NIS2 e NEN 7510 nell'assistenza sanitaria: 4 domande e risposte

Il NIS2 nell'assistenza sanitaria olandese: 4 domande e risposte

Lei è un CISO nel settore sanitario olandese? Allora sa che una delle maggiori sfide è trovare un equilibrio tra la necessità di fornire rapidamente una buona assistenza e quella di garantire una sicurezza ottimale. Un operatore sanitario che ha bisogno di curare qualcuno con urgenza non vuole dover accedere con l'MFA", afferma Niels van der Meij, Principal Security Consultant e IT auditor (RE) di Bureau Veritas Cybersecurity. Lavora molto per il settore pubblico olandese, compreso quello sanitario.

Van der Meij prevede maggiori discussioni sulla tensione tra assistenza sanitaria e sicurezza con l'arrivo di NIS2, la nuova direttiva europea sulla cybersecurity. Mi aspetto che gli standard olandesi NEN 7510 diventino più pesanti e formalizzati, ora che diventeranno obbligatori anche a partire dal NIS2".

Che cosa significa esattamente NIS2 per l'assistenza sanitaria? Qual è il rapporto tra NIS2 e NEN 7510? Van der Meij e il suo collega Mario Sleegers, esperto NIS2, rispondono a 4 domande sul NIS2 per la sanità.

1. Qual è la differenza principale tra NEN 7510 e NIS2?

NEN 7510 è un quadro settoriale incentrato sulle organizzazioni sanitarie olandesi. NIS2 è una direttiva legale dell'Unione Europea che mira a rendere le organizzazioni critiche più cyber resilienti, afferma il revisore RE Van der Meij. Conosce bene il quadro degli standard NEN 7510.

Un ospedale, per fare un esempio, soddisfa i requisiti del NIS2 diventando conforme allo standard NEN 7510. Naturalmente, non si è ancora pienamente conformi al NIS2 se si è conformi alla NEN 7510. Ma se è in grado di dimostrare, attraverso la certificazione o un rapporto di garanzia, che segue questo standard, almeno copre le basi per la conformità al NIS2. La certificazione NEN 7510 non è obbligatoria nell'ambito del NIS2.

'Non esiste una certificazione per NIS2', aggiunge Mario Sleegers, consulente NIS2. Non prevedo che ci sarà, perché abbiamo già visto con il predecessore di NIS2 - il WBNI - che la capacità di verifica è limitata". Ciò significa che la conformità al NIS2 nel settore sanitario sarà in gran parte misurata attraverso il quadro NEN già esistente.

Lo standard NEN è in fase di aggiornamento per allinearsi meglio con NIS2. 'Nella pianificazione originale, l'aggiornamento dello standard NEN 7510 doveva arrivare a metà del 2024', dice Sleegers. Ma l'aggiornamento del NIS2 causerà un certo ritardo, mi aspetto".

2. Stiamo lavorando per ottenere la certificazione NEN 7510. Cosa dobbiamo fare per essere pronti?

Il framework NEN 7510 - come molti altri framework - è composto da due parti, dice Van der Meij: 'La base descrive in termini generali come deve essere la sua organizzazione, ad esempio nelle aree della governance, della gestione del rischio e del Sistema di Gestione della Sicurezza delle Informazioni (ISMS). Inoltre, il quadro contiene standard specifici che lei, come organizzazione, deve tradurre in misure concrete.'

Ogni organizzazione è libera di definire gli standard a modo suo, dice Sleegers. 'Questo perché uno standard deve poter essere applicato ad un'organizzazione di 10 persone, ma anche ad un'azienda di 1.000 dipendenti. Ciò significa che le organizzazioni scelgono quali misure concrete adottare per soddisfare uno standard, in base a ciò che è appropriato".

Ad esempio, per le piccole istituzioni sanitarie con un numero modesto di dipendenti, la gestione dei diritti di accesso può essere completata con una breve matrice di autorizzazione e una limitata separazione di ruoli e diritti. Una grande istituzione con migliaia di dipendenti dovrà mantenere una panoramica dettagliata di account, ruoli e diritti per ogni sistema.

L'assunto di base dello standard NEN, secondo cui un dipendente deve avere una relazione di cura con il paziente o il cliente, porterà quindi a misure più estese e specifiche per una grande istituzione che per una piccola istituzione.

Poiché ogni organizzazione interpreta autonomamente gli standard NEN 7510, è difficile dare un'indicazione generale di quando un'organizzazione è pronta per la certificazione. Tuttavia, ci sono dei punti di attenzione, dice Van der Meij: 'Durante un processo di implementazione NEN 7510, spesso vediamo che l'ISMS non è completamente completo. Capita anche che gli standard non siano sempre tradotti correttamente in misure concrete".

3. Seguiamo la norma NEN 7510. Cosa dobbiamo ancora fare per il NIS2?

Un'organizzazione che può dimostrare la conformità alla norma NEN 7510, ad esempio attraverso una certificazione o un rapporto di audit, è già sulla strada della conformità NIS2, affermano Sleegers e Van der Meij. Tuttavia, ci sono alcune aree in cui sono necessarie misure aggiuntive per conformarsi al NIS2:

1 Responsabilità del management e requisiti di formazione. Il NIS2 ritiene esplicitamente il management responsabile della cybersecurity. Questo è degno di nota, dice Sleegers: 'Questa responsabilità dirigenziale non esiste in quasi nessun quadro normativo. Con il NIS2 abbiamo notato che è passata dal reparto IT al management superiore: il consiglio di amministrazione deve comprendere i rischi informatici dell'organizzazione ed essere in grado di approvare le misure corrispondenti".

In pratica, ovviamente, questo è complesso, perché la maggior parte dei membri dei consigli di amministrazione degli ospedali non sono esperti in questo settore". Ecco perché il NIS2 richiede la formazione e l'educazione del consiglio di amministrazione.

2 La gestione del rischio avrà un peso maggiore. Uno dei pilastri più importanti del NIS2 è la gestione del rischio. 'La gestione del rischio si riflette nella NEN 7510, ovviamente, ma nella NIS2 ha un peso molto maggiore', afferma Van der Meij.

Le istituzioni sanitarie dovranno esaminare più da vicino le loro analisi del rischio. Gli audit interni non dovranno solo valutare se le misure della NEN 7510 sono state implementate, ma anche se un'analisi del rischio ha valutato se le nuove minacce, come gli attacchi Ransomware, sono sufficientemente controllate. In caso contrario, sarà necessario adottare misure aggiuntive o più severe per soddisfare i requisiti del NIS2. Un segno di spunta non sarà più sufficiente. Mi aspetto che questo diventi davvero un punto di attenzione, perché il NIS2 lo impone".

3 La gestione della sicurezza dei fornitori è più importante. Il NIS2 richiede alle organizzazioni di monitorare la sicurezza dei loro fornitori. 'Si tratta di uno sviluppo abbastanza nuovo che si può vedere anche, ad esempio, nell'industria automobilistica in questo momento', dice Sleegers. Ma la sicurezza dell'intera catena di approvvigionamento richiede un grande impegno ed è una questione a lungo termine".

In qualità di fornitore di servizi sanitari, come può assicurarsi che, ad esempio, i fornitori di applicazioni sanitarie prestino sufficiente attenzione alla sicurezza? Sleegers: "Il modo più ovvio per farlo è attraverso i contratti con queste parti. Per mappare lo stato di sicurezza di un fornitore, può essere utile un Vendor Assessment.

4 La segnalazione degli incidenti sarà ampliata. Il NIS2 impone ulteriori requisiti di segnalazione degli incidenti. Sleegers: 'In breve, le organizzazioni devono segnalare di più e più velocemente. Soprattutto il secondo punto richiederà uno sforzo, perché una segnalazione è preceduta da molti passaggi.'

Scarichi il NIS2 Incident Flowchart.

Cosa chiede il NIS2 alle strutture sanitarie quando si tratta di segnalare incidenti informatici? Cosa è necessario segnalare? Qual è la tempistica? Mario Sleegers e i suoi colleghi hanno elencato i requisiti di segnalazione del NIS2 in un comodo diagramma di flusso.

4. Cosa succede se la nostra organizzazione è conforme a NEN 7510 ma non a NIS2?

Il NIS2 distingue tra entità 'essenziali' e 'importanti', afferma Mario Sleegers. Per le organizzazioni 'essenziali', il controllo della conformità sarà più severo: la maggior parte delle organizzazioni sanitarie rientra in questa categoria. 'Se un'organizzazione essenziale non è conforme al NIS2, potrebbero arrivare delle multe', prevede.

Van der Meij: 'Si possono paragonare le conseguenze con la mancata conformità alla legge sulla privacy GDPR. L'Autorità olandese per i dati personali ha multato l'ospedale Haga dell'Aia nel 2019 per una protezione insufficiente dei dati dei pazienti. Ma non mi aspetto che un ambulatorio generale venga multato".

Gli articoli da 32 a 34 del NIS2 riguardano la supervisione e le possibili multe in caso di non conformità. La multa massima per le entità essenziali è di 10 milioni di euro o il 2% del fatturato annuale. Per le entità significative, il massimo è di 7 milioni di euro o l'1,4% del fatturato annuale.

L'Ispettorato olandese per la Sanità monitorerà la conformità al NIS2 nel settore sanitario olandese.

In pratica, il NIS2 significherà probabilmente una maggiore enfasi sulla conformità ai regolamenti sulla sicurezza, prevede Van der Meij. Quindi la tensione tra assistenza e sicurezza probabilmente aumenterà. Come possono le organizzazioni risolvere questo problema? Sleegers consiglia: 'Si potrebbe iniziare con la formazione del consiglio di amministrazione, in modo che acquisisca una migliore comprensione dell'area di tensione. In questo modo possono contribuire attivamente a risolvere questa tensione".

Van der Meij ha anche un consiglio pratico: 'Non si faccia prendere dal panico! Ma agisca. Ad esempio, inizi con un'analisi dei rischi, come suggerisce il governo olandese. I nostri consulenti possono aiutarla in questo".

Come possiamo aiutarla

Bureau Veritas Cybersecurity ha una grande esperienza in materia di NIS2 e NEN 7510. Può contare sui nostri esperti per aiutarla a formare il suo consiglio di amministrazione con il Boardroom Training NIS2. Possiamo anche aiutarla con un NIS2 Gap Assessment e un'assistenza all'implementazione. Per saperne di più sui nostri servizi NIS2, consulti la brochure qui sotto.