Cybersecurity e dispositivi medici, al via i nuovi obblighi per i produttori

La Direttiva UE 2022/2555 (“Direttiva NIS2”), ampliando l’ambito di applicazione soggettivo rispetto alla Direttiva NIS1, include espressamente il settore dei dispositivi medici tra quelli considerati altamente critici o critici per la sicurezza dell’Unione europea.

Il 16 ottobre 2024, è entrato in vigore in Italia il D.Lgs. 4 settembre 2024 n. 138 (“Decreto”), che recepisce la Direttiva NIS2, introducendo misure e obblighi volti a garantire un elevato livello di cibersicurezza in ambito nazionale e contribuendo ad incrementare il livello comune di sicurezza nell’Unione europea.

L’estensione anche alle aziende del settore dei dispositivi medici degli obblighi in materia di cibersicurezza non deve sorprendere. Basti pensare all’impatto dell’innovazione digitale sullo sviluppo di dispositivi medici sempre più connessi ed all’ormai irrinunciabile integrazione della tecnologia digitale nell’ambito dell’assistenza sanitaria. Inoltre, i dispositivi medici, come i farmaci, sono prodotti essenziali nell’eventuale gestione di future crisi sanitarie. Il Regolamento (UE) 2022/123, finalizzato a rafforzare il ruolo dell’Agenzia europea per i medicinali (EMA) nella preparazione alle crisi sanitarie ed alla loro gestione, prevede infatti che EMA avrà anche il compito di occuparsi del coordinamento in relazione alle carenze di dispositivi medici essenziali nel caso si verifichi una crisi sanitaria.

Il Decreto si applica, tra gli altri, ai soggetti pubblici e privati stabiliti sul territorio nazionale che fabbricano dispositivi medici e dispositivi medico-diagnostici in vitro, ivi inclusi i fabbricanti di dispositivi medici considerati critici durante un’emergenza di sanità pubblica di cui all’art. 22 del Regolamento (UE) 2022/123. Si tratta di settori industriali ritenuti, ai sensi degli allegati I e II del Decreto, rispettivamente altamente critici e critici.

Le imprese che fabbricano dispositivi medici e dispositivi medico-diagnostici in vitro sono tenute al rispetto della normativa di attuazione della Direttiva NIS2 ove superino i requisiti dimensionali delle piccole imprese. Applicando i criteri previsti nella raccomandazione 2003/361/CE, si tratta quindi di imprese che occupano più di 50 persone e realizzano un fatturato o un totale di bilancio annuo superiore a 10 milioni di euro. Per coloro che producono dispositivi medici considerati critici durante un’emergenza di sanità pubblica, la normativa sulla cibersicurezza si applica a prescindere dai requisiti dimensionali.

Inoltre, l’Agenzia per la cibersicurezza nazionale (ACN), autorità competente NIS, su proposta delle Autorità di settore, può identificare ulteriori soggetti che rientrano nel campo di applicazione della normativa in esame, indipendentemente dalle dimensioni.

In base al livello di criticità, in relazione al rischio informatico ed ai requisiti dimensionali, l’art. 6 del Decreto distingue i soggetti a cui si applica la disciplina NIS in essenziali ed importanti.

I fabbricanti di dispositivi medici altamente critici (cioè quelli che vengono identificati in caso di emergenza sanitaria) rientrano nella categoria dei soggetti essenziali, mentre i fabbricanti di dispositivi medici in generale sono identificati quali soggetti importanti. Tale distinzione è utile ai fini dell’applicazione proporzionale degli obblighi nonché dell’esercizio dei poteri ispettivi e sanzionatori dell’ACN.

I soggetti essenziali e importanti hanno l’obbligo, dal 1° gennaio al 28 febbraio di ogni anno, di registrarsi sulla piattaforma digitale messa a disposizione dall’ACN o aggiornare le informazioni già inserite, tra le quali, la ragione sociale, l’indirizzo, i recapiti aggiornati e la designazione di un punto di contatto. La corsa alla registrazione al portale ACN si è chiusa pochi giorni fa.

Il Decreto (art. 23) specifica che gli organi amministrativi e direttivi dei soggetti essenziali ed importanti sono tenuti a garantire l’adempimento degli obblighi e prescrizioni previste in materia di cibersicurezza e sono anche responsabili delle eventuali violazioni.

Gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e dei soggetti importanti sono anche tenuti a seguire una formazione in materia di sicurezza informatica e a promuovere l’offerta periodica ai loro dipendenti di una formazione per favorire l’acquisizione di conoscenze e competenze sufficienti al fine di individuare i rischi e valutare le pratiche di gestione dei rischi per la sicurezza informatica e il loro impatto sulle attività del soggetto e sui servizi offerti. Si tratta di una previsione molto forte perché raramente gli obblighi di compliance si riferiscono in modo così diretto e personalmente (anche in termini di sanzioni) ai vertici aziendali.

Gli obblighi in materia di cibersicurezza sono previsti dall’art. 24 e consistono nell’adozione di misure tecniche, operative e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza dei sistemi informativi e di rete che i soggetti in questione utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi. Non si tratta solo di un generico criterio teleologico perché il Decreto prevede anche una lista minima di misure di sicurezza.

Tra le varie, è interessante l’obbligo di assicurare la sicurezza della catena di approvvigionamento, ivi compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi. Questo comporta non solo una mappatura degli aspetti di cibersicurezza nel perimetro aziendale ma anche al di fuori. Ciò può essere garantito con appropriati presidi di natura tecnica ma anche contrattuale. Altro corollario di questo impianto normativo è che soggetti (per esempio quelli nella catena di approvvigionamento di produttori di dispositivi medici) che astrattamente non ricadono nell’ambito di applicazione del Decreto, di fatto lo sono perché i produttori di dispositivi medici dovranno estendere taluni obblighi anche al di fuori dello stretto perimetro societario di sicurezza informatica.

I destinatari degli obblighi previsti dal Decreto devono poi notificare senza ingiustificato ritardo, e comunque entro 72 ore da quando ne sono venuti a conoscenza (una pre-notifica va fatta entro 24 ore), al Gruppo nazionale di risposta agli incidenti di sicurezza informatica operante all’interno dell’ACN (CSIRT Italia), ogni incidente che ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie o che ha avuto ripercussioni o è idoneo a provocare ripercussioni su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.

Inoltre, sentito il CSIRT Italia e se ritenuto possibile ed opportuno, tali soggetti devono comunicare ai destinatari dei loro servizi gli incidenti significativi che possono ripercuotersi negativamente sulla fornitura di tali servizi, eventualmente comunicando anche, in caso di minaccia informatica significativa, la natura della stessa e le misure correttive o di mitigazione che tali destinatari possono adottare in risposta alla minaccia.

I fornitori di dispositivi medici che trattano dati personali – ad esempio quelli che consentono attività di telemedicina – devono comunque rispettare anche gli obblighi derivanti dalla normativa in materia di protezione dei dati personali, tra i quali l’adozione di idonee misure organizzative e tecniche volte a garantire la sicurezza del trattamento e la notifica all’autorità di controllo in caso di data breach. Di conseguenza, è bene considerare gli obblighi di cibersicurezza e la tutela dei dati personali in modo olistico e non a compartimenti stagni. La cooperazione tra i dipartimenti IT, compliance, procurement e legale è fondamentale.

In ambito privato, la violazione degli obblighi in materia di misure per la gestione dei rischi per la sicurezza informatica nonché degli obblighi in materia di notifica dell’incidente è punita con sanzioni amministrative pecuniarie:

• per i soggetti essenziali, fino a un massimo di 10 milioni di euro o del 2% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto, se tale importo è superiore;

• per i soggetti importanti, fino a un massimo di 7 milioni di euro o dell’1,4% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto, se tale importo è superiore.

Le persone fisiche che hanno poteri di legale rappresentanza, decisionali o di controllo di persone giuridiche qualificate come soggetti essenziali, ai fini dell’applicazione della normativa sulla cibersicurezza, possono essere ritenute direttamente responsabili della violazione dei relativi obblighi. Inoltre, in taluni casi e con riferimento sia ai soggetti essenziali che importanti, l’ACN può disporre nei confronti delle persone fisiche in posizione apicale anche l’applicazione della sanzione amministrativa accessoria della incapacità a svolgere funzioni dirigenziali all’interno del medesimo soggetto.

In relazione a dette persone fisiche, la differenza rispetto alle sanzioni in materia di tutela dei dati personali (che si applicano alla sola persona giuridica) è evidentemente significativa.

Per completezza, si segnala che il Decreto prevede determinati strumenti deflattivi del contenzioso. In particolare, l’ACN può invitare il trasgressore a conformarsi alla normativa vigente entro un certo termine oppure il trasgressore può estinguere il procedimento pagando una sanzione in misura ridotta o, ancora, vi sono dei casi in cui non è prevista la pubblicità dell’irrogazione di sanzioni amministrative. Tali casi e, più in generale, le modalità di applicazione degli strumenti deflattivi del contenzioso saranno individuati con decreti del Presidente del Consiglio dei ministri su proposta dell’ACN.

In caso di incidenti di sicurezza informatica che interessino anche dati personali, sarà interessante vedere se l’ACN e il Garante per la protezione dei dati personali coopereranno in modo da evitare duplicazioni di sanzioni (come in effetti il Decreto punta a scongiurare).

Il Decreto prevede una fase di prima applicazione ai fini dell’adeguamento a quanto ivi previsto.

A seguito della registrazione delle imprese soggette alla normativa sulla piattaforma digitale, l’ACN redigerà entro il 31 di marzo l’elenco dei soggetti importanti e essenziali cui si applica la normativa sulla cibersicurezza e comunicherà loro il relativo inserimento.

Infine, il legislatore ha stabilito che, fino al 31 dicembre 2025, le imprese hanno a disposizione nove mesi dalla comunicazione sopra menzionata per adempiere gli obblighi in materia di notifica degli incidenti e diciotto mesi invece per l’adempimento degli obblighi posti a capo degli organi di amministrazione e direttivi e per gli obblighi relativi all’adozione delle misure di sicurezza.

______

*Maria Grazia Medici (Head of Life Sciences & Healthcare) e Gianluigi Marino (Head of Digitalisation) - Osborne Clarke

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più