menu

Articolo

La Direttiva NIS2 coinvolge i fabbricanti di dispositivi medici

CybersecurityDoveri dei fabbricantiScadenze e deroghe
Roberta Polisciano
Tempo di lettura: 7 minuti
INDICE
Contesto della direttiva NIS2
A chi si rivolge
Impatto della direttiva NIS2 per i fabbricanti di dispositivi medici
Principali obblighi della Direttiva NIS2
Scadenze passate
Quali sono le conseguenze in caso di mancata registrazione?
Ci sarà la possibilità di registrarsi in ritardo?
Scadenze future
Prossime azioni da parte di ACN
Prossime scadenze per i fabbricanti

Contesto della direttiva NIS2

Con la pubblicazione del Decreto Legislativo n. 138/2024 (decreto NIS) sulla Gazzetta Ufficiale, l’Italia ha adottato le disposizioni previste dalla nuova Direttiva NIS (Direttiva (UE) n.2022/2555 – NIS2), entrata in vigore il 16 ottobre 2024.

Questa normativa, che rappresenta un passo fondamentale verso la protezione informatica a livello europeo, mira a stabilire misure per garantire un livello comune ed elevato di cybersicurezza in tutti gli Stati Membri dell’Unione Europea.
L’obiettivo primario della Direttiva NIS2 è quello di rafforzare la sicurezza delle reti e dei sistemi informativi, ridurre le vulnerabilità ed aumentare la resilienza delle infrastrutture critiche, sia pubbliche che private, contro gli attacchi cyber. La totalità delle organizzazioni coinvolte è quindi tenuta ad adottare misure tecniche, organizzative ed operative adeguate all’attività specifica svolta, al fine di ridurre il rischio di incidenti.

A chi si rivolge

La Direttiva NIS distingue l’impatto degli obblighi in base alla categorizzazione dell’organizzazione coinvolta, ossia se è un soggetto importante o essenziale, a seconda dell’appartenenza ad un settore ad alta criticità oppure ad un settore critico e a seconda delle dimensioni dell’impresa.

I settori ad alta criticità, come indicato dall’Allegato I del D.lgs., sono i seguenti:

  • Energia: elettrica, petrolio, gas, idrogeno, riscaldamento e raffreddamento;
  • Trasporti: aereo, ferroviario, stradale e via acqua;
  • Bancario: banche ed istituzioni finanziarie;
  • Sanità: ospedali, laboratori, centri di ricerca, produttori di farmaci e di dispositivi medici critici durante un’emergenza di sanità pubblica (Articolo 22 del Regolamento (UE) 2022/123);
  • Acqua: acque reflue e acqua potabile;
  • Infrastruttura digitale: data center, cloud computing, fornitori DNS ecc;
  • Servizi TIC (business-to-business): servizi gestiti e servizi di sicurezza gestiti;
  • Pubblica amministrazione: entità governative centrali e regionali;
  • Spazio: operatori di infrastrutture terrestri.

Gli altri settori critici, come indicato dall’Allegato II del D.lgs., sono i seguenti:

  • Servizi postali e corrieri;
  • Gestione dei rifiuti: imprese per la raccolta, trattamento e riciclaggio dei rifiuti;
  • Prodotti chimici: imprese per la produzione e distribuzione di sostanze chimiche;
  • Alimentare: imprese per la produzione, lavorazione e distribuzione di generi alimentari;
  • Fabbricazione: fabbricanti di dispositivi medici e dispositivi medico-diagnostici in vitro, macchinari, veicoli e dispositivi elettrici/elettronici;
  • Servizi digitali: fornitori di motori di ricerca, mercati online e piattaforme di social network;
  • Ricerca: organizzazioni di ricerca.

La distinzione tra soggetti essenziali e importanti è la seguente:

  • Essenziali: grandi aziende (con almeno 250 dipendenti) in uno dei settori indicati all’Allegato I.
  • Importanti: aziende di medie dimensioni (con almeno 50 dipendenti) in uno dei settori indicati all’Allegato I e aziende di grandi e medie dimensioni appartenenti a uno dei settori dell’Allegato II.

Tale distinzione è utile ai fini dell’applicazione proporzionale degli obblighi nonché dell’esercizio dei poteri ispettivi e sanzionatori dell’Autorità nazionale competente NIS.

Impatto della direttiva NIS2 per i fabbricanti di dispositivi medici

A differenza di quanto previsto dalla NIS1 adottata nel 2016 (Direttiva (UE) 2016/1148), la NIS2 coinvolge anche i fabbricanti di dispositivi medici e dispositivi medico-diagnostici in vitro, i quali rientrano tra i soggetti operanti in settori critici elencati nell’Allegato II del D.lgs.
Ciò implica che anche le aziende operanti in questo ambito, che sono media o grande impresa, devono conformarsi agli obblighi previsti dalla nuova Direttiva.

Rimangono escluse unicamente le aziende ricadenti nella definizione di piccola impresa e micro impresa a meno di rientrare nelle seguenti categorie:

  • Fornitori di reti pubbliche di comunicazione elettronica;
  • Fornitori di servizi di comunicazione elettronica accessibili al pubblico;
  • Prestatori di servizi fiduciari;
  • Gestori di registri dei nomi di dominio di primo livello;
  • Fornitori di servizi di sistema dei nomi di dominio;
  • Fornitori di servizi di registrazione dei nomi di dominio;
  • Pubbliche amministrazioni.

Qualora vi fossero dubbi su quale sia la categoria di appartenenza della propria azienda, si può far riferimento alla Raccomandazione 2003/361/CE e alla linea guida Guida dell’utente alla definizione di PMI, pubblicata dalla Commissione Europea nel 2020.

Principali obblighi della Direttiva NIS2

Di seguito sono elencati i principali obblighi per le organizzazioni interessate dalla Direttiva NIS2:

  • Coinvolgimento maggiore degli organi di amministrazione nella gestione della cybersicurezza;
  • Obblighi di formazione della direzione e del personale in merito a tematiche di cybersecurity;
  • Notifica al CSIRT Italia di qualsiasi incidente avente un impatto significativo sulla fornitura dei servizi;
  • Misure di sicurezza informatica nella gestione dei rischi comprendenti almeno i seguenti temi:
    • Politiche di analisi dei rischi e di sicurezza dei sistemi informativi;
    • Gestione degli incidenti, incluse le procedure e gli strumenti per eseguire le notifiche;
    • Continuità operativa dell’organizzazione in caso di eventi imprevisti (ad esempio la gestione di backup, il ripristino in caso di disastro e la gestione delle crisi);
    • Sicurezza lungo la catena di approvvigionamento, valutando pertanto potenziali rischi dei fornitori;
    • Sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informativi e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
    • Politiche e procedure per valutare l’efficacia delle misure di gestione dei rischi per la sicurezza informatica;
    • Pratiche di igiene di base e formazione in materia di sicurezza informatica;
    • Politiche e procedure relative all’uso della crittografia ed eventualmente della cifratura;
    • Sicurezza e affidabilità del personale, politiche di controllo dell’accesso e gestione degli attivi;
    • Uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette, e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno.

Scadenze passate

La prima effettiva scadenza dettata dalla Direttiva è stata il 28 febbraio 2025, data entro la quale era necessario registrarsi presso il portale dell’Agenzia per la Cybersicurezza Nazionale (ACN), designata come Autorità competente nazionale per l’attuazione e il monitoraggio della Direttiva in oggetto. Successivamente, è stata concessa una proroga fino al 10 marzo 2025 unicamente per coloro che avevano già avviato il processo di registrazione prima del 28 febbraio.

Quali sono le conseguenze in caso di mancata registrazione?

La mancata registrazione entro i limiti stabiliti comporta sanzioni pecuniarie amministrative fino ad un massimo del 0,07% del fatturato annuo su scala mondiale per i soggetti importanti e del 0,1% per i soggetti essenziali, calcolato secondo le modalità previste della Raccomandazione 2003/361/CE.

Ci sarà la possibilità di registrarsi in ritardo?

Purtroppo, non sarà possibile registrarsi oltre le scadenze stabilite. Le registrazioni al portale sono previste annualmente, esclusivamente nei mesi di gennaio e febbraio. Pertanto, se la registrazione non è stata effettuata entro il termine di febbraio, non sarà più possibile registrarsi nell’anno in corso e sarà necessario attendere il periodo successivo per completare la registrazione.

Scadenze future

Prossime azioni da parte di ACN

Una volta completata la fase di registrazione sulla piattaforma, ciascun soggetto è sottoposto ad una fase di analisi.

Entro il 31 marzo 2025, comunicherà a ciascun impresa l’eventuale inserimento nell’elenco dei soggetti essenziali o importanti.
Entro aprile 2025, sarà inviata una notifica al domicilio digitale dell’azienda con il risultato dell’analisi, informando i registrati sull’inclusione o meno nell’elenco soggetti obbligati dalla Direttiva. Questo processo, permette anche di fornire maggiore chiarezza riguardo all’inclusione o meno di un soggetto nell’ambito di applicazione del decreto NIS.
Entro aprile 2026, ACN si adopererà per l’elaborazione e definizione del modello di categorizzazione delle attività e dei servizi insieme all’elaborazione e definizione degli obblighi a lungo termine.

Prossime scadenze per i fabbricanti

Entro maggio 2025, le imprese dovranno aggiornare i loro dati sulla piattaforma per perfezionare la registrazione, secondo eventuali indicazioni da parte dell’ACN.
Entro gennaio 2026 vi sarà l’obbligo di notifica degli incidenti secondo le nuove misure indicate da ACN. È quindi fondamentale per le aziende coinvolte sviluppare dei piani efficaci di risposta agli incidenti, al fine di segnalare tempestivamente ogni attacco significativo al CSIRT Italia.
Entro settembre 2026 le aziende dovranno garantire la completa implementazione delle misure di sicurezza di base.

Articoli recenti

Nuovo

Obbligo registrazione in Eudamed dal 28 maggio 2026

Pubblicato nella Gazzetta Ufficiale l'avviso di piena funzionalità di quattro moduli di Eudamed. La registrazione diventa obbligatoria.
Dario Bortolotti e Sofia Viganò
EudamedScadenze e derogheUDI

Nuovo

Cambiamenti nella gestione delle IFU elettroniche

Con il Regolamento (UE) 2025/1234 tutti i dispositivi destinati ad utilizzatori professionali possono avere istruzioni per l'uso elettroniche.
Silvia Pozzi
Doveri dei fabbricantiRegolamenti

Ricambi equivalenti non del fabbricante: l’articolo 23

L'uso di ricambi equivalenti non prodotti dal fabbricante del dispositivo originale, è accettabile. Le regole per i produttori.
Fabio Valtorta
Guida tecnicaProgettazione

Servizi

Accedi alla tua area personale e ai vantaggi della membership.

Log in
Email *
Password *
Reimposta la password
User login/email