top of page
Cerca

CYBERSECURITY E DISPOSITIVI MEDICI: NUOVI OBBLIGHI PER I PRODUTTORI MEDICI: DAL 2024 PIÙ RESPONSABILITÀ PER I PRODUTTORI

  • Immagine del redattore: Studio Legale Bruschi
    Studio Legale Bruschi
  • 12 minuti fa
  • Tempo di lettura: 2 min



Il recepimento della Direttiva NIS2 segna un cambio di passo importante per il settore dei dispositivi medici. Da ottobre 2024, anche i produttori italiani sono chiamati ad adottare misure specifiche di sicurezza informatica, non più solo come buona prassi, ma come obbligo di legge.

Il nuovo quadro normativo si applica a chi fabbrica dispositivi medici o diagnostici in vitro e supera i limiti dimensionali delle piccole imprese (oltre 50 dipendenti o oltre 10 milioni di euro di fatturato).


Tuttavia, se si producono dispositivi ritenuti "critici" per la gestione delle emergenze sanitarie, gli obblighi valgono per tutti, a prescindere dalle dimensioni aziendali.


Le imprese devono adeguarsi sotto diversi profili:

  • adozione di misure tecniche e organizzative proporzionate al rischio (art. 24 D.Lgs. 138/2024);

  • registrazione presso l’ACN (Agenzia per la Cybersicurezza Nazionale);

  • designazione di un punto di contatto;

  • obbligo di formazione specifica per amministratori e dirigenti;

  • gestione sicura della catena di fornitura.


Non si tratta di adempimenti di facciata: la mancata osservanza espone l’impresa a sanzioni fino a 10 milioni di euro o al 2% del fatturato globale annuo. Per gli organi amministrativi e direttivi è prevista una responsabilità personale diretta, che in casi estremi può comportare anche l’interdizione temporanea da incarichi dirigenziali.


È evidente che l'approccio richiesto dal legislatore impone un salto di qualità: la cybersecurity non è più solo una questione tecnica, ma entra a pieno titolo nel governo dell’impresa, richiedendo collaborazione tra direzione legale, IT, compliance e procurement.


Un ulteriore elemento di attenzione riguarda la protezione dei dati personali: molti dispositivi medici trattano dati sanitari, e l’integrazione tra le regole NIS2 e GDPR sarà fondamentale per evitare rischi di doppie sanzioni.


Le imprese hanno tempo fino al31 dicembre 2025per completare l’adeguamento, ma i primi obblighi — come la registrazione presso l'ACN — sono già operativi. In un contesto normativo sempre più esigente, prepararsi con tempestività è oggi non solo un obbligo, ma un elemento distintivo di credibilità e competitività sul mercato




 
 
 

コメント

bottom of page