: non basta avere fatto le cose, bisogna poter provare di averle fatte, attraverso documentazione, registri, policy, verbali, audit trail. È un cambio di postura culturale prima ancora che tecnologico, e tocca direttamente l’ambito sanitario perché in sanità il dato è particolarissimo (categoria speciale ai sensi del GDPR), il servizio è critico per la vita delle persone, e la filiera è composta da operatori molto diversi per dimensione e maturità tecnologica.

Categorie di soggetti obbligati e sanzioni

Le due tipologie

NIS2 distingue due categorie di soggetti obbligati: essenziali e importanti. Nel settore sanitario rientrano fra gli essenziali ospedali, strutture del Servizio Sanitario Nazionale, grandi operatori sanitari pubblici e privati. Rientrano fra gli importanti i fornitori di cure, i soggetti dell’assistenza domiciliare e una parte rilevante del comparto dei dispositivi medici.

Che cosa comporta non rispettare i requisiti?

Le sanzioni si applicano a entrambe le categorie, con importi differenziati:

    • Per i soggetti essenziali, sanzioni fino a 10 milioni di euro o al 2% del fatturato globale annuo (si applica l’importo più alto);
    • Per i soggetti importanti, sanzioni fino a 7 milioni di euro o all’1,4% del fatturato;
    • In entrambi i casi, sanzioni specifiche per la mancata o tardiva notifica degli incidenti.

A ciò si aggiungono, per i soggetti essenziali, due elementi che spesso vengono sottovalutati nella discussione pubblica e che invece dovrebbero essere centrali nelle riunioni di consiglio di amministrazione:

    • La possibilità di sospensione temporanea delle autorizzazioni operative;
  • La responsabilità personale dei vertici aziendali per la mancata attuazione delle misure di gestione del