La Direttiva NIS 2 e l’impatto sulle imprese del settore farmaceutico
8 Ottobre 2024

Lo scorso 4 settembre è stato pubblicato sulla Gazzetta Ufficiale il Decreto n.138/2024 (“Decreto”) che recepisce la Direttiva UE 2022/2555 (“Direttiva NIS 2”), che stabilisce misure volte ad assicurare un livello elevato di cyber sicurezza in ambito nazionale. L’ambito di applicazione soggettivo della normativa sulla cyber sicurezza viene ampliato, includendo organizzazioni classificate come “entità essenziali” o “entità importanti”, a seconda che appartengano a “settori altamente critici” o ad “altri settori critici”. Tra i settori che dovranno conformarsi ai requisiti della NIS 2 e del Decreto vi sono le realtà che operano in campo sanitario e farmaceutico.

Ai destinatari della disciplina sulla cyber sicurezza viene richiesta l’adozione di un approccio multirischio, orientato alla valutazione di elementi endogeni ed esogeni rispetto ai propri sistemi organizzativi aziendali.

In base alle disposizioni del Decreto, le violazioni degli obblighi di adozione di presidi di cui all’art. 24 del Decreto o degli obblighi di segnalazione degli incidenti di sicurezza di cui all’art. 25 potranno condurre all’irrogazione di sanzioni amministrative elevate. Nuovi obblighi di notifica stringenti sono imposti in caso di incidenti con un impatto significativo. Le organizzazioni essenziali e importanti dovranno predisporre una notifica preliminare di allarme indirizzata al CSIRT entro 24 ore dalla conoscenza dell’evento e un aggiornamento successivo entro 72 ore dall’incidente, riportando una valutazione iniziale, comprensiva della gravità e dell’impatto dell’evento.

I nostri Focus Team Healthcare & Life Sciences e Innovazione e Trasformazione digitale illustrano e approfondiscono queste tematiche nel documento disponibile qui.