Lexipedia

17.3433 · Postulato · 2017-06-13

Dipartimento dell'interno

Liquidato

Wortlaut

Il Consiglio federale è incaricato di studiare, insieme a esperti e Cantoni, una strategia e pertinenti provvedimenti istituzionali e misure per rafforzare la cybersicurezza nel settore della sanità e di indicarne i tempi e le modalità d'attuazione, nonché le eventuali nuove basi giuridiche necessarie allo scopo. Sono auspicate in particolare le misure seguenti:

1. concentrazione nelle mani della Confederazione e dei Cantoni del know-how e delle risorse necessari a garantire la cybersicurezza nel settore della sanità, tenendo conto di vari scenari, quali la sicurezza quotidiana, gli attacchi informatici coordinati sul modello di "Wanna Cry" e gli attacchi informatici massicci, di elevata complessità ed estesi a tutto il territorio retti da una strategia ben precisa. Allo scopo vanno definiti i servizi necessari, chi li fornisce e chi se ne deve assumere i costi;

2. sviluppo di capacità di attacco informatico o di hackeraggio per testare misure di protezione;

3. costituzione di risorse qualitative e quantitative supplementari per garantire 24 ore su 24 preallarme e sostegno in caso di attacchi informatici;

4. informazione dettagliata degli ospedali sui risultati dell'analisi dei rischi e della vulnerabilità conservata sotto chiave dall'UFPP;

5. introduzione dell'obbligo di notifica in caso di eventi informatici accidentali rilevanti per la sicurezza, in particolare per gli ospedali e le istituzioni sanitarie, che serva altresì da base per l'elaborazione di un sistema di allarme e di raccomandazioni di buone prassi;

6. verifica e adeguamento alle esigenze della cybersicurezza degli standard minimi previsti per strumenti come le apparecchiature informatizzate per le diagnosi e le analisi, gli strumenti di misurazione e di trattamento o i respiratori artificiali;

7. accordi con i Cantoni sui requisiti minimi di armonizzazione da adottare per la sicurezza informatica negli ospedali (programmi di cyberintelligence, ecc.), per garantire la ridondanza e l'operatività in caso di guasti;

8. possibilità di certificare componenti hardware e software sicuri.

Begründung

Nella sua risposta all'interpellanza Heim 17.3136, "Cybersicurezza nel settore della sanità", il Consiglio federale sottolinea la responsabilità individuale degli ospedali, evitando però di citare la sua analisi dei rischi e della vulnerabilità dell'assistenza sanitaria. Contesta la necessità di definire una strategia di cybersicurezza e accenna alla collaborazione (non vincolante) tra Melani e i tecnici in medicina. In materia di cybersicurezza l'UE prevede tuttavia un obbligo di notifica. È pertanto urgente esaminare e attuare quest'obbligo come pure le misure per la sicurezza informatica negli ospedali e il rafforzamento di Melani.

Antrag des Bundesrates

Il Consiglio federale propone di respingere il postulato.

Stellungnahme des Bundesrates

Il Consiglio federale è consapevole che un elevato grado di protezione dei dati e di cybersicurezza nella sanità è un presupposto importante per la fiducia della popolazione e dei pazienti, ma anche dei professionisti della salute, nelle applicazioni di sanità elettronica, ad esempio la cartella informatizzata del paziente. Un livello di protezione sufficiente dei dati digitali è una premessa fondamentale per garantire l'interconnessione informatica del sistema sanitario su tutto il territorio nazionale. Solo così possono essere sfruttate le potenzialità della crescente digitalizzazione per l'assistenza sanitaria, come il miglioramento della qualità delle cure, una maggiore sicurezza dei pazienti e l'aumento dell'efficienza.

Nell'ambito dell'attuazione della Strategia "Svizzera digitale" adottata dal Consiglio federale nell'aprile del 2016, Confederazione e Cantoni stanno elaborando la Strategia "eHealth Svizzera 2.0", che subentrerà alla strategia omonima del 2007. La nuova strategia si focalizzerà sui temi della protezione e della sicurezza dei dati e della cybersicurezza. Allo scopo, i servizi federali competenti (UFSP, ODIC, UFPP ecc.) stanno elaborando, con il contributo di esperti e in collaborazione con i Cantoni e gli attori interessati, misure concrete per migliorare la sicurezza dei dati e la cybersicurezza nel settore della sanità. In questa sede sarà esaminata anche l'attuazione delle misure menzionate nel postulato.

Inoltre, nell'ambito dell'attuazione della Strategia nazionale per la protezione della Svizzera contro i cyberrischi e della Strategia nazionale per la protezione delle infrastrutture critiche è stata analizzata la resilienza del sottosettore critico "Cure mediche e ospedaliere", con particolare attenzione alla vulnerabilità delle tecnologie dell'informazione e della comunicazione e ai cyberrischi, e sono state messe a punto misure per migliorarla.

Il Consiglio federale ritiene pertanto che le richieste formulate siano già state adempiute e propone di respingere il postulato.

Il Consiglio federale propone di respingere il postulato.