Ai nostri Soci giungono sollecitazioni da aziende operanti nel campo della cybersicurezza affinché, appoggiandosi a loro, si colleghino alla Piattaforma dell’Agenzia per la Cybersicurezza Nazionale e adempiano, onerosamente, agli standard previsti dalla nuova Direttiva (UE) 2022/2555 (NIS 2). Partita il 18 ottobre 2024 ed entrata in vigore attraverso il decreto legislativo 138/2024, la normativa pone specifici obblighi gestionali e di segnalazione su fabbricanti ed utilizzatori di dispositivi medici informatizzati. Tra questi, comunicare e aggiornare annualmente, tramite la piattaforma, tutte le attività svolte e i servizi erogati con i mezzi informatici utilizzati. E in particolare notificare tempestivamente all’ACN e ai destinatari dei loro servizi eventuali “incidenti” (si richiedono, nel dettaglio, una pre-notifica entro 24 ore, la notifica entro 72, una relazione intermedia e una relazione finale a un mese dal fatto).
Se gli odontoiatri siano tra i destinatari dei compiti in questione, il decreto non lo dice ancora. Gli interessati saranno definiti sulla base del grado di esposizione al rischio di cyberattacchi, dalla probabilità che si verifichino incidenti, dalla gravità di detti incidenti e– in primo luogo – dalla dimensione dell’ente. Già, perché al momento la direttiva non si applica alle piccole imprese. Sono interessate grandi o medie imprese pubbliche e private di settori strategici del Paese. Inoltre, ai sensi dell’articolo 2 dell’allegato alla raccomandazione 361/2003 richiamata dal dlgs 138, per “grandi” si intendono aziende con più di 250 dipendenti, fatturato annuo superiore a 50 milioni di euro o bilancio annuo totale superiore a 43 milioni. Per “medie” s’intendono ditte con meno di 250 dipendenti, fatturato annuo oltre 10 milioni di euro e bilancio annuo totale oltre 10 e milioni di euro.
La direttiva si applica anche ad alcune piccole imprese ma solo se identificate dal nostro Paese come “infrastrutture critiche” ai sensi della direttiva RCE o per motivi d’interesse nazionale (l’elenco dei casi è all’articolo 3 del decreto).
E quand’anche l’odontoiatra fosse, cosa che non è, fabbricante di dispositivi medici, non risulta infine interessato in quanto fabbricante di strumenti su misura: questi ultimi infatti non risultano contemplati dalla direttiva (all’articolo 2 punto 1 del Regolamento UE 745/2017 l’elenco delle lavorazioni critiche).
Ma allora perché proporsi ai dentisti? Forse, per l’utilizzo di macchine hi tech che trattano dati sensibili, di salute, ricomprese nelle misure di detrazione d’imposta decise dai governi negli anni scorsi. Ma difficilmente un dentista ha fatturato annuo superiore a 10 milioni.
Seguiremo come di consueto gli sviluppi della normativa, consapevoli che in tema di privacy moltissimi soci ci stanno chiedendo anche aggiornamenti sugli obblighi realmente attinenti al loro lavoro. In merito, ci siamo attivati per offrire ragguagli nelle prossime settimane.