La proposta di legge di Mark Warner punta a introdurre standard minimi di cybersecurity obbligatori per le strutture sanitarie.
Il crescente numero di attacchi informatici nel settore sanitario ha acceso i riflettori sulle esigenze di sicurezza dei dati dei pazienti, portando alla recente proposta di legge di Mark Warner, senatore democratico della Virginia. Questo atto normativo vuole porre rimedio all’eventualità di attacchi ransomware quale quello che ha recentemente colpito Change Healthcare, un elaboratore di pagamenti che interagisce con il record sanitario di uno su tre americani. Il colpo inferto all’industria sanitaria ha messo in evidenza l’importanza della cybersecurity e ha rallentato le operazioni di fatturazione e pagamento per molte strutture sanitarie.
La proposta di Warner arriva in un momento in cui il gigante del settore sanitario UnitedHealth Group, casa madre di Change Healthcare, è sotto l’osservazione critica del Congresso per la gestione dell’incidente, specialmente nel suo rapporto con la Senate Finance Committee. Prevedendo un’audizione di Andrew Witty, CEO del gruppo, la proposta mira a garantire che gli enti sanitari e i loro fornitori di servizi rispettino determinati standard minimi di cybersecurity per essere ammissibili a pagamenti anticipati e accelerati attraverso i programmi governativi.
L’attacco a Change Healthcare ha rinnovato l’urgenza di discutere su tali standard di sicurezza, con Warner e altri leader che sostengono la necessità di un impegno maggiorato nel settore della protezione dei dati. Tuttavia, gli esperti hanno evidenziato che l’applicazione di standard minimi obbligatori potrebbe non essere semplice, e alcune importanti associazioni, come l’American Hospital Association, hanno espresso opposizione all’idea. Il dibattito enfatizza un punto cruciale: la necessità di stabilire un equilibrio tra misure di sicurezza rafforzate e la pratica operativa quotidiana delle strutture sanitarie.
La proposta del senatore Warner stabilisce che per essere idonei ai pagamenti avanzati tramite i Centri per i servizi Medicare e Medicaid (CMS), i fornitori di assistenza sanitaria devono aderire a standard minimi di cybersecurity che verranno definiti dal segretario del Dipartimento della Salute e dei Servizi Umani. Tale criterio di ammissibilità si applica anche agli intermediari, che nel caso di un incidente di cybersecurity, devono anch’essi soddisfare gli standard previsti dalla norma.
È stato il senatore Warner stesso a dichiarare la propria preoccupazione a lungo termine per la cybersecurity nel settore sanitario. “Era solo questione di tempo prima che assistessimo a un attacco di grandi proporzioni che interrompesse la capacità di cura a livello nazionale,” dichiara Warner. La legislazione mira quindi a fornire incentivi finanziari significativi per i fornitori e i venditori al fine di migliorare la sicurezza dei dati.
In linea con l’iniziativa di Warner, anche il senatore Ron Wyden, presidente della Senate Finance Committee, ha annunciato la volontà di proporre una legislazione simile per fissare standard minimi, sottolineando l’importanza di impedire rischi di sicurezza sistemici e di instaurare multe e responsabilità per CEO negligenti, a tutela dei pazienti e della sicurezza nazionale.