La nuova frontiera del rischio sistemico tra attacchi, supply chain e compliance NIS2

Nel 2026 la sicurezza informatica non è più un tema IT ma una variabile strategica di continuità operativa per pharma e sanità. I dati sugli attacchi in Italia mostrano un’escalation che impatta direttamente supply chain, produzione GMP, dati clinici e compliance regolatoria.

By
Valentina Parrella
-
0
19

I numeri parlano chiaro. Secondo il report “Attacchi Cyber in Italia – Gennaio 2026” di AESSE, nel solo primo mese dell’anno si sono registrati 225 eventi cyber in Italia, con 239 vittime e 39 incidenti a impatto confermato.

Il dato più significativo è però un altro: 153 vittime rientrano in ambito NIS2. Non si tratta quindi di attacchi marginali, ma di eventi che colpiscono soggetti considerati essenziali o importanti per il sistema Paese.

Nel medesimo periodo sono state rilevate 5.144 nuove CVE (Common Vulnerabilities and Exposures) e 1.423 asset potenzialmente vulnerabili, con 12 asset potenzialmente compromessi. Numeri che descrivono un ecosistema digitale ad alta esposizione.

Per il settore farmaceutico e sanitario, questo scenario non è un problema teorico: è un rischio operativo diretto.

Consulta il report

Pharma e sanità: bersagli ad alto valore strategico

Le aziende farmaceutiche e le strutture sanitarie rappresentano obiettivi privilegiati per almeno tre motivi:

  • valore economico e scientifico dei dati (trial clinici, dossier regolatori, formule proprietarie);
  • necessità di continuità produttiva, soprattutto per farmaci essenziali;
  • pressione reputazionale e regolatoria in caso di data breach.

Il ransomware resta la minaccia dominante, ma nel mondo pharma la vulnerabilità è sistemica. La filiera è interconnessa: ERP, sistemi MES, laboratori qualità, serializzazione, supply chain, partner CRO, piattaforme cloud.

Un attacco può tradursi in:

  • blocco dei sistemi di gestione lotti;
  • impossibilità di rilascio di batch;
  • compromissione dei sistemi di tracciabilità;
  • ritardi nelle forniture ospedaliere;
  • perdita o alterazione di dati clinici.

Non è più solo un tema di sicurezza IT. È un tema di continuità industriale regolata.

NIS2 e settore farmaceutico: dalla compliance formale alla resilienza sostanziale

Con il recepimento della direttiva NIS2, il perimetro dei soggetti obbligati si amplia includendo realtà della filiera sanitaria e operatori critici per il sistema salute.

Gli obblighi riguardano:

  • valutazione del rischio cyber;
  • misure tecniche e organizzative adeguate;
  • gestione e notifica tempestiva degli incidenti;
  • responsabilità diretta del management.

Nel report AESSE si registrano 77 alert inviati al CSIRT e 3.909 comunicazioni dirette: segnale di un sistema di monitoraggio più attivo ma anche di una superficie di attacco crescente.

Per le aziende pharma, questo significa integrare la cybersecurity nel sistema qualità, al pari di GMP e GDP. La sicurezza informatica entra nella logica di audit, ispezioni e governance del rischio.

Vuoi approfondire la Direttiva NIS? Ti invitiamo a leggere un approfondimento qui

Digitalizzazione GMP e convergenza IT/OT

L’industria farmaceutica ha accelerato sulla digitalizzazione:

  • sistemi MES interconnessi;
  • manutenzione predittiva;
  • controllo qualità digitale;
  • cloud per dati clinici;
  • collaborazione digitale con partner globali.

La convergenza tra IT e OT amplia la superficie di attacco. Un ransomware su una rete di produzione può tradursi in fermo impianto o perdita di integrità documentale.

In un settore regolato, l’integrità del dato è parte integrante della compliance.

Sanità e dati sensibili

Nel mondo sanitario il rischio è duplice: economico e clinico. Cartelle elettroniche, sistemi PACS, piattaforme di telemedicina e dispositivi medicali connessi sono infrastrutture critiche.

La combinazione tra GDPR e NIS2 impone protezione dei dati personali e resilienza operativa. La sicurezza informatica diventa parte integrante della sicurezza del paziente.

Supply chain: l’anello più fragile

Le vittime riportate nel report appartengono a settori diversi. Questo evidenzia un punto chiave: anche un attacco a un fornitore IT o logistico può avere effetti indiretti sulla filiera farmaceutica.

La resilienza richiede:

  • vendor risk management;
  • audit cyber sui partner;
  • segmentazione delle reti;
  • backup offline e test di ripristino.

La sicurezza diventa requisito di filiera.

Governance e responsabilità del management

NIS2 attribuisce responsabilità esplicite agli organi di gestione. La cybersecurity non è più delegabile esclusivamente al CIO.

Per il management pharma significa:

  • integrare il rischio cyber nel risk assessment aziendale;
  • prevedere budget dedicati;
  • definire KPI di resilienza digitale;
  • simulare scenari di crisi.

In un contesto con oltre cinquemila nuove vulnerabilità in un solo mese, la postura reattiva non è più sufficiente.

In questo scenario, la trasformazione tecnologica introduce un ulteriore livello di complessità. L’intelligenza artificiale, sempre più integrata nei sistemi di difesa ma anche nelle strategie di attacco, sta modificando profondamente l’equilibrio tra protezione e vulnerabilità.

Cybersecurity e AI: opportunità e nuovo rischio regolatorio

L’intelligenza artificiale sta ridefinendo il perimetro della sicurezza informatica anche nel settore farmaceutico e sanitario. Sistemi basati su AI consentono di analizzare grandi volumi di log, identificare anomalie comportamentali in tempo reale e anticipare movimenti laterali tipici degli attacchi ransomware.

In ambienti produttivi digitalizzati, dove IT e OT convergono, algoritmi di machine learning possono intercettare deviazioni nei flussi di rete o nei sistemi MES prima che l’incidente diventi fermo impianto.

Ma la stessa tecnologia è utilizzata dagli attaccanti per automatizzare la ricerca di vulnerabilità, generare codice malevolo più sofisticato e costruire campagne di phishing iper-personalizzate.

L’intersezione tra NIS2, GDPR e Regolamento europeo sull’Intelligenza Artificiale (AI Act) introduce un nuovo livello di responsabilità per le imprese. Se i sistemi AI utilizzati in ambito cybersecurity influenzano infrastrutture critiche o processi produttivi regolati, devono rispettare requisiti di gestione del rischio, documentazione tecnica, supervisione umana e monitoraggio continuo delle performance.

Scopri di più sull’AI ACT

Per le aziende farmaceutiche questo significa integrare la governance dell’AI nei sistemi qualità e nei modelli di compliance esistenti, evitando che la sicurezza automatizzata diventi un punto cieco regolatorio.

L’intelligenza artificiale non è solo una leva tecnologica: è un nuovo oggetto di compliance.

Lo sai che la formazione sull’AI ACT è obbligatoria? Scopri il corso on-demand che MakingLife ha ideato per il settore farmaceutico e che ti permette di assolvere all’obbligo formativo. 

Da costo IT a asset strategico

Per anni la sicurezza informatica è stata percepita come costo tecnico. Oggi è una leva competitiva.

Un’azienda capace di dimostrare:

  • robustezza infrastrutturale;
  • compliance normativa;
  • continuità operativa garantita;
  • gestione trasparente degli incidenti;

diventa partner affidabile per investitori, enti regolatori e stakeholder sanitari.

Nel settore farmaceutico, dove fiducia e affidabilità sono capitale reputazionale, la cybersecurity è parte dell’identità industriale.

Oltre l’emergenza

I dati di gennaio 2026 non raccontano un picco, ma una normalità strutturale. La domanda non è se un attacco avverrà, ma quando e con quale impatto.

Per pharma e sanità la vera sfida non è solo proteggersi, ma costruire sistemi resilienti, capaci di assorbire l’urto e continuare a funzionare. In un contesto in cui cybersecurity, intelligenza artificiale e regolazione europea si intrecciano, la sicurezza digitale non è più una funzione tecnica.

È una componente strutturale della strategia industriale.