Gli ospedali svizzeri hanno approvato dei requisiti comuni di sicurezza di base per i sistemi informatici, che le strutture sanitarie potranno esigere per i prodotti dei fornitori di sistemi e applicare in futuro nei processi di approvvigionamento. Le basi di tali requisiti sono costituite dalle leggi e dalle direttive vigenti delle autorità di regolamentazione, nonché dagli standard riconosciuti.
Con questi requisiti tecnici e organizzativi, le strutture sanitarie definiscono una specifica uniforme per confrontare gli aspetti di sicurezza IT dei prodotti di diversi produttori, sottolineando così l’esigenza di prodotti sicuri e di fornitori che prendano seriamente la sicurezza delle informazioni.
Destinatari
Il documento «Requisiti di sicurezza di base per i sistemi informatici» è rivolto principalmente ai fornitori delle strutture sanitarie. Per le strutture sanitarie sono disponibili documenti specifici all’interno della piattaforma H-CSC.
Vantaggi per tutte le parti coinvolte
I requisiti di sicurezza di base per i sistemi informatici definiscono requisiti uniformi e trasversali al settore. Questa baseline genera vantaggi significativi sia per i fornitori sia per le strutture sanitarie:
- Nei processi di approvvigionamento delle strutture sanitarie, le funzioni di protezione dei prodotti vengono maggiormente considerate e valutate. I prodotti più sicuri si distinguono rispetto ai prodotti concorrenti meno sicuri.
- Gli investimenti dei fornitori nella sicurezza delle informazioni dei propri prodotti si rivelano vantaggiosi e possono essere utilizzati come argomento di vendita sul mercato.
- I requisiti di sicurezza di base indicano ai fornitori i passi utili nello sviluppo dei loro prodotti.
- Grazie all’uniformazione dei requisiti, non saranno più necessari cataloghi di requisiti individuali delle singole strutture sanitarie ai quali i fornitori devono rispondere. I fornitori possono valutare i propri prodotti una sola volta e riutilizzare la documentazione per più strutture sanitarie.
- Le strutture sanitarie dispongono di una specifica standardizzata per richiedere la sicurezza di base per i sistemi informatici e non devono più creare requisiti individuali.
- Complessivamente, i requisiti di sicurezza di base contribuiranno ad aumentare la sicurezza delle informazioni nelle strutture sanitarie e quindi a ridurre gli incidenti di sicurezza. Ne beneficeranno i pazienti, le strutture sanitarie e i fornitori.
Funzionalità dei requisiti di sicurezza di base per i sistemi informatici:
I fornitori di sistemi che investono nella sicurezza IT dei propri prodotti devono essere valutati in modo equo rispetto ai fornitori con sistemi affetti da vulnerabilità, rendendo visibili e cumulando i costi aggiuntivi. I requisiti di sicurezza di base definiscono il parametro di riferimento uniforme.
Procedura
Lo standard supporta sia processi di approvvigionamento proattivi (approvvigionamento acquisitivo) sia processi di approvvigionamento reattivi (approvvigionamento su richiesta).
Per i processi di approvvigionamento proattivi è disponibile per i fornitori un’autodichiarazione, ovvero un modulo elettronico standardizzato che riflette lo standard.
- I fornitori, ossia i produttori dei prodotti, redigono una volta sola, sulla base dei requisiti pubblicamente disponibili, un’autodichiarazione per i rispettivi prodotti. Possono compensare autonomamente eventuali funzioni di protezione mancanti mediante misure supplementari, valorizzando così il proprio prodotto.
- I fornitori inviano l’autodichiarazione, insieme al resto della documentazione dell’offerta, alla struttura sanitaria richiedente.
- Non sono più necessari cataloghi di requisiti individuali da compilare successivamente.
- La struttura sanitaria valuta il prodotto e l’autodichiarazione nell’ambito dei propri processi di valutazione e prende la decisione.
Nei processi di approvvigionamento reattivi, le strutture sanitarie definiscono i propri requisiti sotto forma di una specifica, ovvero un modulo elettronico standardizzato che riflette lo standard e consente alle strutture sanitarie, a seconda dell’oggetto dell’approvvigionamento, di dichiarare singoli requisiti, ad esempio come non pertinenti o obbligatori.
- Le strutture sanitarie redigono, sulla base dei requisiti pubblicamente disponibili, la specifica standardizzata per la rispettiva procedura di approvvigionamento su richiesta.
- I fornitori possono rispondere alla specifica utilizzando l’«autodichiarazione» dei loro prodotti. I due moduli — «specifica» delle strutture sanitarie e «autodichiarazione» dei fornitori — sono compatibili, basati sullo stesso standard e con riferimenti identici.
- Per i fornitori che dispongono già di autodichiarazioni dei propri prodotti, la risposta ai requisiti richiede uno sforzo minimo.
- I fornitori possono integrare nei requisiti le ulteriori funzioni di protezione previste per i loro prodotti nell’autodichiarazione, valorizzando così il prodotto.
- Non sono più necessari cataloghi di requisiti individuali per ciascuna struttura sanitaria. Lo standard semplifica il processo sia per i fornitori sia per le strutture sanitarie.
- I fornitori inviano la specifica compilata, insieme al resto della documentazione dell’offerta, alla struttura sanitaria richiedente.
- La struttura sanitaria valuta il prodotto confrontando i requisiti compilati. A seconda della definizione della procedura di approvvigionamento, la struttura sanitaria compenserà eventuali funzioni di protezione mancanti mediante ulteriori misure di protezione. Tali costi saranno inclusi nella valutazione aggiungendoli ai prezzi offerti dai fornitori. In questo modo le offerte possono essere confrontate secondo requisiti uniformi di sicurezza di base per i sistemi informatici.
Link ai documenti
Nota: Per poter utilizzare correttamente il modulo elettronico, dopo aver aperto il file selezionare « Scaricare una copia → Excel ».
Ulteriori documenti specifici per le strutture sanitarie sono disponibili per i membri sulla piattaforma H-CSC.
Persone di contatto
Per domande, vogliate rivolgervi alle persone di contatto presso la rispettiva struttura sanitaria.
Ampio sostegno
Le strutture sanitarie elencate di seguito applicano i requisiti di sicurezza di base nei propri processi di approvvigionamento.
Questo elenco di loghi è attualmente in fase di elaborazione. Hanno già confermato la loro partecipazione:
