Salute-ISAC Hacking Healthcare 4-14-2026

Questa settimana, Salute-ISAC^®Hackeraggio sanitario^® Questo studio analizza il bilancio presidenziale recentemente pubblicato e i relativi documenti di giustificazione al Congresso, redatti dalla Cybersecurity and Infrastructure Security Agency (CISA) e dal Dipartimento della Salute e dei Servizi Umani (HHS). Spieghiamo il contenuto di questi documenti, esaminiamo gli aspetti rilevanti per la sicurezza informatica nel settore sanitario e forniamo il contesto necessario per una corretta interpretazione.

Come promemoria, questa è la versione pubblica del blog Hacking Healthcare. Per ulteriori analisi approfondite e opinioni, diventa membro di H-ISAC e ricevi la versione TLP Amber di questo blog (disponibile nel Member Portal).

Versione PDF:

Versione del testo:

Bentornati a Hacking Healthcare^® !

Cosa potrebbe significare la richiesta di bilancio federale per l'anno fiscale 2027 dell'amministrazione Trump per la sicurezza informatica del settore sanitario

La scorsa settimana, l'amministrazione Trump ha pubblicato il bilancio presidenziale per l'anno fiscale 2027 (FY27), e i dipartimenti e le agenzie federali hanno pubblicato le relative giustificazioni di bilancio presentate al Congresso. Sebbene questi documenti non siano legalmente vincolanti e non stabiliscano il bilancio federale, svolgono un ruolo cruciale nel processo di stanziamento dei fondi e indicano le priorità politiche e le intenzioni dell'amministrazione Trump.

Qual è il bilancio del Presidente?

In genere, il bilancio del Presidente è un documento consegnato al Congresso all'inizio dell'anno che fornisce una panoramica generale degli obiettivi politici del Presidente, una selezione di programmi da prioritizzare per raggiungere tali obiettivi e il budget che l'amministrazione ha stabilito essere necessario per realizzarli. Trump ha pubblicato il suo nuovo bilancio di 92 pagine per l'anno fiscale 27 il 3 aprile.

Che cosa sono le giustificazioni di bilancio del Congresso?

Le giustificazioni di bilancio del Congresso sono documenti preparati dai dipartimenti e dalle agenzie federali a sostegno o a "giustificazione" della richiesta di bilancio del Presidente per la loro organizzazione. Questi documenti specificano l'ammontare dei fondi richiesti, le finalità di spesa, l'importanza di tali attività e i risultati attesi. Il Congresso utilizza quindi questo documento per esaminare e valutare la richiesta, confrontarla con le spese passate e decidere se approvare o modificare i finanziamenti.

Cosa prevede il bilancio presidenziale per l'anno fiscale 27?

Russell Vought, direttore dell'Ufficio di gestione e bilancio (OMB), ha redatto l'introduzione del bilancio presidenziale, che si configura come un messaggio al Congresso. Nell'introduzione si legge che "Il bilancio 2027 si basa sulla visione del Presidente, continuando a contenere la spesa non destinata alla difesa e a riformare il governo federale".^[I] Prosegue affermando che "il bilancio propone un taglio del 10% rispetto ai livelli non legati alla difesa del 2026", prima di sottolineare quanto il bilancio si concentri sulle questioni di sicurezza nazionale.

Dopo l'introduzione, seguono delle suddivisioni di alto livello dei dipartimenti e delle agenzie. I due più rilevanti per i membri di Health-ISAC sono il Dipartimento per la Sicurezza Interna (DHS), per la sua sezione sulla CISA, e l'HHS. Queste sezioni includono quanto segue:

• CISA—Il bilancio proposto dal Presidente prevede una riduzione di 707 milioni di dollari per il budget della CISA. Il linguaggio di questa sezione continua a riflettere la volontà dell'amministrazione Trump di rimodellare e riorientare la missione e l'organizzazione della CISA verso la difesa delle reti federali e la protezione e resilienza delle infrastrutture critiche. Gran parte del testo di questa sezione sembra essere stato copiato e incollato direttamente dalla versione dell'anno scorso e critica l'espansione incontrollata della missione, i programmi duplicati e la politicizzazione dell'agenzia.^[Ii] [Iii]
• HHS—Il bilancio proposto per l'HHS “richiede 111.1 miliardi di dollari di autorizzazione di bilancio discrezionale… una diminuzione di 15.8 miliardi di dollari, ovvero del 12.5%, rispetto al livello approvato nel 2026”.^[Iv] La priorità politica generale sostenuta in questa sezione è "Rendere l'America di nuovo sana" (Make America Healthy Again - MAHA). Tuttavia, la voce più rilevante per i membri di Health-ISAC è probabilmente il taglio proposto di 356 milioni di dollari all'Administration for Strategic Preparedness and Response (ASPR). Gran parte di questo taglio viene giustificato con il ritorno dell'ASPR alle sue funzioni principali, allontanandola dalle responsabilità ampliate legate alla risposta al COVID-19.

Sebbene le riduzioni di bilancio proposte per HHS e CISA appaiano alquanto preoccupanti, il bilancio del Presidente è strategico e di ampio respiro. Per comprendere in che modo le riduzioni di bilancio proposte potrebbero influire sui programmi di sicurezza informatica e resilienza pertinenti, è necessario consultare le giustificazioni congressuali dei vari dipartimenti.

Cosa affermano le giustificazioni di bilancio del Dipartimento della Salute e dei Servizi Umani (HHS) e della Commissione per l'Intelligence della Sicurezza Interna (CISA) presentate al Congresso?

Per avere un quadro più chiaro di come verrebbe attuato il bilancio del Presidente, le giustificazioni di bilancio del Congresso per l'HHS e la CISA forniscono molte più informazioni.

• CISA—Il documento di 279 pagine della CISA, dedicato alla giustificazione del bilancio da parte del Congresso, fornisce una ripartizione completa delle voci da cui proverrebbero i tagli di bilancio proposti, pari a 700 milioni di dollari. Tra le voci di bilancio e di politica più rilevanti figurano:
  • Il nuovo organico di base è di 2,865 dipendenti. Si tratta di un calo rispetto ai 3,732 dipendenti registrati alla fine dell'amministrazione Biden e rappresenta una perdita di 206 posizioni nella Divisione Cybersecurity, 225 nella Divisione Integrated Operations e, in sostanza, l'intera Divisione Stakeholder Engagement. Le riduzioni di personale incidono per circa 360.5 milioni di dollari sulla riduzione di bilancio.
  • Un aumento di 5 milioni di dollari per l'analisi e la pianificazione a supporto dello sviluppo di un Registro Nazionale dei Rischi, che sosterrà il lavoro continuo di identificazione dei rischi per le infrastrutture e i sistemi nazionali, lo sviluppo di scenari e valutazioni di rischio specifici e la presentazione di rischi selezionati in un rapporto che includerà una rappresentazione visiva per confrontare le conseguenze e la probabilità o plausibilità dei rischi l'uno rispetto all'altro. Questa attività era stata richiesta nel precedente ordine esecutivo del Presidente Trump. Raggiungere l'efficienza attraverso la preparazione a livello statale e locale..
  • Una riduzione di bilancio di 9.8 milioni di dollari per il programma Joint Cyber ​​Defense Collaborative (JCDC).
  • Priorità per la copertura e il finanziamento dei coordinatori statali per la sicurezza informatica della CISA, affinché operino come personale di supporto alla sicurezza informatica assegnato a livello federale a livello statale, con il compito di contribuire al rafforzamento delle difese locali, guidare la risposta coordinata e supportare gli sforzi di recupero di fronte all'escalation delle minacce informatiche.
  • Un modesto aumento dei finanziamenti e del personale per ampliare il supporto di collegamento nei settori non gestiti dalla CISA nell'ambito del programma SRMA, inclusi 8 nuovi incarichi di collegamento per la gestione del rischio settoriale nei settori in cui la CISA non è l'agenzia di riferimento per la gestione del rischio settoriale (SRMA).
  • La definizione esplicita delle priorità per contrastare le minacce poste dalla Repubblica Popolare Cinese al governo e alle infrastrutture critiche. Ciò include la condivisione di informazioni.
• HHS: ASPR—Il documento di 62 pagine sulla giustificazione del bilancio congressuale dell'ASPR mostra una riduzione complessiva di circa 355 milioni di dollari e ulteriori spostamenti del budget rimanente. Il programma di preparazione e recupero sanitario subisce un'enorme riduzione, passando da circa 305 milioni di dollari a poco meno di 30 milioni di dollari, il che sembra avere un impatto sugli accordi di cooperazione del Programma di preparazione ospedaliera (HPP), sull'Accordo di cooperazione del sistema regionale di risposta sanitaria alle catastrofi (RDHRS), sulle attività di assistenza traumatologica, sulle attività e operazioni di supporto alla preparazione e al recupero sanitario, sulla mitigazione e il recupero a livello comunitario e sul programma TRACIE (Technical Resources, Assistance Center, and Information Exchange). Tuttavia, il documento evidenzia che il budget per la sicurezza informatica e la protezione delle infrastrutture (CIP) dovrebbe rimanere invariato rispetto ai due esercizi finanziari precedenti.^[V] Il documento prosegue evidenziando i quasi 2,000 incidenti di sicurezza informatica che il CIP ha analizzato tra la fine del 2024 e la fine del 2025 e annuncia un nuovo modulo per il suo toolkit di identificazione del rischio e criticità del sito (RISC) che verrà rilasciato nel 2026, in linea con il NIST CSF 2.0 e con gli obiettivi di prestazione in materia di sicurezza informatica (CPG) del settore sanitario e della sanità pubblica.
• HHS: Ufficio del Segretario—Il documento di 190 pagine del Congresso a giustificazione del bilancio per l'Ufficio del Segretario include alcune proposte di riorganizzazione dipartimentale.^[Vi] Secondo il documento, l'Ufficio per i diritti civili (OCR), l'Ufficio per le udienze e gli appelli Medicare, il Consiglio d'appello dipartimentale, l'Ufficio per la protezione della ricerca umana, l'Ufficio per la protezione della ricerca sugli animali e l'Ufficio per l'integrità della ricerca confluiranno nell'Ufficio del Sottosegretario per i diritti civili e gli appelli (ASCRA). Questa ristrutturazione sembra simile a una proposta dello scorso marzo che prevedeva il passaggio di alcuni di questi uffici sotto la supervisione di un nuovo Sottosegretario per l'applicazione delle norme.^[Vii]

  Il documento prosegue descrivendo come ASCRA "garantirà la conformità legale attraverso l'applicazione e l'aggiudicazione nell'ambito dei servizi sanitari e sociali" e come "il consolidamento proposto è concepito per semplificare la supervisione, migliorare il coordinamento tra applicazione e aggiudicazione, fornire formazione e orientamento sulle normative pertinenti e rafforzare la capacità di HHS di adempiere ai propri obblighi legali".^[Viii]

  La richiesta di bilancio del Presidente per l'anno fiscale 27 per l'ASCRA è di poco superiore a 241 milioni di dollari, che, secondo il documento, rappresenta un aumento di quasi 5 milioni di dollari rispetto al livello approvato per l'anno fiscale 26. Inoltre, il totale "include una previsione di 10,000,000 di dollari di fondi derivanti da accordi monetari civili, utilizzati dall'Ufficio per i Diritti Civili per rafforzare le attività di applicazione dell'HIPAA".^[Ix]

• HHS: FDA—Il documento di 91 pagine presentato al Congresso per giustificare il bilancio della Food and Drug Administration (FDA) non fa alcun riferimento esplicito alla sicurezza informatica.^[X] Tuttavia, il documento include una sezione dedicata ai dispositivi medici e alla salute radiologica, che comprende anche il Centro per i dispositivi medici e la salute radiologica (CDRH). Questa sezione evidenzia un modesto aumento di bilancio per i dispositivi medici e la salute radiologica, da poco più di 913 milioni di dollari, cifra stanziata per l'anno fiscale 26, a poco più di 1 miliardo di dollari. La FDA giustifica questo aumento affermando di essere "ugualmente impegnata a individuare e affrontare tempestivamente i rischi per la sicurezza al fine di proteggere i pazienti da eventuali danni e garantire che l'agenzia rimanga costantemente la prima tra le agenzie regolatorie mondiali nell'identificare e intervenire sui segnali di sicurezza relativi ai dispositivi medici".^[Xi]

Azione e analisi
**Incluso con l'iscrizione a Health-ISAC**

^[I] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

^[Ii] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

^[Iii]https://www.whitehouse.gov/wp-content/uploads/2025/05/Fiscal-Year-2026-Discretionary-Budget-Request.pdf

^[Iv] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

^[V] https://aspr.hhs.gov/AboutASPR/BudgetandFunding/Documents/FY2027/ASPR-cj.pdf

^[Vi] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

^[Vii] https://www.hhs.gov/press-room/hhs-restructuring-doge.html

^[Viii] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

^[Ix] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

^[X] https://www.fda.gov/media/191778/download?attachment

^[Xi] https://www.fda.gov/media/191778/download?attachment

^[Xii] https://www.meritalk.com/articles/trump-budget-slashes-cisa-science-funding-boosts-space-mission/

^[Xiii]https://www.whitehouse.gov/wp-content/uploads/2025/05/Fiscal-Year-2026-Discretionary-Budget-Request.pdf

^[Xiv]https://federalnewsnetwork.com/budget/2025/06/house-appropriators-soften-cisa-cuts-call-for-dhs-contractor-cyber-readiness-pilot/

• Risorse e notizie correlate
• Salute-ISAC Hacking Healthcare 5-11-2026
• Manuale del CISO Vol. 2 – Vulnerabilità del token 0Auth che ha causato una violazione di Salesforce
• Newsletter mensile – Maggio 2026
• Analisi trimestrale delle minacce – primo trimestre 1
• Cosa rivela l'attacco Stryker sulla sicurezza dei dispositivi medici
• Politiche e misure di salvaguardia per l'uso sicuro dell'IA
• HSCC presenta la guida sui rischi dell'IA di terze parti e sulla trasparenza della catena di fornitura.
• Anthropic svela il magico dio informatico zero-day
• Il settore sanitario nel mirino: le minacce informatiche legate all'Iran aumentano i rischi per ospedali, dispositivi medici e filiere di approvvigionamento per l'assistenza sanitaria.
• Health-ISAC segnala lacune nella resilienza informatica e nella risposta agli incidenti…