AFFILIAZIONE
Azienda Sanitaria Universitaria Giuliano Isontina – Asugi
AUTORE PRINCIPALE
Dott.ssa Guerriero Cinzia
Registrazione obbligatoria. Una valutazione consentita
login avvenuto
GRUPPO DI LAVORO
AREA TEMATICA
Esperienze di procurement: coniugando innovazione, valore e sostenibilità
ABSTRACT
La crescente digitalizzazione del settore sanitario ha favorito la diffusione di applicativi informatici e dispositivi medici connessi, migliorando la gestione dei dati e l’erogazione dei servizi, ma introducendo nuove criticità legate alla cybersecurity, in particolare nella gestione della supply chain tecnologica. In questo contesto, la Direttiva (UE) 2022/2555 (NIS2) richiede alle organizzazioni sanitarie di gestire in maniera adeguata il rischio cyber, includendo anche la sicurezza della catena di approvvigionamento.
Il lavoro propone una procedura strutturata e ripetibile per la definizione e la selezione dei requisiti di cybersecurity nelle procedure di acquisto di applicativi sanitari e dispositivi medici con componente software, in conformità alla NIS2 e al principio di accountability. Il risultato è un flusso decisionale che guida la selezione dei requisiti più pertinenti in base alle caratteristiche della fornitura, garantendo al contempo l’aderenza alle principali best practice del settore.
Il processo si articola in cinque fasi e distingue due scenari principali: acquisizioni che non coinvolgono l’infrastruttura della pubblica amministrazione, tipicamente servizi SaaS stand-alone, e acquisizioni che richiedono integrazione con l’infrastruttura regionale e con il sistema informativo sanitario. In funzione di tali scenari vengono selezionati requisiti differenti, relativi ad aspetti normativi, infrastrutturali, applicativi e di sicurezza informatica trasversale.
Il risultato è una metodologia operativa che consente di integrare in modo sistematico i requisiti di cybersecurity nei processi di gara per tecnologie sanitarie, garantendo coerenza con le principali best practice e tracciabilità delle scelte adottate. La procedura è attualmente in fase di sperimentazione presso l’Azienda Regionale di Coordinamento per la Salute (ARCS) della Regione Friuli-Venezia Giulia.
La proposta mira inoltre a conciliare i requisiti della NIS2 con la sostenibilità organizzativa. Sebbene la direttiva richieda un approccio dinamico in base alle diverse acquisizioni ICT, un approccio completamente personalizzato per ogni fornitura risulta poco sostenibile per le aziende sanitarie, a causa di limiti di risorse, competenze e tempi. La procedura proposta mira quindi a garantire sostenibilità operativa attraverso un processo standardizzato ma flessibile, capace di adattarsi alle specificità delle singole acquisizioni mantenendo al contempo conformità normativa.
Il lavoro propone una procedura strutturata e ripetibile per la definizione e la selezione dei requisiti di cybersecurity nelle procedure di acquisto di applicativi sanitari e dispositivi medici con componente software, in conformità alla NIS2 e al principio di accountability. Il risultato è un flusso decisionale che guida la selezione dei requisiti più pertinenti in base alle caratteristiche della fornitura, garantendo al contempo l’aderenza alle principali best practice del settore.
Il processo si articola in cinque fasi e distingue due scenari principali: acquisizioni che non coinvolgono l’infrastruttura della pubblica amministrazione, tipicamente servizi SaaS stand-alone, e acquisizioni che richiedono integrazione con l’infrastruttura regionale e con il sistema informativo sanitario. In funzione di tali scenari vengono selezionati requisiti differenti, relativi ad aspetti normativi, infrastrutturali, applicativi e di sicurezza informatica trasversale.
Il risultato è una metodologia operativa che consente di integrare in modo sistematico i requisiti di cybersecurity nei processi di gara per tecnologie sanitarie, garantendo coerenza con le principali best practice e tracciabilità delle scelte adottate. La procedura è attualmente in fase di sperimentazione presso l’Azienda Regionale di Coordinamento per la Salute (ARCS) della Regione Friuli-Venezia Giulia.
La proposta mira inoltre a conciliare i requisiti della NIS2 con la sostenibilità organizzativa. Sebbene la direttiva richieda un approccio dinamico in base alle diverse acquisizioni ICT, un approccio completamente personalizzato per ogni fornitura risulta poco sostenibile per le aziende sanitarie, a causa di limiti di risorse, competenze e tempi. La procedura proposta mira quindi a garantire sostenibilità operativa attraverso un processo standardizzato ma flessibile, capace di adattarsi alle specificità delle singole acquisizioni mantenendo al contempo conformità normativa.
