12
luglio

NIS 2:Privacy e Cybersecurity, facciamo chiarezza!

In molti ci stanno scrivendo di ricevere offerte a mezzo posta elettronica per l’adeguamento alla Direttiva NIS 2, chiedendoci se è necessario e obbligatorio adeguarsi il prima possibile. In questo articolo cercheremo di rispondere facendo il punto della situazione e coglieremo l’occasione comunque per fare un elenco completo delle verifiche che è opportuno fare per essere aderenti alle norme previste in materia di sicurezza dei dati e della privacy.

 

NIS 2, di cosa parliamo e cosa fare oggi in merito a questo!

La nuova Direttiva (UE) 2022/2555 (NIS 2) abroga la Direttiva (UE) 2016/1148 (NIS), e rafforza il quadro della sicurezza cibernetica a livello europeo, aumentando la sicurezza delle infrastrutture tecnologiche e combattendo in maniera efficace i rischi causati dal cosiddetto cyber crime.

In altre parole NIS 2 stabilisce misure volte a garantire un livello comune elevato di cybersicurezza nell'Unione in modo da migliorare il funzionamento del mercato interno.

Facciamo il punto della situazione tenendo in considerazione che entro il 17 ottobre 2024, gli Stati membri adotteranno e pubblicheranno le misure necessarie per conformarsi alla Direttiva NIS 2 che avranno decorrenza dal 18 ottobre 2024 e da tale data sarà abolita la precedente direttiva NIS.

Come dicevamo lo scopo primario è quello di evitare attacchi informatici su larga scala con la conseguenza di perdita di dati personali, sensibili presenti nelle banche dati di tutta Europa.

L’Italia con D.Lgs 65 /2018 (aggiornato ad agosto 2021) recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione, ha già recepito la precedente direttiva NIS e attualmente si sta attendendo l’eventuale recepimento della direttiva attuale.

Una precisazione è doverosa perchè nell’allegato 2 della direttiva[1] c’è un esplicito riferimento al Regolamento Europeo 2017/745, relativo alla fabbricazione di dispositivi medici.

La direttiva, alla lett. b dell’art. 2 del Capo I stabilisce “misure in materia di gestione dei rischi di cybersicurezza e obblighi di segnalazione per i soggetti di un tipo di cui all'allegato I o II nonché per soggetti identificati come critici ai sensi della direttiva (UE) 2022/2557”. Specificatamente nell’allegato 2, al punto 5, lettera a) vi è il riferimento ai fabbricanti di dispositivi medici.

Tuttavia ricordiamo che i soggetti che fabbricano dispositivi medici sono definiti all’articolo 2, punto 1 dello stesso regolamento 2017/745[2] come segue:

“Ai fini del presente regolamento si applicano le seguenti definizioni:

_____________________________________________

[1] https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32022L2555&from=EN

[1] https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32017R0745

1) «dispositivo medico»: qualunque strumento, apparecchio, apparecchiatura, software, impianto, reagente, materiale o altro articolo, destinato dal fabbricante a essere impiegato sull'uomo, da solo o in combinazione, per una o più delle seguenti destinazioni d'uso

mediche specifiche:

— diagnosi, prevenzione, monitoraggio, previsione, prognosi, trattamento o attenuazione di malattie,

— diagnosi, monitoraggio, trattamento, attenuazione o compensazione di una lesione o di una disabilità,

— studio, sostituzione o modifica dell'anatomia oppure di un processo o stato fisiologico o patologico,

— fornire informazioni attraverso l'esame in vitro di campioni provenienti dal corpo umano, inclusi sangue e tessuti donati, e che non esercita nel o sul corpo umano l'azione principale cui è destinato mediante mezzi farmacologici, immunologici o metabolici, ma la cui funzione può essere coadiuvata da tali mezzi.

 

Si considerano dispositivi medici anche i seguenti prodotti:

— dispositivi per il controllo del concepimento o il supporto al

concepimento,

— i prodotti specificamente destinati alla pulizia, disinfezione o sterilizzazione dei dispositivi di cui all'articolo 1, paragrafo 4, e di quelli di cui al primo comma del presente punto;”

 

Come potete notare all’interno di queste definizioni non si parla di dispositivi medici su misura.

 

Un altro riferimento plausibile della direttiva UE sul NIS 2 riguarda i soggetti di cui all’allegato 1, punto 5, quinto trattino che riportiamo qui

Anche in questo caso nulla compete direttamente alla nostra professione. Per una lettura più completa fate riferimento alle note riportate in calce al presente articolo per consultare i documenti integrali.

 

Pertanto, si può concludere che, da una prima lettura della cosiddetta direttiva NIS 2 e in attesa di direttive Italiane, ATTUALMENTE possiamo affermare che la direttiva non porta nuovi adempimenti per le nostre imprese.

 

Eventuali novità vi verranno comunicate tempestivamente.

 

Ma approfittiamo dell’occasione per rimettere mano anche alla gestione della privacy dei nostri laboratori anche perchè ci sono già tre casi segnalati da parte di colleghi che hanno subito il blocco del computer, la minaccia di pubblicare i dati presenti e richieste di riscatto in bitcoin.

Avete eseguito una valutazione del rischio attuale? La normativa prevede che il titolare del trattamento predisponga una valutazione generale sull'attività del trattamento e in base a quanto emerge indicare le misure da mettere in atto per limitare il rischio di perdita dei dati.

 

Per esempio:

  • pseudonimizzazione e cifratura dei dati personali: l’MDR 2017/745 prevede che in prescrizione vengano utilizzati un nome, un acronimo o codice assegnato dallo studio e se viene inviato il codice fiscale bisogna inserire i dati eliminando le parti sensibili;
  • capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità dei sistemi e dei servizi di trattamento. Per assolvere a tale capacità è necessario predisporre antivirus e firewall, utilizzo di dischi esterni, password di accesso al gestionale da sostituire ogni 3 mesi con prova documentale, controllo e verifica di eventuali comportamenti non idonei dei collaboratori e dell’accesso ai locali di persone estranee come ad esempio le imprese di pulizie;
  • la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico. In questo caso tramite il salvataggio dei dati su dischi esterni con cadenza da decidere in base alla mole di dati inseriti, la presenza di un gruppo continuità per evitare la perdita di dati nel caso di sospensione dell’erogazione di corrente elettrica;
  • l’esistenza di una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. Ciò tramite formazione e informazione e riunioni per l’aggiornamento.

 

Per essere aderenti alle normative e proteggere i dati dei nostri pazienti è importante riflettere bene sulla propria situazione e farsi le giuste domande.

 

Che dati mediamente abbiamo nei nostri computer?

Nel gestionale avremo come minimo i dati dei clienti , dei pazienti e dei fornitori. Essi comprenderanno diffusamente dati bancari, dati dei collaboratori, dati del commercialista, lettere personali, e-mail, foto/rx dei pazienti, file di impronte digitali o file da elaborare per Cad Cam o stampa 3d.

 

Quali dati inviamo a Terzi e tramite quali canali?

Con l’avvento delle nuove tecnologie è sempre più frequente l’invio di file contenenti impronte digitali, invio di file a centri fresaggi, foto/rx eccetera. Come avvengono le trasmissioni di questi dati? Via e-mail tradizionale? Tramite Pec? Whatsapp? Cloud[3]?

 

E ancora:

  • avete verificato la sicurezza di Cad Cam e stampante 3d?
  • State archiviando in un cloud i documenti relativi all’MDR 2017/745?
  • Chi vi fornisce il servizio? La software house? avete fatto dei contratti privati?

__________________________

[1] Che cos'è un rischio del cloud computing? Quando un'organizzazione decide di effettuare lo storage dei propri dati o di ospitare un'applicazione sul cloud, perde la possibilità di avere l'accesso fisico ai server che contengono queste informazioni. Di conseguenza, i potenziali dati sensibili sono esposti al rischio di attacchi interni e come conseguenza perdita dati

  • Vi siete informati circa dove vengono tenuti i dati se in paesi UE o extra UE? Le regole per la privacy non sono le stesse. Se i dati stipati in un server posto in un paese extra UE vengono persi che cosa accadrà? (basta uno di quegli attacchi hacker che vanno tanto di moda ora). Nella fattispecie avete notificato al registro delle attività che i dati vengono esportati in paesi Extra UE?
  • avete nominato il responsabile al trattamento dei dati esterno (titolare cloud)? Avete individuato in caso di perdita dati su chi ricade la colpa? Ovvero chi invia dati a chi?

 

Per quanto riguarda i rapporti tra studio e laboratorio:

  • siete autorizzati dal clinico ad avvalervi di terzi per la fabbricazione del dispositivo o parte di esso?
  • Posto che ogni prescrizione è un “contratto” non è consigliabile ottenere l’autorizzazione una tantum, la dicitura deve comparire in ogni documento.

 

Per quanto riguarda i rapporti tra laboratorio e terzista/centro fresaggi:

  • avete sottoscritto il contratto di subfornitura?

 

Per chi ancora utilizza il cartaceo:

  • gli archivi cartacei sono in vista? Sono facilmente consultabili da tutti? Avete a disposizione in prossimità un estintore?
  • Se il cartaceo (fiscale o MDR) viene spostato, per motivi logistici, al di fuori del laboratorio (ad esempio un magazzino) il materiale cartaceo viene posizionato su mensole rialzate da terra? È presente un estintore? Fate un controllo periodico dei locali?

 

Per tutti:

  • avete un impianto di allarme in laboratorio?
  • Per quanto riguarda le imposte (porte e finestre) la chiusura è sicura?

 

Una volta che ci si è posti tutte queste domande, partendo da una valutazione del rischio basso, medio o alto fate le vostre considerazioni e prendete provvedimenti ricordandovi che in caso di valori medio e alto siete tenuti a prendere provvedimenti.

 

Documenti da tenere obbligatoriamente in laboratorio dal 2018:

  • autorizzazione dei vostri clienti (medici e/o odontotecnici) e dei vostri collaboratori a trattare i loro dati;
  • impegno alla riservatezza dei collaboratori interni ed esterni;
  • registro delle attività (ex DPS, documento programmatico sicurezza);
  • se nel trattamento di dati in modalità cartacea o tramite sistema informatico ci sono state variazioni, se sono cambiati gli addetti al trattamento, i documenti sono stati aggiornati? Ricordatevi che l'aggiornamento è obbligatorio!

 

Siti web:

L’odontotecnico non può fare pubblicità, come previsto dal regolamento MDR 2017/745 e dal Decreto 137/2022, comma 5 salvo che il fatto costituisca reato, chiunque effettua pubblicità presso il pubblico in violazione delle disposizioni dell’articolo 26, commi 1 e 2[4], è soggetto alla sanzione amministrativa pecuniaria da euro 2.600 a euro 15.600.

 

Tuttavia nessuno impedisce a chiunque di avere un sito web di presentazione dell’azienda: chi siamo, cosa facciamo, dove ci troviamo, alcune foto della struttura e di dispositivi medici su misura, senza pubblicare listini prezzi.

Basta poco però per essere obbligati ad adempimenti maggiori. Ad esempio basta siano installati dei cookie, sia presente un form di contatto e quindi di raccolta dei dati degli utenti visitatori che ci si deve adeguare alla normativa.

 

Deve essere infatti presente la privacy policy redatta sulla base di come e di che dati si raccolgono e che uso se ne fa. Risulta quindi difficile individuare un modello standard che vada bene per tutti i siti internet quindi dovete rivolgervi a persone competenti in materia sia che si tratti di un sito per “sola presentazione azienda” che di uno che preveda la raccolta dei dati. Fatto sta che quando si digita sulla barra dell’URL l’indirizzo del sito, venga caricata assieme alla pagina una finestra simile a questa

E ora la domanda posta con più frequenza: posso aprire una pagina sui social network tipo Facebook, Instagram, Tik Tok, LinkedIn, Youtube, X (ex-twitter), Pinterest o posso utilizzare Whatsapp?

La risposta sintetica è sì ma anche in questo caso valgono le norme dell’articolo 26 del Decreto 137/2022 appena citato, ossia niente  pubblicità.

_____________________________________

[1]  1. È vietata la pubblicità verso il pubblico dei seguenti dispositivi:

            a) dispositivi su misura di cui all'articolo 2, numero 3), del regolamento;

            b) dispositivi per il cui impiego e' prevista come obbligatoria, dalle norme vigenti, l'assistenza di un medico o di

            altro professionista sanitario;

            c) dispositivi per il cui impiego e' prevista come obbligatoria, secondo le indicazioni del fabbricante, l'assistenza di un medico o di altro professionista sanitario;

            d) dispositivi medici la cui vendita al pubblico e' subordinata, dalle norme vigenti, alla prescrizione di un medico.

 2. Nell'interesse della salute pubblica o della sicurezza e salute dei pazienti, il Ministro della salute, con apposito decreto, puo' individuare ulteriori tipologie di dispositivi medici per i quali non e' consentita la pubblicita' presso il pubblico.

 

 

 

le aziende comunicano

editoria

LabTribune

area soci

Registrati
Hai dimenticato la password? Reimpostala
contatti e informazioni

Sede legale e amministrativa

Via Appia, 100

83042 Atripalda (AV)

tel e fax : 0825 610339 - 0825 610685

P.Iva 02153251000

social