Italia: primeras realizaciones NIS2 para ciberseguridad

El Decreto Legislativo 138/2024 que se publicó en el Diario Oficial el 1 de octubre de 2024 y entró en vigor el 18 de octubre de 2024, aplica la Directiva 2022/2555 de la UE (NIS2), introduciendo nuevas obligaciones de ciberseguridad para los fabricantes de productos sanitarios. En comparación con la NIS1, que se centraba en los proveedores de servicios esenciales, la NIS2 amplía el ámbito de aplicación imponiendo medidas de ciberseguridad a lo largo de toda la cadena de suministro.

Registro y otros trámites

Aunque las obligaciones pueden variar en función del caso y de la organización, a continuación se exponen las principales obligaciones generales.

  1. Registro en la Autoridad Nacional de Ciberseguridad (ACN): El Decreto 138/2024 exige el registro en la plataforma de la ACN para permitir el censo de quienes operan en sectores vitales (primer plazo: 28 de febrero de 2025).
    La falta de registro da lugar a sanciones administrativas de hasta el 0,1% de la facturación mundial anual. Para los fabricantes, el registro no es una mera formalidad, sino el primer paso hacia la aplicación de medidas de ciberseguridad adecuadas.
  2. Gestión de riesgos: en un plazo de 18 meses a partir de la entrada en vigor del decreto, los fabricantes deben adoptar las medidas técnicas y organizativas adecuadas para mitigar los ciberriesgos.
  3. Responsabilidades de los órganos administrativos y de gestión: las estrategias de seguridad informática deben ser supervisadas y aprobadas, y debe garantizarse una formación adecuada del personal.
  4. Obligaciones de notificación: en caso de incidentes que tengan un impacto significativo en la prestación de servicios, los fabricantes están obligados a notificar el incidente en la forma y los plazos establecidos en el decreto.
  5. Actualización de la información: existe la obligación de comunicar y actualizar en la plataforma digital de la autoridad competente SRI una lista de sus actividades y servicios, garantizando que la información sea siempre exacta y esté actualizada.

Cláusula de salvaguardia y excepciones

El Decreto del Primer Ministro n.º 221 de 9 de diciembre de 2024 introdujo la posibilidad de solicitar la exención de determinadas obligaciones a través de la cláusula de salvaguardia, siempre que demuestren que sus sistemas y servicios de información funcionan con total independencia de cualquier empresa afiliada.

Ciberseguridad y gestión empresarial

NIS2 requiere la integración de medidas de ciberseguridad con las regulaciones existentes, como el GDPR y el Decreto 231/01, para garantizar la protección de los datos y los Dispositivos Médicos relacionados. La ciberseguridad es esencial para prevenir ataques que puedan comprometer la salud de los pacientes y la continuidad de los servicios sanitarios.

Aplicabilidad a las PYME

La directiva se aplica en general a los fabricantes de productos sanitarios, pero las microempresas y pequeñas empresas podrían beneficiarse de exenciones en condiciones específicas que deberán verificarse caso por caso. Es esencial que las empresas contrasten su posición con los criterios normativos para garantizar su cumplimiento.

>>> Con sus servicios de consultoría estratégica y regulatoria, Thema puede asistirte en el cumplimiento de los requisitos regulatorios italianos y europeos.

FUENTE:
https://www.acn.gov.it/portale/en/nis/ambito

19/03/2025