Il Ministero della Salute definisce le misure tecnico informatiche e organizzative a protezione dei dati per contrastare gli attacchi informatici.
Il Ministro della Salute, di concerto con il Ministro dell’Economia e delle finanze e il Dipartimento della Transizione Digitale e attraverso un prezioso dialogo con il Garante per la protezione dei dati personali e l’agenzia per la cybersicurezza ACN , definisce l’architettura dell’ecosistema dei dati sanitari EDS . L’EDS è un sistema progettato per garantire la gestione centralizzata dei dati , il coordinamento informatico e l’erogazione di servizi sanitari omogenei su tutto il territorio nazionale, con molteplici finalità di cura, prevenzione, profilassi internazionale, studio e ricerca scientifica e di governo e programmazione sanitaria, verifica della qualità delle cure e valutazione dell’assistenza sanitaria da parte del Ministero della Salute, dell’Agenas, delle Regioni e delle Province autonome, in relazione alle rispettive competenze. L’EDS costituisce una componente strategica del fascicolo sanitario elettronico che sarà arricchito con nuove funzionalità con vantaggi concreti per i cittadini che potranno accedere al proprio FSE in tempo reale, consultando referti medici, prescrizioni, informazioni sulle vaccinazioni e dati diagnostici. Lo strumento non si limita pertanto a gestire dati ma rappresenta una chiave per sviluppare servizi e migliorare la ricerca sanitaria e la vita dei cittadini . L’EDS è progettato per trasmettere i dati clinici acquisiti dalle strutture sanitarie anche esterne al SSN alle regioni con la garanzia dell’interoperabilità. Il sistema è stato implementato con una forte attenzione alla protezione dei dati ed alla sicurezza informatica il decreto in esame ha recepito le preziose osservazioni critiche contenute nel parere del Garante privacy del 2022. L’architettura di sicurezza dell’EDS si fonda su una soluzione basata su “unità di archiviazione distinte e indipendenti” progettate per garantire la massima protezione dei dati sanitari. La sopra citata architettura implementa il principio di separazione dei dati in base alla tipologia con la previsione di tre unità di archiviazione separate archi a seconda della tipologia dei dati in chiaro, pseudonimizzati e anonimizzati in chiaro e anonimizzati e al relativo livello di rischio. Il punto di forza è costituito dal pieno allineamento tra i documenti sanitari pubblicati nel FSE e i dati resi disponibili nell’EDS , la non replicabilità dei dati e la loro piena interoperabilità delle diverse unità di archiviazione regionali contenenti i dati in chiaro e la facoltà per le regioni e le province autonome di gestire in proprio l’unità di archiviazione dei dati in chiaro. La sopra citata facoltà costituisce una novità molto rilevante che risulta condizionata alla verifica che tali unità rispettino i requisiti di coordinamento informatico, qualità e sicurezza e rappresenta un tassello di una visione più ampia di un proprio modello federato di gestione dei dati, con un controllo locale ma con garanzie di mantenere l’interoperabilità nazionale. Il Ministero della Salute è, ai sensi dell’articolo 12 del decreto, il titolare del trattamento, mentre all’Agenzia Nazionale per i Servizi Sanitari Regionali – Agenas sarà affidata la gestione operativa dei dati , effettua i trattamenti di dati in qualità di responsabile del trattamento. Le regioni e le province autonome saranno i titolari dei trattamenti per le attività di estrazione dei dati del FSE e della trasmissione degli stessi all’EDS . I sopra citati titolari del trattamento adottano misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio in coerenza con le disposizioni di cui agli articoli 25 e 32 del regolamento UE numero 2016/679. Per il trattamento dei dati dell’EDS sono assicurati il rispetto delle disposizioni di cui all’articolo 51 del CAD in materia di sicurezza e disponibilità dei dati, dei sistemi e delle infrastrutture delle pubbliche amministrazioni, nonché delle linee guida rese disponibili da AGID e ACN in materia di sviluppo e gestione dei sistemi informativi. Il decreto prevede, all’articolo 22, idonei sistemi di autorizzazione per gli incaricati in funzione dei ruoli e delle esigenze di accesso e trattamento e richiama l’attenzione sulle procedure per la verifica periodica dei profili di autorizzazione assegnati agli incaricati e sui protocolli di comunicazione sicuri basati sull’utilizzo di standard crittografici per la comunicazione elettronica dei dati. Tra le misure richieste la cifratura o la separazione dei dati idonei a rivelare lo stato di salute e la vita sessuale dagli altri dati personali, la tracciabilità degli accessi e delle operazioni effettuate g sistemi di audit log per il controllo degli accessi e per il rilevamento di eventuali anomalie e le procedure di pseudonimizzazione. Sono richieste anche idonee misure tecniche e organizzative per la protezione dei dati registrati rispetto a potenziali rischi di accesso abusivo, furto o smarrimento, parziali o integrali, dei supporti di memorizzazione o dei sistemi di elaborazione portatili o fissi . Il decreto evidenzia l’importanza della formazione e richiama l’attenzione degli operatori sulle notifiche degli incidenti e sul ruolo e attività dell’amministratore di sistema. Al fine di garantire il corretto impiego dell’EDS da parte degli utilizzatori e per rendere gli stessi edotti dei rischi che incombono sui dati, nonché delle misure di sicurezza adottate, sono organizzate apposite sessioni di formazione , anche con riferimento agli aspetti di protezione dei dati personali, con particolare riferimento all’accessibilità delle informazioni, alle operazioni di trattamento eseguibili e alla sicurezza dei dati. Nell’allegato B del decreto sulle misure di sicurezza viene previsto l’erogazione della formazione su specifiche tecnologie e componenti informatici con particolare attenzione alla sicurezza delle informazioni, per il personale responsabile della gestione di tali sistemi. I risultati dei percorsi formativi vengono registrati e riesaminati allo scopo di colmare eventuali lacune, accrescere la sensibilizzazione e la cultura sui temi di sicurezza delle informazioni e gestione dei rischi, promuovere la comprensione delle politiche e delle procedure aziendali e favorire l'apprendimento dell'uso delle soluzioni/tecnologie di sicurezza. In caso di incidenti di sicurezza che possono comportare rischi per i diritti e le libertà degli interessati, anche in relazione a trattamenti effettuati da altri soggetti, ciascun titolare del trattamento fornisce tempestivamente a quest’ultimi ogni informazione utile ad agevolare l’adempimento degli obblighi in materia di violazioni dei dati personali di cui agli articoli 33 e 34 del regolamento UE numero 2016/679. La robustezza del sistema è garantita dal Piano di continuità operativa l'insieme coordinato dei processi e delle procedure di gestione Emergenza/Crisi ed attivazioni delle soluzioni di continuità operativa il piano include i risultati della BIA/RA aggiornati regolarmente ed il piano dei Test periodici. Viene richiesto un Sistema di Disaster Recovery l'insieme delle soluzioni tecniche/procedurali volte ad assicurare la continuità dei servizi erogati per esempio Alta Affidabilità, Gestione delle Repliche, Scalabilità, infrastruttura speculare delle infrastrutture/dati . Sono implementati sistemi e servizi di backup per il salvataggio dei dati e delle applicazioni le componenti tecnologiche dello EDS sia in termini infrastrutturali, applicative e basi dati sono integrate con componenti centralizzate di Backup e sistemi per la gestione delle repliche, e prevedono test periodici di Restore utili a verificare l'integrità dei dati salvati e la ricostruibilità degli ambienti operativi e adottano le politiche di protezione denominate 3-2-1 con copia offline. Al fine di garantire la qualità e la continuità dei servizi dei servizi tutte le componenti dell'EDS componenti di sicurezza, server, Database, etc. sono monitorate per il rapido riconoscimento di possibili minacce/attacchi in corso. Per proteggere i sistemi dagli attacchi informatici al fine di eliminare le vulnerabilità, il decreto all’allegato B richiede diverse tecnologie o procedure tra cui aggiornamenti periodici dei sistemi operativi e dei software di sistema e del middleware patching e update e Hardening delle macchine la separazione/segmentazione fisica o virtuale delle reti e l'isolamento delle risorse critiche Viene richiesta l’Adozione di una infrastruttura di sistemi firewall e sistemi IPS Intrusion Prevention System che consentono la rilevazione dell'esecuzione di codice non previsto e l'esecuzione di azioni in tempo reale quali il blocco del traffico proveniente da un indirizzo IP attaccante l'infrastruttura FW è altresì integrata alla componente del NAC Network Access Control al fine di verificare l'adeguato livello di sicurezza degli End Point l’adozione di sistemi WAF per il controllo del traffico applicativo l’ adozione di sistemi di AntiDDOS in grado di rilevare e mitigare eventuali minacce/attacchi volumetrici ed implementare meccanismi di recovery. Sono richiesti i Server Protection, server su cui sono attive le componenti del EDS implementano soluzioni di Extended Detection and Response XDR configurati per abilitare servizi di protezione avanzati ad es. hunting, anti ransomware, data loss prevention, etc. per potenziare le capacità di rilevazione e risposta a potenziali attacchi cibernetici . I portali FSE Nazionale e Regionali, e più in generale i sistemi informatici presso le strutture socio-sanitarie che accedono in consultazione ai dati dell'EDS, inviano la richiesta di dati al layer dei servizi EDS certificando le informazioni relative all'identità dell'utente assistito, delegato o operatore sanitario complete del ruolo e della finalità della richiesta stessa. Il decreto alza il livello di sicurezza informatica sono adottate e manutenute periodicamente procedure che indicano riferimenti per la segnalazione degli eventi di sicurezza delle informazioni nei sistemi informativi da parte di dipendenti, consulenti o addetti terzi prevedendo appositi canali gestiti per riportare incidenti nel più breve tempo possibile viene adottata e manutenuta periodicamente una procedura di gestione degli incidenti inclusi i data breach che definisce le risorse e le responsabilità delle persone che devono intervenire nella classificazione, risoluzione e gestione dell'incidente di sicurezza, ivi incluse le terze parti es. fornitori di soluzioni tecnologiche, fornitori di servizi di assistenza e manutenzione. I contratti di esternalizzazione di servizi a fornitori/terze parti c.d. outsourcing devono specificare il ruolo di tali fornitori/terze parti con riferimento agli eventuali trattamenti di dati personali, ai sensi dell'articolo 28 del Regolamento UE 2016/679, ivi comprese specifiche istruzioni sulla modalità di trattamento e le norme di sicurezza cui attenersi per l'utilizzo di asset e informazioni. Sono richiesti controlli periodici per il rispetto delle norme in tema di sicurezza per i fornitori di servizi di outsourcing, nonché per prevenire violazioni di dati personali. Viene adottata una procedura per l'impiego degli ambienti di sviluppo, test e produzione che prevede la loro separazione e il divieto di utilizzo di dati reali negli ambienti non di produzione. L'attribuzione delle funzioni di Amministratore di Sistema avviene previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, nel rispetto del Provvedimento dell'Autorità Garante per la Protezione dei Dati Personali. Sono effettuati controlli periodici almeno annuali delle attività degli Amministratori di Sistema attraverso audit interni, al fine di accertarne la conformità alle mansioni attribuite e la rispondenza alle misure organizzative, tecniche e di sicurezza previste dalle norme vigenti. Viene periodicamente eseguita un'analisi dei Rischi connessa ai trattamenti effettuati e alla loro relativa gestione. L’Ecosistema dei dati sanitari rappresenta una sfida importante per il nostro paese, una piattaforma innovativa sicura di raccolta di dati che costituisce uno dei sistemi più avanzati in un momento di profondo cambiamento alla luce della sfida del recentissimo regolamento europeo dei dati sanitari. I cittadini potranno fruire di nuovi servizi cittadini e operatori sanitari nuovi servizi con maggiore efficienza del sistema, con la massima attenzione del Governo alla protezione e alla sicurezza dei dati.
Decreto 31 dicembre 2024 in G.U. del 5 marzo 2025, numero 53