I l 31 maggio rappresenta una data cruciale per le organizzazioni del settore sanitario e dei dispositivi medici, in quanto scade il termine per adempiere agli obblighi previsti dal Decreto Legislativo n. 138/2024, attuativo della Direttiva (UE) 2022/2555 (Direttiva NIS 2). Le organizzazioni classificate come soggetti essenziali o soggetti importanti devono, entro questa data, aggiornare il portale NIS e completare specifiche attività di conformità.
Cosa devono fare le organizzazioni entro il 31 maggio 2025?
- Designare il sostituto del punto di contatto: individuare e comunicare un sostituto del punto di contatto principale, con le stesse modalità, per supportare e interloquire con l’Autorità competente NIS. La designazione deve essere completata entro il 31 maggio 2025.
- Identificare le figure di segreteria: persone fisiche che supportano il punto di contatto e il sostituto.
- Prevedere l’utilizzo di procuratori generali: per le pubbliche amministrazioni, è possibile delegare le funzioni a personale di altra pubblica amministrazione previa autorizzazione.
- Completare la documentazione: trasmettere e aggiornare annualmente le informazioni relative alla rappresentanza nell’Unione (dal 1° settembre al 30 novembre).
- Verificare e aggiornare i dati: dati anagrafici, contatti, componenti degli organi di amministrazione, servizi offerti nell’UE, indirizzi IP pubblici, domini e accordi di condivisione delle informazioni.
Sanzioni e responsabilità
- Per i soggetti essenziali: fino a 10 milioni di euro o il 2% del fatturato mondiale annuo.
- Per i soggetti importanti: fino a 7 milioni di euro o l’1,4% del fatturato mondiale annuo.
Responsabilità sono previste anche per le persone fisiche che ricoprono ruoli di direzione e controllo.
Fasi successive
Dopo il 31 maggio, le organizzazioni dovranno procedere con:
- Predisposizione di sistemi di notifica degli incidenti: entro 9 mesi dalla comunicazione di qualificazione da parte dell’ACN (scadenza circa a febbraio/marzo 2026).
- Adozione di misure di sicurezza e valutazioni periodiche dei rischi: entro 18 mesi dalla comunicazione (scadenza circa ad agosto/settembre 2026).
- Formazione del personale: attività continue per garantire la consapevolezza e la preparazione.
- Gestione della supply chain e sicurezza ICT
Un elemento fondamentale della normativa riguarda la sicurezza della catena di fornitura. L’art. 24, comma 2, lett. d) del D.lgs. 138/2024 impone ai soggetti notificati di valutare e monitorare la sicurezza informatica dei propri fornitori di servizi ICT, prevedendo:
- Clausole contrattuali specifiche con i fornitori.
- Verifiche periodiche della conformità agli standard di sicurezza.
- Questo aspetto è particolarmente rilevante nel settore sanitario, dove molteplici fornitori gestiscono software clinici, sistemi di telemedicina e piattaforme di gestione dati.
Il 31 maggio rappresenta il primo importante step verso la piena attuazione della strategia europea di cybersicurezza. Le organizzazioni del settore sanitario e dei dispositivi medici devono rispettare questa scadenza per evitare sanzioni severe e garantire la sicurezza dei propri sistemi e dei dati dei pazienti.
Per ulteriori approfondimenti e supporto nel rispetto degli adempimenti NIS 2, AD Studio Associato è a vostra disposizione.