Lexipedia

17.3136 · Interpellanza · 2017-03-15

Dipartimento delle Finanze

Liquidato

Wortlaut

L'interconnessione di un numero crescente di apparecchi nell'ambito dell'Internet delle cose migliora l'offerta sanitaria e porta dei benefici ai pazienti, ma comporta anche dei rischi. La "Strategia nazionale per la protezione della Svizzera contro i cyberrischi (SNPC)" considera il settore della sanità un'infrastruttura critica. L'analisi dei rischi e della vulnerabilità e la Centrale d'annuncio e d'analisi per la sicurezza dell'informazione (Melani) indicano la vulnerabilità degli ospedali, degli apparecchi medici, delle apparecchiature per le diagnosi e le analisi e dei dispositivi da impiantare e i rischi di cyberattacchi cui sono esposti mediante ransomware e attacchi su Internet. Un recente rapporto semestrale di Melani titola "Questione di vita o di morte" la parte relativa alla sanità, da cui emerge la necessità di agire per garantire la sicurezza negli ospedali nonché dei dispositivi medici e dei dispositivi da impiantare informatizzati. Il rapporto sottolinea il fatto che la sensibilità alle problematiche della sicurezza è molto diversa a seconda degli ospedali, dei laboratori e degli studi medici e a dipendenza dei dispositivi medici che presentano dei rischi. Inoltre, i progetti di esternalizzazione delle IT interne agli ospedali accrescono la vulnerabilità delle stesse. Il Consiglio federale è invitato a rispondere alle seguenti domande:

1. Quali misure devono adottare la Confederazione e i Cantoni per rafforzare la sicurezza contro i cyberattacchi e la pirateria informatica nel settore della sanità e per minimizzare i rischi cui sono esposti l'infrastruttura tecnica, il trattamento dei dati e le tecnologie e i dispositivi medici?

2. Quali provvedimenti possono essere presi in collaborazione con il mondo economico, in particolare con il settore medico, per potenziare la sicurezza contro i cyberattacchi e la pirateria informatica?

3. Le regolamentazioni, i meccanismi e i sistemi d'incentivazione esistenti bastano a minimizzare i rischi e a garantire la sicurezza? O è necessario procedere ad adeguamenti ad esempio nell'ambito della responsabilità e delle prove in merito alla sicurezza?

4. Cosa ne pensano gli specialisti della direttiva dell'Unione europea che si applica all'ammissione di dispositivi medici in Svizzera e della norma del 2006 concernente i relativi software, alla luce dell'evoluzione tecnologica e dei rischi?

5. Secondo Melani una parte delle apparecchiature informatizzate per le diagnosi e le analisi non può essere protetta senza che queste perdano la loro certificazione. Chi si assume i rischi, in simili casi?

6. La Germania possiede una legge sulla sicurezza informatica e l'Unione europea una direttiva concernente la sicurezza delle reti e dei sistemi informativi. Quali linee guida garantiscono, nel nostro Paese, la sicurezza informatica nel settore della sanità, per i dispositivi medici e i dispositivi da impiantare che presentano dei rischi? In tale settore anche la Svizzera necessita di direttive o provvedimenti che consentano di definire una strategia globale di cybersicurezza che includa la Confederazione, i Cantoni, i fornitori di prestazioni e il mondo economico?

Stellungnahme des Bundesrates

1. La responsabilità individuale delle imprese costituisce un importante principio della SNPC. Infatti, ogni impresa è essa stessa responsabile del funzionamento sicuro della propria infrastruttura informatica. Oltre alle linee guida generali, sulla base dell'attuale situazione di minaccia la Confederazione emana raccomandazioni di cui le imprese tengono conto nella valutazione dei rischi legati a strutture informatiche critiche. Tra queste rientrano anche aziende del settore della sanità. Inoltre, nel quadro dell'attuazione della SNPC l'Ufficio federale della protezione della popolazione e l'Ufficio federale per l'approvvigionamento economico del Paese hanno condotto delle analisi dei rischi e della vulnerabilità nel settore della sanità, da cui risultano parimenti delle raccomandazioni. Le aziende sono libere di decidere se e in che modo adottare queste raccomandazioni. Questo principio è ragionevole, dato che né la Confederazione né i Cantoni conoscono nei dettagli le infrastrutture informatiche degli ospedali, degli studi medici, ecc.

2. La già esistente stretta collaborazione tra Melani e i tecnici in medicina ha potuto essere rafforzata e ampliata sensibilmente dall'inizio del 2016.

3. La responsabilità e quindi anche la garanzia per la sicurezza di un dispositivo medico spetta al produttore, mentre la sicurezza dell'infrastruttura informatica in un ospedale alla direzione ospedaliera. Nell'ambito dell'adozione della strategia "Svizzera digitale" (cfr. www.bakom.admin.ch > Svizzera digitale e internet > Strategia "Svizzera digitale"), il Consiglio federale ha incaricato l'Ufficio federale delle comunicazioni del Dipartimento federale dell'ambiente, dei trasporti, dell'energia e delle comunicazioni, unitamente ai Cantoni, di aggiornare la Strategia eHealth Svizzera, che risale al 2007. Il mandato è stato conferito nel quadro del piano d'azione: Strategia Svizzera digitale, che costituisce parte integrante della Strategia "Svizzera digitale". In tale contesto si verifica inoltre se per promuovere la sicurezza dei dati nel settore sanitario siano necessarie misure supplementari. La strategia dovrebbe essere adottata nel corso del 2018.

4. La direttiva 93/42/CEE concernente i dispositivi medici, ai fini dell'introduzione di dispositivi medici sul mercato dell'UE (e in Svizzera nel quadro dell'Accordo sull'abolizione degli ostacoli tecnici al commercio), stabilisce le esigenze minime in materia di sicurezza dei dispositivi poste ai produttori. I dispositivi medici possono essere immessi sul mercato solo se la relativa procedura di valutazione della conformità ha dato esito positivo. Le norme da osservare corrispondono allo stato dell'arte. Spetta sempre al produttore rispettarle e adottare le misure adeguate ai suoi dispositivi.

5. Questa affermazione è corretta solo in parte. Come affermato più sopra, soltanto i dispositivi medici conformi alle esigenze possono essere immessi sul mercato. La valutazione della conformità comprende anche relativi testi di verifica e di validità. In caso di adeguamenti tecnici, i dispositivi medici conformi sono nuovamente sottoposti a una valutazione. La responsabilità per l'impiego di un dispositivo non conforme spetta all'utente o al settore sanitario dell'ospedale.

6. Secondo il Consiglio federale non è necessario definire una strategia di cybersicurezza di questo tipo (cfr. risposta alla domanda 1). Nel quadro dell'aggiornamento della Strategia eHealth Svizzera (cfr. risposta alla domanda 3) si analizzerà la necessità di singole misure supplementari.

Risposta del Consiglio federale.