Vuoi ricevere i nostri aggiornamenti?
Cybersecurity e dispositivi medici: gli obblighi per i produttori secondo il decreto 138/2024
Avrà un forte impatto sul mondo medical device il decreto legislativo 138/2024 pubblicato sulla Gazzetta ufficiale del 1° ottobre 2024. Il decreto recepisce la Direttiva Ue 2022/2555 (NIS 2) e introduce obblighi per garantire un elevato livello comune di cibersicurezza nell’Unione. Questa volta – diversamente dalla NIS 1 – molti adempimenti saranno anche in capo ai fabbricanti di dispositivi medici. Vediamo allora i punti principali.
Oggetto della normativa
Obiettivo generale della NIS2 è di stabilire “misure volte a garantire un livello comune elevato di cibersicurezza nell’Unione in modo da migliorare il funzionamento del mercato interno” (articolo 1). Per raggiungere tale obiettivo vengono stabiliti:
- obblighi in capo agli Stati membri per l’adozione di strategie nazionali e designazione di autorità nazionali competenti, nonché ulteriori obblighi in materia di vigilanza ed esecuzione;
- misure per la gestione dei rischi di cibersicurezza e obblighi di segnalazione per determinati soggetti;
- norme e obblighi in materia di condivisione delle informazioni sulla cibersicurezza;
- obblighi in materia di vigilanza.
I soggetti coinvolti
La disciplina si applica ai soggetti (pubblici e privati) che presentano i seguenti requisiti:
- rientrano nelle tipologie di cui all’allegato I e II (in allegato II sono espressamente richiamati i fabbricanti ex MDR )
- superano i massimali per le piccole imprese ai sensi dell’articolo 2, paragrafo 2, dell’allegato alla raccomandazione 2003/361/CE ( secondo l’articolo 2, paragrafo 2, dell’allegato alla raccomandazione citata, nella categoria delle PMI si definisce “piccola impresa” un’impresa che occupa meno di 50 persone e realizza un fatturato annuo o un totale di bilancio annuo non superiori a 10 milioni di euro).
Tali soggetti sono poi distinti tra soggetti essenziali (articolo 3 par. 1 Nis 2 – articolo 6 schema dlgs) e soggetti importanti (articolo 3 par. 2 Nis 2) in base ai requisiti dimensionali e alla tipologia di prodotti o servizi forniti.
Gli adempimenti
La normativa prevede poi diverse serie di obblighi in capo ai fabbricanti di dispositivi medici. In primo luogo l’articolo 7 chiede di registrarsi sulla piattaforma digitale messa a disposizione dalla autorità nazionale competente NIS, inserendo le informazioni previste dalla normativa. L’articolo 23 stabilisce poi gli adempimenti in capo ai soggetti essenziali e importanti. Qui c’è una prima grande novità: gli obblighi sono posti direttamente in capo agli organi di amministrazione e agli organi direttivi i quali devono:
- approvare le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica adottate ai sensi dell’articolo 24. Tale articolo richiede infatti l’adozione di misure tecniche, operative e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza dei sistemi informativi e di rete che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi. Occorre, in merito, adottare un approccio multi-rischio, comprendere gli elementi indicati dalla normativa (articolo 24 comma 2 del decreto);
- sovrintendere all’implementazione degli obblighi generali elencati nel Capo IV e quelli relativi all’identificazione ed elencazione dei soggetti essenziali e di quelli importanti di cui all’articolo 7. In particolare, sono rilevanti proprio gli obblighi in materia di gestione del rischio di cui all’articolo 24
- seguire una formazione in materia di sicurezza informatica e promuovere una formazione coerente con quella da loro seguita per i loro dipendenti, per favorire l’acquisizione di conoscenze e competenze sufficienti, al fine di individuare i rischi e valutare le pratiche di gestione dei rischi per la sicurezza informatica e il loro impatto sulle attività del soggetto e sui servizi offerti.
Le responsabilità degli organi amministrativi e direttivi
Inoltre, l’articolo afferma a chiaramente che gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e di quelli importanti sono responsabili delle violazioni degli obblighi posti dal decreto. Quelli rilevanti ai nostri fini sono:
- l’adozione di misure tecniche, operative e organizzative di sicurezza (articolo 24);
- gli obblighi in materia di notifica degli incidenti che abbiano un impatto significativo sulla fornitura dei loro servizi, con le modalità e tempistiche di cui all’articolo 25;
- l’obbligo di comunicare e aggiornare sulla piattaforma digitale resa disponibile dall’autorità nazionale competente NIS un elenco delle proprie attività e dei propri servizi (articolo 30).
Dall’articolo 25 in avanti si stabiliscono poi rilevanti obblighi di notifica in casi di incidenti. Infine l’articolo 31 stabilisce che l’autorità nazionale competente NIS fissi tempi, modalità, specifiche e termini graduali di implementazione degli obblighi dei soggetti importanti ed essenziali, in modo proporzionale al grado di esposizione dei soggetti ai rischi, delle dimensioni dei soggetti e della probabilità che si verifichino incidenti (nonché della loro gravità anche dal punto di vista sociale ed economico).
Le sanzioni
Per quanto attiene i fabbricanti di medical device, l’articolo 38 prevede che le sanzioni amministrative possano arrivare fino a un massimo di 7 milioni di euro o dell’1,4% del totale del fatturato annuo su scala mondiale. Di assoluto rilievo (e grande novità) la sanzione può essere prevista anche direttamente in capo al rappresentante legale e/o membri del Cda. Il comma 5 infatti afferma che “qualsiasi persona fisica responsabile di un soggetto essenziale o che agisca in qualità di suo rappresentante legale con l’autorità di rappresentarlo, di prendere decisioni per suo conto o di esercitare un controllo sul soggetto stesso, assicura il rispetto delle disposizioni di cui al presente decreto. Tali persone fisiche possono essere ritenute responsabili dell’inadempimento in caso di violazione del presente decreto da parte del soggetto di cui hanno rappresentanza”.
Le tempistiche
Il decreto legislativo è entrato in vigore il 18 ottobre scorso. Tuttavia, gli obblighi partiranno scaglionati (articolo 42) e fino al 28 febbraio 2025 vige l’obbligo di registrazione in piattaforma. A seguito di questa registrazionel’autorità competente NIS comunicherà l’inserimento nell’elenco dei soggetti importanti e/o essenziali. A partire da tale data vanno considerati:
- 18 mesi per adempiere agli obblighi in materia di misure da adottare (articolo 24) e di quelli direttamente in capo a organi di amministrazione e organi direttivi (articolo 23);
- 9 mesi per porre in essere gli obblighi in materia di notifica (articolo 25)
Rubrica "I DISPOSITIVI MEDICI TRA NORMATIVA E REGOLATORIO"
Leggi gli altri articoli presenti nella nostra rubrica in collaborazione con AboutPharma