Cybersecurity · Sanità · NIS2 · GDPR

Cybersecurity per strutture sanitarie.

Le strutture sanitarie sono soggetti essenziali NIS2. Quando un incidente blocca un reparto, ci sono tre orologi che corrono insieme: il triage clinico, la notifica al CSIRT Italia e la notifica al Garante Privacy. Fortgale gestisce le tre linee in parallelo.

Richiedi assessment NIS2 sanità 📞 +39 02 3659 8955

NIS2Soggetti essenziali

24h · 72h · 30ggNotifica CSIRT

72hNotifica Garante

Riferimenti normativi

NIS2 · D.Lgs. 138/2024

GDPR · art. 33-34

MDR · Reg. UE 2017/745

ACN · CSIRT

Ambito tecnico

IoMT · DICOM · HL7

PACS / RIS

Active Directory

Veeam · backup

Perché Fortgale per la sanità

Tre vincoli specifici del settore sanitario.

La sanità non si limita a un'industria con dati personali: è un servizio essenziale che non può fermarsi, con un patrimonio informativo (dati clinici) tra i più sensibili a norma GDPR art. 9, e dispositivi che restano in produzione per 10-15 anni senza patch.

01 ·

Continuità clinica

Le cure non si fermano. Il MDR Fortgale è progettato per contenere senza spegnere i sistemi clinici critici. Lavoriamo a fianco del personale IT sanitario.

02 ·

Doppia notifica CSIRT + Garante

Quando un data breach colpisce dati clinici, scattano entrambi gli obblighi: CSIRT Italia (24h/72h/30gg) e Garante Privacy (72h). Fortgale prepara le due notifiche in parallelo.

03 ·

Dispositivi medici IoMT

PACS, RIS, monitor, infusion pump non si patchano come endpoint IT. Segmentazione, monitoraggio passivo OT-aware e controllo accessi vendor con jump host MFA.

Notifica CSIRT · sanità

I tre termini NIS2 per le strutture sanitarie.

Quando un incidente colpisce una struttura sanitaria qualificata come soggetto essenziale, scattano tre obblighi temporali verso il CSIRT Italia, sovrapposti alla notifica GDPR al Garante Privacy. Fortgale prepara la documentazione tecnica per tutte le notifiche in parallelo.

24ORE

Preavviso CSIRT

Identificazione struttura, descrizione incidente, sistemi coinvolti, misure di contenimento iniziali. Portale csirt.gov.it.

Soggetti essenziali NIS2

72ORE

Notifica intermedia CSIRT

Valutazione iniziale dell'impatto, IOC raccolti, misure di contenimento avviate. Stesso termine per la notifica al Garante (art. 33 GDPR).

Notifica formale CSIRT + Garante

30GIORNI

Relazione finale CSIRT

Root cause analysis, vettore d'attacco, impatto definitivo, misure correttive, piano di miglioramento. Documentazione difensiva in caso di sanzione.

Chiusura formale

Proof · sanità

Quattro numeri sul panorama sanitario italiano.

12 %

Attacchi ransomware
contro la sanità EU 2024

94 %

Strutture italiane
soggetti essenziali NIS2

72 h

Notifica Garante
art. 33 GDPR

24·7

SOC italiano
per continuità clinica

Minacce specifiche · sanità

Quattro vettori che colpiscono gli ospedali.

Ransomware

Cifratura cartelle cliniche

Lockbit, BlackCat, Rhysida hanno colpito ospedali italiani ed europei. Fermo dei reparti, dirottamento ambulanze, posticipazione interventi.

Data leak

Esfiltrazione dati clinici

Doppia estorsione con pubblicazione su leak site di referti, anamnesi, fotografie cliniche. Sanzione GDPR e danno reputazionale severo.

BEC · fraud

Frode su forniture

Phishing su uffici economato e provveditorato. Bonifici dirottati su forniture farmaceutiche e dispositivi.

IoMT

Compromissione dispositivi medici

Vulnerabilità note non patchate su PACS, RIS, monitor. Pivot verso reti cliniche da broker DICOM/HL7 esposti.

Servizi correlati

Tre componenti per strutture sanitarie.

SOC italiano

MDR 24·7

SOC italiano con team senior. Detection mappata MITRE ATT&CK, contenimento mediano ~11 min.

Scopri MDR →

Compliance

Notifica CSIRT

Procedure, scadenze e modulistica per la notifica al CSIRT Italia. Supporto end-to-end nelle tre tappe NIS2.

Vai alla guida →

Emergenza

Incident Response

Quando l'incidente è in corso, Fortgale gestisce tecnica, comunicazione, notifica e recovery in un unico flusso.

Scopri →

FAQ · Sanità

Le domande più frequenti delle strutture sanitarie.

In caso di violazione dei dati, entro quanto tempo le strutture sanitarie devono inviare la notifica al CSIRT Italia?

Le strutture sanitarie qualificate come soggetti essenziali ai sensi del D.Lgs. 138/2024 (NIS2) devono notificare in tre tappe: preavviso entro 24 ore, notifica intermedia entro 72 ore, relazione finale entro 30 giorni. Quando l'incidente comporta violazione di dati personali sanitari, va effettuata anche la notifica al Garante Privacy entro 72 ore (art. 33 GDPR). Le due notifiche sono indipendenti.

Quali strutture sanitarie sono soggetti essenziali NIS2?

Sono qualificati come essenziali: ospedali pubblici e privati accreditati, laboratori di analisi e di riferimento, fabbricanti di dispositivi medici critici, distributori di farmaci, strutture di ricerca clinica. La qualificazione dipende dal settore e dalla dimensione (medie e grandi imprese, con eccezioni per soggetti critici). Le strutture più piccole possono ricadere nella categoria importante o restare fuori dall'ambito, ma il GDPR resta sempre applicabile.

Cosa fare in caso di ransomware in una struttura sanitaria?

Cinque azioni in parallelo: (1) attivare il piano di continuità clinica per garantire le cure; (2) isolare i sistemi compromessi senza spegnerli (per preservare evidenze in RAM); (3) notificare al CSIRT Italia entro 24 ore se soggetti NIS2; (4) notificare al Garante Privacy entro 72 ore se ci sono dati personali; (5) avviare l'incident response tecnico. Fortgale supporta tutte e cinque le linee in parallelo.

Come si proteggono i dispositivi medici da attacchi cyber?

I dispositivi medici (PACS, RIS, monitor, infusion pump, IoMT) raramente possono essere aggiornati come endpoint IT. La protezione si basa su: segmentazione di rete dedicata (VLAN sanitarie isolate), monitoraggio passivo del traffico OT-aware, controllo accessi vendor con jump host MFA, inventario di firmware e CVE, hardening dei perimetri (gateway IoMT, broker DICOM/HL7), conformità al regolamento MDR (UE) 2017/745 per il ciclo di vita.

La sanità privata è soggetta agli stessi obblighi della pubblica?

Sì. La NIS2 si applica indistintamente al settore pubblico e privato sanitario sopra le soglie dimensionali. Le strutture private accreditate sono spesso fornitori critici del SSN e ricadono nelle stesse categorie di soggetti essenziali. Il GDPR si applica a entrambe in egual misura. La differenza riguarda solo le procedure interne di nomina del referente cybersecurity.

Continuità clinica · cybersecurity

Le cure non si fermano. Anche durante un attacco.

Fortgale supporta strutture sanitarie pubbliche e private nella protezione di dati clinici, dispositivi medici e continuità delle cure. Dal MDR 24·7 alla doppia notifica CSIRT + Garante, in un unico flusso operativo.