NIS 2: gli adempimenti obbligatori entro il 31 maggio 2025 per i soggetti sanitari e del medical device

Scadenza chiave al 31 maggio 2025  per le organizzazioni classificate come soggetti essenziali o soggetti importanti ai sensi del Decreto Legislativo n. 138/2024, attuativo della Direttiva (UE) 2022/2555 (Direttiva NIS 2).

I soggetti qualificati come soggetti essenziali e soggetti importanti (in base alle note ricevute da ACN) devono entro tale data aggiornare il portale NIS in relazione ai punti sotto indicati:

• Ai sensi dell'art. 7 comma 6 del D.lgs. 138/2024, e della Determina ACN nr. 136117/2025- titolato Termini, modalità e procedimenti per la piattaforma le organizzazioni devono:
• Identificare la figura del sostituto del punto di contatto, designato con le stesse modalità del punto di contatto per supportarlo e poter interloquire con l'Autorità nazionale competente NIS, ad eccezione della registrazione. La designazione del sostituto punto di contatto deve avvenire (ora) entro il 31 maggio 2025
• Identificare le figure della segreteria come  persona fisica che svolge funzioni di supporto al punto di contatto e al sostituto punto di contatto per promuovere l’efficace interlocuzione con l’Autorità nazionale competente NIS;
• Prevedere  che le funzioni di punto di contatto possono essere svolte da procuratori generali censiti sul registro delle imprese e, nel caso di pubbliche amministrazioni, da personale di altra pubblica amministrazione previa autorizzazione ai sensi dell'articolo 53 del decreto legislativo 30 marzo 2001, n. 165.
• Prevedere i termini per la trasmissione e l'aggiornamento della documentazione per la designazione del rappresentante nell'Unione (art. 5 commi 3,4,5)  fissandoli dal 1 settembre al 30 novembre di ogni anno.
• prevedere la verifica e l'aggiornamento di diverse informazioni, tra cui i dati anagrafici e di contatto del soggetto NIS e degli utenti, l'elenco dei componenti degli organi di amministrazione e direttivi, l'elenco dei servizi offerti nell'UE, lo spazio di indirizzamento IP pubblico e i nomi di dominio, e l'elenco degli accordi di condivisione delle informazioni.

L'art. 38 del D.lgs. 138/2024 definisce un apparato sanzionatorio severo. Il mancato adempimento agli obblighi sopra descritti può comportare:

• per i soggetti essenziali: fino a 10 milioni di euro o il 2% del fatturato mondiale annuo;
• per i soggetti importanti: fino a 7 milioni di euro o l'1,4% del fatturato mondiale annuo.

Sono previste responsabilità anche per le persone fisiche che ricoprono ruoli di direzione e controllo, con potenziali sanzioni personali.

Dopo il 31 maggio?

Quella sopra descritta è solo la prima fase.

A partire dai mesi successivi, le organizzazioni dovranno (capo IV del D.Lgs 138):

entro 9 mesi dal ricevimento della nota ACN di qualificazione

• predisporre un sistema di notifica degli incidenti significativi entro il 31 dicembre 2025;

entro 18 mesi dal ricevimento della nota ACN di qualificazione

• adottare misure tecniche e organizzative di sicurezza adeguate
• effettuare valutazioni periodiche dei rischi con cadenza almeno annuale;
• promuovere attività formative per il personale,

La gestione della supply chain

Un aspetto cruciale della NIS 2 è la gestione della sicurezza della catena di fornitura. L'art. 24 comma 2 lett. d)  del D.lgs. 138/2024 impone ai soggetti notificati di valutare la sicurezza informatica dei propri fornitori di servizi ICT.

Da tale obbligo discende la necessità di

• inserire clausole contrattuali specifiche nei rapporti con i fornitori
• verificare periodicamente l'aderenza dei fornitori agli standard di sicurezza richiesti

Questo aspetto è particolarmente rilevante per il settore sanitario, dove spesso si utilizzano molteplici fornitori per software clinici, sistemi di telemedicina e piattaforme di gestione dei dati dei pazienti.

Conclusioni

Il 31 maggio non è una semplice data sul calendario: è la prima tappa concreta verso la piena attuazione della nuova strategia europea in materia di cybersicurezza.

Lo Studio Legale Stefanelli & Stefanelli è a disposizione dei soggetti del settore sanitario e dei dispositivi medici per supportare gli adempimenti NIS2, attraverso audit, formazione, e consulenza giuridico-organizzativa.