# L’impatto del Decreto Legislativo 138/2024 sulla Cibersicurezza dei Dispositivi Medici

Nel contesto odierno, caratterizzato da una crescente dipendenza dalle tecnologie digitali, la cibersicurezza è diventata una priorità fondamentale, soprattutto per il settore dei dispositivi medici. Il recente Decreto Legislativo 138/2024, pubblicato nella Gazzetta Ufficiale il 1° ottobre 2024, rappresenta un passo significativo verso l’implementazione di misure di cibersicurezza a livello europeo, recependo la Direttiva UE 2022/2555, nota come NIS 2. Questo nuovo quadro normativo introduce obblighi stringenti non solo per le istituzioni pubbliche, ma anche per i fabbricanti di dispositivi medici, con l’obiettivo di garantire un elevato standard di sicurezza informatica nell’intera Unione Europea.

## Oggetto della Normativa e Obiettivi

La Direttiva NIS 2 si propone di stabilire norme comuni che possano migliorare il funzionamento del mercato interno attraverso l’implementazione di misure di cibersicurezza efficaci. In particolare, il decreto stabilisce:

– Obblighi per gli Stati membri di adottare strategie nazionali adeguate e designare autorità competenti.
– Misure per la gestione dei rischi di cibersicurezza e procedimenti di segnalazione.
– Regole di condivisione delle informazioni sulla sicurezza informatica.
– Norme di vigilanza sui soggetti interessati.

## Chi Rientra Sotto la Normativa?

L’ambito di applicazione del decreto include sia soggetti pubblici che privati che soddisfano specifici criteri, dettagliati negli Allegati I e II. In particolare, gli enti fabbricanti di dispositivi medici, che rientrano sotto il regolamento MDR (Medical Device Regulation), sono esplicitamente inclusi. Per essere soggetti agli obblighi previsti, le entità devono superare i limiti di fatturato stabiliti per le piccole e medie imprese, che sono definiti dalla raccomandazione 2003/361/CE. Gli operatori si dividono in categorie di soggetti essenziali e importanti, a seconda della loro dimensione e tipologia di servizi offerti.

## Obblighi dei Fabbricanti di Dispositivi Medici

Il decreto stabilisce una serie di obblighi specifici volti a garantire che i fabbricanti di dispositivi medici mantengano alti standard di cibersicurezza. Tra i principali requisiti:

1. **Registrazione sulla Piattaforma Nazionale:** Entro il 28 febbraio 2025, i fabbricanti devono registrarsi su una piattaforma digitale messa a disposizione dall’autorità nazionale competenti per la NIS, fornendo le informazioni richieste.

2. **Vigilanza e Gestione dei Rischi:** Gli organi di amministrazione e direzione sono responsabili dell’attuazione delle misure di gestione dei rischi informatici. Devono approvare politiche e procedure ocovenienti e adeguate, seguendo un approccio multi-rischio e adottando misure tecniche e operative per mitigare i rischi.

3. **Formazione in Materia di Sicurezza:** Gli organi di amministrazione e direttivi devono inoltre sottoporsi a formazione in materia di sicurezza informatica e garantire che anche i dipendenti ricevano un’adeguata formazione al riguardo.

## Responsabilità delle Direzioni

Il decreto 138/2024 stabilisce chiaramente che gli organi di amministrazione e di direzione sono responsabili delle violazioni degli obblighi previsti. Le principali responsabilità includono:

– L’adozione di misure di sicurezza informatica.
– La notifica tempestiva di incidenti che possano impattare sui servizi offerti.
– La comunicazione e l’aggiornamento regolare dell’elenco delle attività e servizi sulla piattaforma nazionale.

## Gli Obblighi di Notifica

A partire dall’articolo 25 del decreto, si prevede l’introduzione di vincoli rigorosi relativi alla notifica di incidenti significativi. Gli obblighi di notifica mirano a garantire che eventuali problemi che possano influenzare i servizi vengano comunicati prontamente alle autorità competenti, assicurando una risposta rapida e mirata.

## Sanzioni Prevista per i Fabbricanti

Il decreto non scherza in termini di sanzioni. Gli organi di amministrazione possono essere