La sicurezza informatica è essenziale per prevenire attacchi che potrebbero compromettere la salute dei pazienti e la continuità dei servizi sanitari.
Il Decreto Legislativo 138/2024, in vigore dal 18 ottobre 2024, recepisce la Direttiva UE 2022/2555 (NIS2), introducendo nuovi obblighi di cybersecurity per i fabbricanti di DM. La Direttiva precedente si concentrava sui fornitori di servizi essenziali. La NIS2 amplia il campo d’applicazione e impone misure di sicurezza informatica lungo tutta la filiera.
Principali adempimenti generali.
- Registrazione presso ACN, Autorità per la Cybersicurezza Nazionale: il DL 138/2024 impone la registrazione sulla piattaforma ACN per consentire il censimento dei soggetti operanti nei settori vitali (prima scadenza: 28 febbraio 2025). La mancata registrazione comporta sanzioni amministrative, fino allo 0,1% del fatturato annuo mondiale. Per i fabbricanti, la registrazione è il primo passo verso l’implementazione di adeguate misure di cybersecurity.
- Gestione rischio: entro 18 mesi dall’entrata in vigore del DL, i fabbricanti devono adottare misure tecniche e organizzative adeguate per mitigare i rischi informatici.
- Responsabilità: occorre supervisionare e approvare le strategie di sicurezza informatica, garantendo anche adeguata formazione del personale.
- Notifica incidenti: in caso di incidenti che abbiano un impatto significativo sulla fornitura dei servizi, i fabbricanti sono tenuti a notificarli secondo le modalità e le tempistiche stabilite dal DL.
- Aggiornamento informazioni: è obbligatorio comunicare e aggiornare sulla piattaforma digitale dell’autorità competente NIS un elenco delle proprie attività e dei servizi offerti, assicurando informazioni sempre aggiornate.
Il DPCM 9 dicembre 2024, n.221 ha introdotto la possibilità di chiedere esenzione da alcuni obblighi, a condizione che i sistemi informativi e servizi operino in completa autonomia rispetto a eventuali imprese collegate.
APPLICABILITA’ E GESTIONE AZIENDALE
La NIS2 si applica generalmente ai fabbricanti di Dispositivi Medici, ma le micro e piccole imprese potrebbero beneficiare di esenzioni in base a specifiche condizioni da verificare caso per caso
E’ richiesta l’integrazione delle misure di cybersecurity con normative esistenti come il GDPR e il Decreto 231/01, per garantire la protezione dei dati e dei DM connessi.
.