Glossario Sanitario

L’Agenzia per la Cybersicurezza Nazionale (ACN) è l’autorità italiana competente in materia di cybersicurezza, istituita con D.L. 14 giugno 2021, n. 82. Con il D.Lgs. 138/2024 ACN diventa l’autorità nazionale designata ai sensi della Direttiva NIS2. ACN gestisce la registrazione dei soggetti essenziali e importanti, riceve le notifiche di incidente significativo (Art. 25), pubblica linee guida operative, conduce attività di vigilanza e ispezione e ha potere sanzionatorio nei confronti delle organizzazioni inadempienti. L’interlocuzione con ACN, in particolare in caso di incidente, è una delle competenze chiave richieste al Management e al CISO dei soggetti NIS2.

L’aderenza terapeutica indica la misura in cui il comportamento di una persona – nell’assunzione di farmaci, nel seguire una dieta o ancora, nel modificare lo stile di vita – corrisponde alle indicazioni e raccomandazioni del proprio medico. Maggiore è l’aderenza terapeutica e maggiori sono le chance di ottenere i risultati attesi dalla terapia e prevenire o ridurre possibili complicanze. In ultimo, un’adeguata aderenza terapeutica può contribuire a ridurre i costi sanitari per chi li sostiene tipicamente il paziente, il sistema sanitario e/o una assicurazione.

Gli Allegati I e II del D.Lgs. 138/2024 elencano i settori di attività e le tipologie di servizio che fanno entrare un’organizzazione nel perimetro NIS2. L’Allegato I — settori ad alta criticità — comprende energia, trasporti, banche, infrastrutture dei mercati finanziari, sanità, acqua potabile e di scarico, infrastrutture digitali, gestione dei servizi TIC B2B, pubblica amministrazione e spazio. L’Allegato II — altri settori critici — comprende servizi postali, gestione dei rifiuti, prodotti chimici, alimenti, manifatturiero (dispositivi medici, computer ed elettronica, macchinari, autoveicoli e altri mezzi di trasporto), fornitori di servizi digitali e ricerca scientifica. Identificare correttamente l’appartenenza ad uno degli Allegati è il primo passo della gap analysis NIS2: insieme alla dimensione aziendale, determina se l’organizzazione è fuori perimetro, soggetto importante o soggetto essenziale.

Una API (Application Programming Interface) è un insieme di regole e protocolli che consente a diverse applicazioni software di comunicare tra loro, facilitando lo scambio di dati e l’accesso a determinate funzionalità. Le API permettono di integrare diversi sistemi: in ambito sanitario, ad esempio, permettono a più applicativi di accedere alla medesima cartella clinica elettronica, migliorando l’efficienza e la continuità delle cure.

L’Art. 20 del D.Lgs. 138/2024 disciplina la governance della cybersicurezza nei soggetti NIS2 e introduce due obblighi distinti. Il primo riguarda l’organo di gestione (CdA, Amministratori Delegati, dirigenti): deve approvare le misure di gestione del rischio cybersecurity adottate dall’organizzazione, supervisionarne l’attuazione e risponde personalmente delle violazioni. La responsabilità è individuale e non delegabile. Il secondo riguarda la formazione: l’organizzazione deve garantire periodicità e adeguatezza della formazione in cybersicurezza, sia per il Management sia per il personale operativo, in misura proporzionata al ruolo e all’esposizione al rischio. La formazione deve essere documentata e verificabile.

L’Art. 21 del D.Lgs. 138/2024 elenca le misure tecniche e organizzative minime che i soggetti NIS2 devono adottare per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete utilizzati nelle proprie attività. Le misure includono: politiche di analisi dei rischi e sicurezza dei sistemi informatici, gestione degli incidenti, continuità operativa (backup, disaster recovery, gestione delle crisi), sicurezza della catena di approvvigionamento, sicurezza nell’acquisizione, sviluppo e manutenzione dei sistemi, valutazione dell’efficacia delle misure di gestione del rischio, igiene informatica di base e formazione, crittografia, sicurezza delle risorse umane, controllo degli accessi e gestione degli asset, autenticazione a più fattori e comunicazioni protette. L’adozione delle misure deve essere proporzionata al rischio e documentata in modo da poter essere mostrata in caso di ispezione di ACN.

L’Art. 25 del D.Lgs. 138/2024 disciplina la procedura di notifica degli incidenti significativi all’Agenzia per la Cybersicurezza Nazionale (ACN). La procedura prevede tre passaggi temporali, tutti calcolati dal momento in cui l’organizzazione ha avuto conoscenza dell’incidente: pre-allerta entro 24 ore (con indicazione dell’eventuale natura malevola e dell’impatto transfrontaliero), notifica completa entro 72 ore (con valutazione iniziale, indicatori di compromissione e misure di mitigazione adottate o pianificate) e relazione finale entro un mese (analisi delle cause, gravità, impatto, misure adottate, misure di mitigazione in corso). Il mancato o tardivo adempimento espone l’organizzazione alle sanzioni dell’Art. 38 e può incidere sul giudizio di adeguatezza complessiva delle misure ex Art. 21.

L’audit clinico è un processo sistematico di valutazione della pratica assistenziale rispetto a standard espliciti e condivisi, con l’obiettivo di migliorare qualità, sicurezza ed esiti di cura. In ambito sanitario l’audit clinico segue tipicamente un ciclo continuo: definizione del tema, raccolta dati, confronto con standard, analisi degli scostamenti, piano di miglioramento e rivalutazione. Quando è ben progettato, l’audit clinico supporta la governance clinica, la riduzione della variabilità ingiustificata e il miglioramento della patient safety.

Il Comitato Valutazione Sinistri (CVS) è un organismo multidisciplinare che, nelle strutture sanitarie e sociosanitarie, analizza i sinistri e i reclami con potenziale responsabilità professionale o organizzativa. Il CVS valuta dinamica dell’evento, impatto clinico-legale, possibili cause e misure correttive, supportando la gestione del rischio clinico e il dialogo con assicurazioni, uffici legali e direzione sanitaria. Una corretta attività del CVS consente di integrare prevenzione, gestione dei contenziosi e apprendimento organizzativo dai casi avversi.

Gli eventi sentinella sono eventi avversi di particolare gravità, potenzialmente evitabili, che segnalano un serio malfunzionamento del sistema assistenziale e richiedono analisi immediata. In sanità, gli eventi sentinella possono includere, ad esempio, errori in sala operatoria, cadute gravi, suicidi in degenza o altri eventi con esito severo per il paziente. La segnalazione e l’analisi strutturata degli eventi sentinella sono centrali per la sicurezza delle cure e per la prevenzione di recidive tramite azioni correttive misurabili.

La FMEA (Failure Mode and Effects Analysis) e la FMECA (Failure Mode, Effects and Criticality Analysis) sono metodologie proattive di analisi del rischio usate per identificare possibili modalità di guasto in processi, dispositivi o percorsi clinici. La FMEA valuta il potenziale effetto del guasto; la FMECA aggiunge la dimensione di criticità, aiutando a prioritizzare gli interventi in base a probabilità, gravità e rilevabilità. Nel risk management sanitario, FMEA/FMECA permettono di prevenire eventi avversi prima che si verifichino, migliorando affidabilità e sicurezza dei processi clinico-assistenziali.

Le ICA (Infezioni Correlate all’Assistenza) sono infezioni acquisite durante il percorso di cura in ospedale, in strutture territoriali o in altri setting assistenziali, non presenti né in incubazione al momento dell’ingresso. Le ICA rappresentano un indicatore rilevante di qualità e sicurezza delle cure, con impatti clinici, organizzativi ed economici significativi. La prevenzione delle ICA richiede programmi strutturati di infection prevention and control (IPC): igiene delle mani, sorveglianza, antimicrobial stewardship e formazione continua del personale.

Per “incidente significativo” il D.Lgs. 138/2024 (Art. 25) intende un incidente che ha causato o è in grado di causare gravi perturbazioni operative dei servizi o perdite finanziarie per il soggetto interessato, oppure che ha avuto o può avere ripercussioni su altre persone fisiche o giuridiche causando danni materiali o immateriali considerevoli. La qualificazione come “significativo” è soggetta a soglie e criteri operativi che ACN ha pubblicato in apposite linee guida (Determinazioni ACN). È questa qualificazione che fa scattare la procedura di notifica 24h / 72h / 1 mese e quindi l’obbligo di interlocuzione con ACN. L’organizzazione deve essere in grado di rilevare, classificare e qualificare correttamente l’incidente: l’orologio dei termini decorre dal momento della conoscenza, non dal momento dell’evento.

Con LASA (Look-Alike/Sound-Alike) si indicano farmaci con nomi o confezioni simili, facilmente confondibili per aspetto grafico o somiglianza fonetica. Il rischio LASA aumenta la probabilità di errori in prescrizione, preparazione, dispensazione e somministrazione, con possibili conseguenze rilevanti per la sicurezza del paziente. Le strategie di prevenzione includono standardizzazione, Tall Man Lettering, doppio controllo indipendente e supporti digitali di decision support in farmacia e nei reparti.

Il near miss (quasi evento) è un incidente che avrebbe potuto causare un danno al paziente ma che, per circostanze favorevoli o intercettazione tempestiva, non ha prodotto conseguenze cliniche. I near miss sono una fonte preziosa di apprendimento organizzativo perché rendono visibili vulnerabilità di processo prima che si trasformino in eventi avversi reali. La raccolta sistematica e non punitiva dei near miss è una pratica chiave nei sistemi maturi di patient safety e clinical risk management.

La NIS2 è la Direttiva (UE) 2022/2555 del Parlamento Europeo e del Consiglio del 14 dicembre 2022, recepita in Italia con il D.Lgs. 4 settembre 2024, n. 138. Sostituisce la precedente Direttiva NIS (2016/1148) ampliando in modo significativo perimetro, obblighi e regime sanzionatorio. La NIS2 introduce una distinzione tra soggetti “essenziali” e “importanti”, basata sul settore di attività (Allegati I e II) e sulla dimensione dell’organizzazione, e impone obblighi di gestione del rischio (Art. 21), notifica degli incidenti (Art. 25) e formazione e responsabilità dell’organo di gestione (Art. 20). Per le organizzazioni in perimetro la NIS2 non è un esercizio formale: è un regime continuativo che richiede policy, processi, evidenze e formazione documentata.

Il PARM (Piano Annuale Risk Management) è il documento di pianificazione con cui una struttura sanitaria definisce obiettivi, azioni, indicatori e responsabilità per la gestione del rischio clinico nell’arco dell’anno. Il PARM integra analisi degli eventi avversi, priorità di sicurezza, formazione del personale, monitoraggio degli indicatori e governance delle misure preventive e correttive. Un PARM efficace allinea direzione, funzioni cliniche e funzioni di supporto su un percorso misurabile di miglioramento continuo della sicurezza delle cure.

Il Patient Engagement (in italiano “coinvolgimento del paziente”), è il coinvolgimento attivo del paziente nel proprio percorso di cura, attraverso la partecipazione informata e collaborativa con i professionisti sanitari. Un buon coinvolgimento del paziente favorisce una maggiore aderenza terapeutica, contribuisce a migliorare gli esiti clinici e in generale, migliora l’esperienza complessiva di cura. Il Digital Patient Engagement (DPE) è un sottoinsieme del Patient Engagement, che prende in considerazione l’utilizzo di risorse digitali nella relazione con il paziente.

L’esperienza del paziente (in inglese Patient Experience, PX) comprende tutte le interazioni che un paziente ha con chi ne ha la cura, dal singolo operatore sanitario all’intero sistema sanitario. Ai fini della Patient Experience rilevano tutti gli aspetti della relazione: aspetti clinici, comunicazioni, organizzazione, etc. L’esperienza, nel suo insieme, determina la percezione complessiva della qualità di cura ricevuta.

I Percorsi Diagnostici Terapeutici Assistenziali (PDTA) sono uno strumento di gestione clinica per la definizione del migliore processo assistenziale finalizzato a rispondere a specifici bisogni di salute, sulla base delle evidenze scientifiche disponibili sull’argomento, adattate al contesto locale, tenute presenti le risorse disponibili. I PDTA sono una risorsa che consente di uniformare l’approccio terapeutico, supportare un processo di miglioria delle cure e, infine, consentire l’ottimizzazione dell’impiego di risorse sanitarie.

I Patient-Reported Experience Measures (PREM), cioè la misura delle esperienze riportate dai pazienti, sono strumenti – tipicamente questionari validati – con cui i pazienti indicano l’esperienza di cura vissuta: accessibilità, comunicazione, empatia, tempi di attesa, coordinamento tra i professionisti della salute e altri aspetti entrano a far parte di un paniere che dà la misura di come il paziente ha percepito l’esperienza. Oggetto d’attenzione dei PREM non è tanto l’esito clinico, ma la qualità dell’interazione e dell’organizzazione lungo il percorso, dal punto di vista del paziente.

I Patient-Reported Outcome Measures (PROM), cioè la misura degli esiti riportati dai pazienti, sono strumenti – tipicamente questionari validati – con cui le persone descrivono direttamente il proprio stato di salute: sintomi, funzionalità, qualità di vita e altri aspetti. I PROM integrano gli esiti clinici “oggettivi” con quello che conta per il paziente, permettendo di misurare l’efficacia percepita di terapie, interventi e percorsi assistenziali. La raccolta dei PROM in momenti prestabiliti – ad esempio prima di un intervento e/o a distanza di 30/60/90/180 giorni – o nel caso di malattie croniche con cadenza periodica, consente di confrontare nel tempo quanto riportato, per migliorare percorsi di cura e altre esperienze sanitarie.

La RCA (Root Cause Analysis) è una metodologia strutturata di analisi retrospettiva utilizzata per individuare le cause profonde di un evento avverso o di un incidente significativo. Diversamente da un approccio centrato sul singolo errore umano, la RCA esamina fattori di sistema: processi, organizzazione, comunicazione, tecnologia, ambiente e cultura. L’obiettivo della RCA è definire azioni correttive sostenibili che riducano il rischio di ricorrenza e migliorino la sicurezza del percorso assistenziale.

Per SaaS si intende un modello di servizio in cui un software, tipicamente accessibile da remoto, si paga in base all’utilizzo che ne viene fatto e agli accordi con il fornitore. Grazie al modello di servizio SaaS, si riducono in maniera considerevole i costi da sostenere inizialmente e i costi infrastrutturali. Inoltre, tipicamente, i software resi disponibili in modalità SaaS sono basati su Cloud e accessibili in qualsiasi momento e da qualsiasi dispositivo.

Il “soggetto essenziale” è una delle due categorie di organizzazioni in perimetro NIS2 introdotte dal D.Lgs. 138/2024. Sono qualificate come essenziali le grandi imprese che operano nei settori ad alta criticità elencati nell’Allegato I (energia, trasporti, banche, infrastrutture dei mercati finanziari, sanità, acqua potabile, infrastrutture digitali, gestione dei servizi TIC B2B, pubblica amministrazione, spazio). I soggetti essenziali sono soggetti al regime di vigilanza più stringente: ispezioni preventive, audit di sicurezza, sanzioni amministrative pecuniarie fino a 10 milioni di euro o al 2% del fatturato annuo mondiale (la misura più alta delle due) e responsabilità personale del Management ai sensi dell’Art. 38.

Il “soggetto importante” è la seconda categoria di organizzazioni in perimetro NIS2. Vi rientrano le medie imprese dei settori dell’Allegato I e le organizzazioni (medie e grandi) dei settori dell’Allegato II del D.Lgs. 138/2024 (servizi postali, gestione dei rifiuti, fabbricazione, produzione e distribuzione di sostanze chimiche, produzione, trasformazione e distribuzione di alimenti, manifatturiero ad alto rischio, fornitori di servizi digitali, ricerca). I soggetti importanti hanno gli stessi obblighi sostanziali (Art. 20, 21, 25) ma sono soggetti a vigilanza ex post (solo dopo segnalazione o incidente) e a sanzioni inferiori: fino a 7 milioni di euro o all’1,4% del fatturato annuo mondiale.

La telemedicina è l’erogazione di servizi sanitari a distanza, tipicamente tramite tecnologie digitali. Nel contesto della telemedicina si individuano molteplici attività, tra cui: Televisita: si tratta di una visita medica a distanza, spesso tramite videoconferenza. Teleconsulto/teleconsulenza: consulto o consulenza medica a distanza, in modalità sincrona o asincrona, tra medici, altri professionisti sanitari e pazienti. Telemonitoraggio: monitoraggio a distanza di parametri vitali del paziente, tipicamente tramite dispositivi digitali. Teleassistenza: servizi di supporto e assistenza a distanza erogati da professionisti sanitari nei confronti di pazienti. Telechirurgia: interventi operatori in cui il chirurgo o i chirurghi che effettuano l’intervento si trovano distanti dal paziente e comandano a distanza dispositivi robotici. Teleriabilitazione: esperienze di riabilitazione in cui i professionisti sanitari possono trovarsi a distanza rispetto al paziente. La telemedicina è una risorsa fondamentale per migliorare la qualità della cura e della sua esperienza, sia per i pazienti che per i professionisti sanitari.

Il telemonitoraggio è un servizio di telemedicina che consente il monitoraggio a distanza di parametri clinici e vitali (ad esempio pressione arteriosa, saturazione, glicemia, frequenza cardiaca) tramite dispositivi connessi. I dati raccolti vengono trasmessi a professionisti sanitari o centrali di controllo, che possono valutare trend, individuare precocemente segnali di peggioramento e intervenire con tempestività. Il telemonitoraggio è particolarmente utile nella gestione delle patologie croniche, nel follow-up post-dimissione e nei modelli di presa in carico territoriale.

Il triage avanzato è un modello evoluto di valutazione iniziale in emergenza-urgenza che, oltre all’attribuzione della priorità, integra raccolta strutturata di dati clinici e attivazione precoce di percorsi diagnostico-terapeutici. Rispetto al triage tradizionale, il triage avanzato punta a ridurre tempi di attesa e ritardi clinicamente rilevanti, migliorando appropriatezza e sicurezza del percorso in Pronto Soccorso. La sua efficacia dipende da protocolli chiari, formazione dedicata e integrazione con sistemi informativi clinici.