Perché NIS2 impone un ripensamento strutturale della cybersecurity. La sanità è senza dubbio uno dei bersagli più esposti del panorama cyber europeo.
Non soltanto per il valore dei dati trattati, ma perché ogni incidente informatico in questo settore può tradursinell’interruzione di servizi essenziali, nel rallentamento delle attività cliniche, nell’indisponibilità delle cartelle elettroniche fino ad arrivare, nei casi più gravi, agli impatti diretti sulla continuità assistenziale.
I numeri confermano che non si tratta più di una minaccia episodica. Secondo quanto emerge dal recenterapporto Clusit, nella sezione dedicata al settore healthcare, nel 2025 a livello globale sono stati registrati 1.053 attacchi cyber di successo contro organizzazioni sanitarie, in crescita del 30% rispetto all’anno precedente, con il 91% degli incidenti classificato come grave o gravissimo.
Dal canto suo, sul fronte nazionale, l’Agenzia per la Cybersicurezza Nazionale rileva che dal 2023 le strutture sanitarie italiane subiscono mediamente 4,7 eventi cyber malevoli al mese, circa la metà dei quali evolve in incidenti con impatti concreti su disponibilità dei servizi o riservatezza dei dati.
È dunque in uno scenario critico che si inserisce la direttiva NIS2, destinata a ridefinire profondamente l’approccio alla sicurezza digitale del settore sanitario. Perché se fino a pochi anni fa la cybersecurity in sanità era spesso trattata come un problema tecnico da delegare all’IT, oggi la combinazione tra rischio operativo, pressione normativa e trasformazione digitale la sta portando direttamente al centro della governance organizzativa.
È proprio in questa trasformazione che Zscaler colloca la propria lettura del mercato sanitario: secondo l’azienda, l’effetto combinato tra pressione normativa, ampliamento della superficie di attacco e progressiva dissoluzione del perimetro IT tradizionale sta imponendo alle organizzazioni sanitarie un ripensamento più profondo delle proprie architetture di sicurezza, oltre la semplice logica di compliance.
Una superficie di attacco sempre più ampia e difficile da presidiare
Va detto che la vulnerabilità crescente del settore sanitario è il risultato diretto della sua trasformazione digitale.
Negli ultimi anni cartelle cliniche elettroniche, telemedicina, cloud, interoperabilità regionale, piattaforme per i pazienti e dispositivi medicali connessi hanno esteso in modo significativo il perimetro digitale delle strutture sanitarie. Il problema è che questa evoluzione si è spesso innestata su infrastrutture legacy, ambienti eterogenei e architetture nate in un’epoca in cui la connettività diffusa non era ancora un requisito strutturale.
Secondo ACN, l’ampliamento della superficie di attacco rappresenta oggi uno dei principali fattori di rischio per il comparto. La diffusione dell’Internet of MedicalThings, la crescente esposizione di servizi online e l’integrazione tra sistemi clinici, amministrativi e territoriali stanno moltiplicando i punti potenzialmente sfruttabili dagli attaccanti.
A questo si aggiunge un ulteriore elemento critico: molti dispositivi e applicazioni presenti negli ambienti sanitari non sono progettati con criteri di sicurezza moderni. Apparati medicali difficili da aggiornare, firmware legacy, sistemi operativi obsoleti e software verticali non facilmente sostituibili continuano a rappresentare una componente strutturale delle infrastrutture ospedaliere.
Non sorprende quindi che il ransomware continui a essere la minaccia più impattante per il settore. Pur con volumi inferiori rispetto ad altre tecniche di attacco, ACN sottolinea come rimanga la tipologia con gli effetti operativi più gravi, in particolare per la sua capacità di bloccare servizi essenziali, cifrare dati clinici e compromettere la disponibilità dei sistemi.
NIS2 trasforma la cybersecurity in una responsabilità del management
L’entrata in vigore della NIS2 segna un cambio di passo anche normativo.
Con il recepimento della direttiva europea, ospedali e numerose strutture sanitarie rientrano tra i soggetti essenziali o importanti, diventando formalmente parte del perimetro delle infrastrutture critiche nazionali. Questo implica obblighi più stringenti in materia di gestione del rischio, incident reporting, continuità operativa e accountability.
Il punto più rilevante è però forse un altro: la responsabilità della sicurezza non resta confinata all’area tecnica.
La normativa attribuisce infatti precise responsabilità agli organi di gestione e direzione, chiamati a supervisionare e approvare le misure di cybersecurity adottate dall’organizzazione.
Di fatto, la sicurezza informatica entra nel perimetro della governance aziendale.
Per molte realtà sanitarie questo significa dover superare un approccio ancora frammentato, spesso caratterizzato da gestione decentralizzata delle tecnologie, scarsa standardizzazione dei controlli e carenza di personale specializzato. Proprio ACN individua tra le principali bad practice del settore la gestione non centralizzata dell’IT, l’assenza di risorse dedicate alla cybersecurity e l’obsolescenza diffusa dei dispositivi.
In questo senso, la NIS2 non rappresenta soltanto un obbligo regolatorio. Sta agendo come catalizzatore per una revisione più ampia dei modelli organizzativi e di governance del rischio.
Perché il modello perimetrale non basta più
Di fronte a un ecosistema sanitario sempre più distribuito e interconnesso, anche i modelli di difesa tradizionali mostrano limiti evidenti.
L’idea di proteggere una rete “interna” considerata affidabile rispetto a un esterno ostile funziona sempre meno in contesti dove medici operano in mobilità, pazienti accedono da remoto, dispositivi IoMTdialogano costantemente con applicazioni cloud e fornitori terzi interagiscono con sistemi interni.
Secondo Zscaler, è proprio questa dissoluzione progressiva del perimetro tradizionale a rendere necessario un cambio di paradigma architetturale nella cybersecurity sanitaria. In ambienti dove utenti, applicazioni e workload sono distribuiti tra on-premise, cloud e reti esterne, il modello di sicurezza costruito attorno al concetto di “rete fidata” perde infatti gran parte della propria efficacia.
Da qui l’attenzione crescente verso approcci Zero Trust, sempre più indicati dal mercato come riferimento per la protezione di ambienti complessi e distribuiti.
Il principio alla base è eliminare la fiducia implicita tra utenti, dispositivi e sistemi, concedendo accesso solo alle specifiche risorse necessarie sulla base di verifiche continue di identità, contesto e autorizzazioni.
Applicato al mondo sanitario, questo approccio consente di segmentare l’accesso ai sistemi clinici, ridurre i movimenti laterali in caso di compromissione e limitare l’esposizione complessiva dell’infrastruttura. È una logica che risponde direttamente a una delle principali criticità evidenziate sia da ACN sia dagli operatori del settore: ridurre la superficie di attacco senza compromettere operatività e accessibilità dei servizi.
In questa prospettiva, Zscaler lega l’adozione di architetture Zero Trust non solo a un rafforzamento della postura di sicurezza, ma anche a un percorso più ampio di modernizzazione infrastrutturale e adeguamento ai requisiti NIS2, in particolare per quelle organizzazioni sanitarie chiamate a gestire ambienti IT eterogenei, legacy e fortemente distribuiti.
NIS2, la risposta di Zscaler: sicurezza cloud-native per ambienti sanitari distribuiti
La proposta di Zscaler si inserisce in questo quadro attraverso una piattaforma cloud-native di Zero Trust Exchange progettata per intermediare in modo diretto e controllato le connessioni tra utenti, dispositivi e applicazioni, senza esporre la rete interna. L’obiettivo dichiarato è superare la logica di accesso basata su VPN e trust implicito, sostituendola con un modello in cui ogni richiesta viene autenticata, contestualizzata e autorizzata prima di raggiungere la risorsa richiesta. In ambito sanitario, questo significa poter garantire a medici, personale amministrativo, partner esterni o dispositivi connessi accessi granulari alle sole applicazioni necessarie, mantenendo isolate le altre componenti dell’infrastruttura. Secondo l’azienda, un approccio di questo tipo consente non solo di ridurre il rischio di movimento laterale in caso di compromissione, ma anche di consolidare controlli di sicurezza e visibilità operativa in un’unica architettura centralizzata, semplificando al tempo stesso la gestione della compliance e delle policy in ambienti ibridi e multi-cloud.
LEGGI ANCHE: Zscaler, come superare il gap nella resilienza informatica italiana
