+390677209020 | +39 0267380552 info@direnzo.biz | sedemilano@direnzo.biz

Lingua

Cybersicurezza: l’impatto del decreto legislativo 4 settembre 2024, n. 138 sui fabbricanti di dispositivi medici

Decreto cyber sicurezza di settembre

Il Decreto Legislativo 4 settembre 2024, n. 138, che recepisce la Direttiva (UE) 2022/2555 (NIS 2), introduce importanti obblighi in materia di cybersicurezza per le aziende che operano in settori critici, tra cui quello dei dispositivi medici.

L’obiettivo della normativa è garantire un elevato livello di sicurezza informatica per le infrastrutture e i prodotti, minimizzando i rischi di attacchi informatici e proteggendo la salute dei pazienti e la sicurezza degli operatori sanitari.

Obblighi generali per i fabbricanti di dispositivi medici

I fabbricanti di dispositivi medici sono tenuti ad adottare misure adeguate a garantire la sicurezza dei propri prodotti sotto il profilo informatico.

Questo significa implementare politiche e strumenti di gestione del rischio, assicurare la protezione dei dati sensibili e adottare protocolli di sicurezza che prevengano possibili vulnerabilità. In caso di incidenti di sicurezza che possano compromettere l’affidabilità o la disponibilità dei dispositivi, le aziende devono notificare tempestivamente l’Agenzia per la Cybersicurezza Nazionale (ACN) entro le tempistiche stabilite dalla normativa.

Un altro aspetto fondamentale riguarda la sicurezza della catena di fornitura. I fabbricanti devono verificare che i loro fornitori rispettino standard di sicurezza adeguati, evitando che falle nei sistemi di terze parti possano compromettere la sicurezza dei dispositivi medici immessi sul mercato.

È inoltre richiesto un impegno costante nella formazione del personale, affinché gli operatori coinvolti nella progettazione, produzione e manutenzione dei dispositivi siano in grado di riconoscere e gestire le minacce informatiche.

Le esenzioni per le piccole imprese e le loro implicazioni

L’articolo 3 del Decreto Legislativo 138/2024 stabilisce che le micro e piccole imprese, secondo la definizione della Raccomandazione 2003/361/CE, possano beneficiare di esenzioni specifiche dagli obblighi previsti dalla normativa.

Una piccola impresa, per rientrare in questa categoria, deve avere meno di 50 dipendenti e un fatturato annuo o un totale di bilancio non superiore a 10 milioni di euro.

Tuttavia, l’esenzione non è assoluta

Se le piccole imprese operano in settori critici o se i dispositivi prodotti sono considerati essenziali per la sicurezza pubblica o la salute dei cittadini, possono comunque essere soggette a determinati obblighi.

Si tratta di dispositivi medici il cui malfunzionamento o compromissione potrebbe avere un impatto significativo sulla vita delle persone e sulla stabilità del sistema sanitario, tra questi rientrano i dispositivi di supporto vitale come pacemaker, ventilatori polmonari e pompe per infusione, strumenti diagnostici critici come scanner MRI e TAC, e dispositivi per il monitoraggio remoto dei pazienti utilizzati in ambito ospedaliero o domiciliare.

Rientrano in questa categoria anche i dispositivi impiegati nelle infrastrutture sanitarie critiche, come i sistemi di gestione dei dati clinici, che potrebbero essere bersaglio di attacchi informatici con gravi conseguenze per la continuità dell’assistenza sanitaria.

Il Decreto del Presidente del Consiglio dei Ministri 9 dicembre 2024, n. 221, stabilisce i criteri di applicazione delle esenzioni, garantendo che la protezione informatica rimanga adeguata anche per le realtà di dimensioni ridotte.

Strategie di adeguamento per le piccole imprese

Le piccole imprese che producono dispositivi medici devono valutare attentamente i rischi legati alla sicurezza informatica e adottare misure proporzionate alla natura e alla criticità dei loro prodotti.

Anche se non sono obbligate a rispettare tutte le disposizioni previste per le grandi aziende, è consigliabile che tali imprese implementino sistemi di protezione adeguati, garantiscano adeguata formazione al personale sulla gestione delle minacce informatiche e si mantengano aggiornate sulle evoluzioni normative in materia di cybersicurezza.

Un approccio efficace potrebbe includere la collaborazione con esperti di sicurezza informatica esterni e la partecipazione a iniziative di settore volte a condividere conoscenze e risorse per affrontare le nuove sfide imposte dalla digitalizzazione.

Inoltre, una stretta collaborazione con l’ACN e le autorità di regolamentazione può garantire un corretto bilanciamento tra la necessità di conformità normativa e le reali capacità delle piccole imprese di sostenere l’onere degli obblighi imposti.

In conclusione

L’adeguamento al Decreto Legislativo 138/2024 rappresenta una sfida importante per i fabbricanti di dispositivi medici, indipendentemente dalla loro dimensione aziendale.

Se per le grandi aziende sono previste politiche di sicurezza informatica complesse, che necessitano di un adeguamento costante alla normativa, le piccole imprese devono valutare con attenzione se rientrano o meno nelle esenzioni previste.

Se le esenzioni non sono applicabili, devono adottare misure adeguate a garantire la protezione dei propri dispositivi e dati.  

In un panorama sempre più digitalizzato e interconnesso, la sicurezza informatica non può essere trascurata, soprattutto in un settore delicato come quello dei dispositivi medici.

Avatar photo

Scritto il 27/02/2025 da Sofia Tabacco e Felisiano Cipressi

Di Renzo Regulatory Affairs

Cookies
Il nostro sito utilizza solamente cookies tecnici per permettere il corretto funzionamento. Puoi accettare, rifiutare o guardare le impostazioni. Read our cookie policy
Settings Refuse all Accept all
Cookies
Choose what kind of cookies to accept. Your choice will be saved for one year. Read our cookie policy
Save Refuse all Accept all