Il Decreto Legislativo 138/2024, pubblicato sulla Gazzetta Ufficiale del 1° ottobre 2024 ed entrato in vigore il 18 ottobre 2024, recepisce la Direttiva UE 2022/2555 (NIS2), introducendo nuovi obblighi di cybersecurity per i fabbricanti di Dispositivi Medici. Rispetto alla NIS1, che si concentrava sui fornitori di servizi essenziali, la NIS2 amplia il campo d’applicazione, imponendo misure di sicurezza informatica lungo tutta la filiera.

Registrazione e altri adempimenti

Premesso che gli obblighi possono variare a seconda del caso e dell’organizzazione, di seguito vengono riportati i principali adempimenti generali.

1. Registrazione presso l’Autorità per la Cybersicurezza Nazionale (ACN): il Decreto 138/2024 impone la registrazione sulla piattaforma ACN per consentire il censimento dei soggetti operanti nei settori vitali (prima scadenza: 28 febbraio 2025).
   La mancata registrazione comporta sanzioni amministrative, fino allo 0,1% del fatturato annuo mondiale. Per i fabbricanti, la registrazione non è solo una formalità, ma il primo passo verso l’implementazione di misure di cybersecurity adeguate.
2. Gestione del rischio: entro 18 mesi dall’entrata in vigore del decreto, i fabbricanti devono adottare misure tecniche e organizzative adeguate per mitigare i rischi informatici.
3. Responsabilità degli organi amministrativi e direttivi: occorre supervisionare e approvare le strategie di sicurezza informatica, oltre a garantire la formazione adeguata del personale.
4. Obblighi di notifica: in caso di incidenti che abbiano un impatto significativo sulla fornitura dei servizi, i fabbricanti sono tenuti a notificare l’accaduto secondo le modalità e le tempistiche stabilite dal decreto.
5. Aggiornamento delle informazioni: è previsto l’obbligo di comunicare e aggiornare sulla piattaforma digitale dell’autorità competente NIS un elenco delle proprie attività e dei servizi offerti, assicurando che le informazioni siano sempre accurate e aggiornate.

La clausola di salvaguardia e le esenzioni

Il DPCM 9 dicembre 2024, n.221 ha introdotto la possibilità di chiedere esenzione da alcuni obblighi tramite la clausola di salvaguardia, a condizione che dimostrino che i loro sistemi informativi e servizi operano in modo completamente autonomo rispetto a eventuali imprese collegate.

Cybersecurity e gestione aziendale

La NIS2 richiede l’integrazione delle misure di cybersecurity con normative esistenti come il GDPR e il Decreto 231/01, per garantire la protezione dei dati e dei Dispositivi Medici connessi. La sicurezza informatica è essenziale per prevenire attacchi che potrebbero compromettere la salute dei pazienti e la continuità dei servizi sanitari.

Applicabilità per PMI

La direttiva si applica generalmente ai fabbricanti di Dispositivi Medici, ma le micro e piccole imprese potrebbero beneficiare di esenzioni in base a specifiche condizioni da verificare caso per caso.  È fondamentale che le aziende verifichino la loro posizione rispetto ai criteri normativi per garantire la conformità.

>>> Con i servizi di consulenza strategico – regolatoria, Thema può assisterti nella conformità ai requisiti regolatori italiani ed europei.

FONTE:
https://www.acn.gov.it/portale/en/nis/ambito

19/03/2025