Molti ricorderanno l'attacco ransomware con cui criminali informatici hanno sottratto di 35mila radiografie dall'ospedale di Erba, in provincia di Como. È accaduto a dicembre 2019 ed è uno dei tanti esempi di attacchi al sistema sanitario.

Per questo il Medical Device Coordination Group ha pubblicato a dicembre 2019 un nuovo regolamento sui dispositivi medici. S'intitola "Guidance on Cybersecurity for medical devices" e rimpiazzerà gradualmente le attuali direttive UE. Le nuove norme per i dispositivi medici saranno applicate progressivamente entro maggio 2020, quelle per i dispositivi medico-diagnostici in vitro entro maggio 2022.
Le novità sono atte a garantire che i dispositivi immessi sul mercato UE siano pronti per fronteggiare i rischi per la sicurezza informatica. Nuovi testi stabiliscono alcuni requisiti essenziali di sicurezza per tutti i dispositivi medici che incorporano sistemi e software elettronici programmabili. È a queste direttive che i produttori dovranno attenersi per sviluppare e fabbricare i loro prodotti. Sono compresi principi di gestione del rischio, sicurezza delle informazioni, requisiti minimi riguardanti le misure di sicurezza IT. Questi ultimo includono la protezione contro l'accesso non autorizzato.

Scorrendo il documento integrale si vede che include numerosi requisiti generalmente associati alla sicurezza informatica. Si parla infatti di privacy, riservatezza e protezione dei dati, e sistemi di sorveglianza post-vendita. Sono richiesti periodici aggiornamenti di sicurezza di cui rendere conto. È fatto obbligo di segnalare gravi incidenti di sicurezza. In caso questi si dovessero verificare, sarà richiesta un'analisi dell'accaduto e l'applicazione di azioni correttive.
Sulla sicurezza IT sono stabiliti paletti per l'hardware, le reti IT a cui sono connessi i dispositivi e la protezione contro l'accesso non autorizzato. Quelli che sono definiti come concetti chiave comprendono la riservatezza delle informazioni sia a riposo che in transito. L'integrità necessaria per garantire l'autenticità delle informazioni e la disponibilità di processi, dispositivi, dati e sistemi connessi. Inoltre, è precisata la necessità di un dominio di sicurezza che garantisca "protezione contro la minaccia di furto, cancellazione o alterazione dei dati memorizzati o trasmessi all'interno di un sistema informatico".

Le funzionalità di sicurezza possono includere elementi quali autenticazione, autorizzazione, crittografia, controllo e sicurezza fisica. Tali requisiti si applicano a tutto l'hardware e software presenti nel prodotto. Ovviamente il livello di sicurezza dovrà essere adeguato al tipo di dispositivo e alla natura dei dati che colleziona. In funzione del tipo di dispositivo, dell'uso previsto e dell'ambiente operativo in cui verrà impiegato, si attueranno controlli di sicurezza più o meno rigorosi.