L'obiettivo della certificazione HDS è quello di rafforzare la sicurezza dei dati sanitari dei cittadini francesi e di promuovere un clima di fiducia intorno alla sanità elettronica e al monitoraggio medico dei pazienti. Si applica a tutte le organizzazioni, pubbliche o private, che ospitano, utilizzano o conservano dati sanitari. In risposta all'aumento delle minacce informatiche, l'Agence du Numérique en Santé ha lanciato una revisione dello standard HDS nel 2023, in collaborazione con utenti e fornitori di servizi. Questa nuova versione introduce maggiori requisiti in termini di sovranità e trasparenza.
Abbiamo chiesto a Marguerite Brac de la Perrière, avvocato specializzato in digitale e sanità e partner di Numeum, e a Giuliano Ippoliti, direttore di Cybersecurity di Cloud Temple, di fare chiarezza sui nuovi standard in questa intervista condotta a SantExpo 2024.
Qual è la posizione del repository HDS rispetto a SecNumCloud?
Giuliano La conformità dell'HDS si colloca a metà strada tra la conformità alla ISO 27 001 e la SecNumCloud in termini di requisiti e complessità, ma il passo necessario per passare da ISO 27 001 a HDS è inferiore a quello necessario per passare da HDS a SecNumCloud.
La principale differenza tra HDS e SecNumCloud è il famoso capitolo 19.6 di SecNumCloud, che introduce requisiti molto stringenti in materia di sovranità, in particolare le clausole relative all'azionariato delle organizzazioni che richiedono la qualificazione, che devono avere la maggioranza in Francia.
D'altra parte, l'HDS è costruito sulla stessa base di conformità della ISO 27001. È importante ricordare che la ISO 27001 è uno standard di sicurezza ispirato al mondo della qualità, ma che non obbliga le entità certificate ad avere un livello di sicurezza necessariamente all'avanguardia.
Nella dichiarazione di applicabilità della norma ISO 27 001 è possibile citare misure attualmente in corso di implementazione o che si prevede di implementare in futuro. SecNumCloud, invece, alza l'asticella richiedendo la conformità agli standard tecnici ANSSI.
Non ho l'impressione che il repository HDS si spinga abbastanza in là.
Margherita È vero che questo standard è spesso criticato per la sua difficile interpretazione da parte degli enti certificatori, che hanno difficoltà ad armonizzare le loro valutazioni. Di conseguenza, ci ritroviamo con fornitori di hosting i cui livelli di maturità non sono necessariamente identici.
Giuliano È proprio questo il punto. La ISO 27 001 offre un margine di manovra relativamente significativo. Per essere conformi alla ISO 27 001, è necessario dimostrare che il livello di sicurezza raggiunto è coerente con gli obiettivi di sicurezza dell'azienda. gestione senior (gestione generale). Tuttavia, il gestione senior è sovrano per un livello e un obiettivo di sicurezza coerente con la propria attività. Questo livello di sicurezza non sarà lo stesso per una centrale nucleare o per un editore di software. La sola conformità alla norma ISO 27001 non fornisce una completa rassicurazione sul raggiungimento di un livello di sicurezza molto elevato. HDS ci permette di andare oltre, grazie soprattutto ai requisiti di trasparenza, sovranità e rispetto dei dati personali. Ma è chiaro che i requisiti di SecNumCloud sono ancora lontani.
E il rapporto tra le normative francesi e quelle europee?
Margherita Per quanto riguarda l'aspetto più europeo, in Francia abbiamo sempre avuto norme settoriali specifiche che solo noi padroneggiamo e conosciamo, ma che imponiamo agli attori che operano sul nostro territorio.
Ciò solleva la questione se vedremo un allineamento con l'EUCS in particolare.
Giuliano La Francia è un pioniere nel campo della sicurezza informatica, in particolare in relazione al cloud e al quadro SecNumCloud, molto ambizioso in termini di requisiti di sicurezza e sovranità.
Dal punto di vista di un cloud provider come Cloud Temple, l'armonizzazione europea è estremamente auspicabile. Ci darebbe l'opportunità di presentarci al mercato europeo con garanzie di sicurezza che parlano a tutti gli Stati membri.
Stiamo seguendo molto da vicino i lavori di convalida del sistema di riferimento EUCS, che mira a realizzare questa armonizzazione in Europa.Ci auguriamo che venga mantenuta la posizione difesa dalla Francia sulla necessità di una forte sovranità.
Sembra che la Francia sia in minoranza nel sostenere questa posizione molto ferma sulla sovranità. È quindi possibile che il sistema di riferimento EUCS preveda il massimo livello di sicurezza per essere coerente con le offerte di operatori soggetti a leggi extraeuropee ma stabiliti in Europa.
Margherita È vero che la materia è complessa. Tuttavia, il 10 luglio 2023, la Commissione europea ha emesso una decisione di adeguatezza sulle garanzie presentate dagli Stati Uniti in materia di trattamento dei dati, anche se la storia ha già invalidato gli accordi eventualmente stipulati in più occasioni.
La questione rimane fragile e occorre attuare misure per contrastare l'applicazione di leggi extraterritoriali in Europa. Per quanto riguarda la sovranità, si tratta di un termine che viene prima di tutto dalla Francia e poi dall'Europa. Ma quando si parla di sovranità, ad esempio negli Stati Uniti, non si pensa alla difesa dei dati e degli attori europei, ma piuttosto a nozioni di difesa militare.
Abbiamo mantenuto nozioni un po' "nazionaliste" o "europeiste", in mancanza di un termine migliore. È interessante notare che in Europa esiste una forma di protezionismo, ma che questo protezionismo, per azione capillare, colpisce tutti gli attori.
Ad esempio, con la nostra legge sulla protezione dei dati in Francia, abbiamo ispirato il RGPD, che è nato dopo 40 anni di riflessione (dal 1978 al 2018).
Possiamo quindi constatare che, con un'azione capillare, gli operatori europei si stanno conformando ai nostri standard. Forse SecNumCloud influenzerà anche il dibattito sull'adozione dell'EUCS in un modo o nell'altro. In ogni caso, lo speriamo.
Per quanto riguarda il RGPD, è stata introdotta un'armonizzazione delle informazioni e delle clausole che devono essere incluse nei contratti. Può fornirci maggiori dettagli?
Giuliano Esiste l'obbligo di menzionare nel contratto la base giuridica per i trasferimenti di dati al di fuori dell'Europa. Ciò significa garantire l'esistenza di clausole contrattuali formali con i subappaltatori stabiliti al di fuori dell'Unione Europea. Vi è poi l'obbligo di tenere conto dei diritti che sono stati convalidati dal RGPD: diritto di accesso ai dati, diritto di rettifica, rettifica, oblio, ecc. Questo è certamente legato al fatto che la vecchia versione del repository risaliva a prima dell'entrata in vigore del RGPD. Questa integrazione chiarisce la conformità al RGPD e colma effettivamente una lacuna che era propria del vecchio archivio.
Margherita Le norme hanno cercato di tenere conto di tutti gli argomenti e le clausole che devono essere incluse nei contratti. Gli organismi di certificazione potrebbero essersi trovati in difficoltà quando si è trattato di sanzionare il fatto che i fascicoli loro presentati mancavano di clausole relative al RGPD, anche se non spetta a loro, né alle norme, stabilirlo, trattandosi di un regolamento con applicazione europea. Si tratta quindi di un'interessante guida per i giocatori su come redigere i contratti con i propri clienti.
Può fare chiarezza sui PAMS (Prestataires d'Administration et de Maintenance Sécurisées)?
Giuliano Lo standard SecNumCloud copre le attività di hosting, ossia la fornitura di servizi IaaS, PaaS o SaaS. Non copre affatto le attività di outsourcing. Tecnicamente, non è vietato implementare infrastrutture su un cloud qualificato SecNumCloud e farle gestire da un centro offshore, al di fuori dell'Europa, o con pratiche di amministrazione inferiori agli standard generali di sicurezza.
Il repository PAMS colma questa lacuna. Sarà l'equivalente di SecNumCloud per le attività di outsourcing. La combinazione di SecNumCloud con PAMS, a cui Cloud Temple sta puntando, fornirà un maggiore livello di fiducia nella conformità dell'intero repository HDS. Con l'arrivo di PAMS, ci si potrebbe chiedere se sarà necessario mantenere il repository HDS, che rimane un po' a metà strada tra ISO 27 001 e SecNumCloud.
Interventi tenuti in occasione dei Cloud & Santé Talks organizzati da Cloud Temple a SantExpo 2024.
Scoprite l'altra parte di questo scambio in questo articolo: Le novità del nuovo standard HDS