Il tema della cybersecurity è sempre più importante oggigiorno soprattutto in ambiti critici come la sanità pubblica e il settore medicale: per questo motivo l’Unione Europea intende rafforzare i sistemi informatici per garantire che tutti possano usufruire servizi e utilizzare strumenti digitali in modo sempre più sicuro e affidabile.

Fin dal 2020 la Commissione europea e il Servizio europeo per l’Azione Esterna (SEAE) hanno lavorato per elaborare una strategia dell’UE in materia di cybersecurity al fine di rafforzare la resilienza dell’Europa a fronte delle minacce informatiche, poi adottata a marzo del 2021.

Il 27 dicembre 2022 è stata pubblicata la Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, che, dopo il recepimento da parte degli Stati Membri, modificherà dal 18 ottobre 2024 il Regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e abrogherà la direttiva (UE) 2016/1148 (direttiva NIS 2).

La Direttiva (UE) 2022/2555 stabilisce all’art.1 obblighi per gli Stati Membri di adottare strategie nazionali in materia di cybersicurezza e di designare o creare Autorità Nazionali Competenti, autorità di gestione delle crisi informatiche, punti di contatto unici in materia di sicurezza (punti di contatto unici) e team di risposta agli incidenti di sicurezza informatica.

Il provvedimento definisce inoltre misure in materia di gestione dei rischi di cybersicurezza e obblighi di segnalazione per i soggetti che operano in settori ad alta criticità, tra cui è compreso quello medicale, o comunque critici, nonché obblighi di condivisione delle informazioni e comunicazioni (vigilanza) sulla cybersicurezza.

La Direttiva ha forte impatto anche nel settore sanitario e medicale, in quanto settore ad alta criticità secondo l’Allegato I Dir.2022/2555, e si applica a diversi soggetti interessati tra cui:

  • Laboratori di riferimento designati dall’UE per sostegno ai laboratori nazionali (articolo 15 Reg. (UE) 2022/2371).
  • Fabbricanti di Dispositivi Medici considerati critici durante un’emergenza di sanità pubblica. L’elenco dei dispositivi critici per l’emergenza di sanità pubblica è stabilito dall’articolo 22 del regolamento (UE) 2022/123.
  • Fabbricanti di Dispositivi Medici (articolo 2, punto 1 MDR (UE) 2017/745) e di Dispositivi Medico-Diagnostici in Vitro (articolo 2, punto 2 IVDR (UE) 2017/746) ad eccezione dei fabbricanti Dispositivi Medici considerati critici durante un’emergenza di sanità pubblica.

Il livello di applicazione della cybersecurity nel settore medicale ha già avuto un primo sviluppo con i regolamenti MDR (UE) 2017/745 e IVDR (UE) 2017/746 che, nell’Allegato I, definiscono la necessità di trattare i dati personali in modo adeguato. Di certo la pubblicazione della direttiva 2022/2555 porta un punto di riferimento importante per la dimostrazione della conformità ai requisiti regolatori imposti per la sicurezza dei dati.

Per rimanere sempre informato sugli aggiornamenti in merito requisiti e cambiamenti regolatori in Europa e nel mondo, iscriviti alla nostra Newsletter.

>>> Attraverso i nostri servizi di consulenza strategico-regolatoria, supporto alla certificazione CE e ove necessario, di Mandatario Europeo, Thema può supportarti nell’adempimento ai requisiti richiesti dai Regolamenti Dispositivi Medici MDR (UE) 2017/745, anche in materia di cybersecurity.

Contattaci per informazioni.

Fonti: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32022L2555&qid=1675353764565

https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32022L2555&from=EN