L’impatto della NIS 2 nel settore farmaceutico

Tra le infrastrutture critiche per la sicurezza e la resilienza dell’Unione europea che rientrano nel perimetro applicativo della Direttiva Ue 2022/2555, conosciuta come Direttiva NIS 2, e del Decreto legislativo 4 settembre 2024 n. 138 che ne ha recepito le disposizioni nell’ordinamento italiano, si annovera anche l’industria farmaceutica che, pertanto, si ritrova a dover applicare le nuove disposizioni normative.

Il settore sanitario e il farmaceutico nel perimetro NIS 2

La Direttiva NIS 2 sostituisce la precedente NIS 1, ampliando il perimetro di applicazione e rafforzando la protezione delle reti e dei sistemi informativi.

I soggetti interessati devono implementare un modello di governance della sicurezza informatica, adottare metodologie di analisi e mitigazione del rischio, predisporre un piano di continuità operativa e disaster recovery, nonché adottare strumenti di monitoraggio continuo.

L’Allegato I del Decreto NIS classifica inoltre il settore sanitario tra quelli “ad alta criticità” (settore 5). In questa categoria rientrano infatti vari sottosettori e attori della filiera sanitaria.
In particolare, sono soggetti alle disposizioni della NIS2 i seguenti attori del settore:

• i prestatori di assistenza sanitaria, definiti dalla Direttiva 2011/24/UE;
• laboratori di riferimento dell’UE, designati ai sensi del Regolamento (UE) 2022/2371;
• soggetti che svolgono attività di ricerca e sviluppo relative ai medicinali, secondo la Direttiva 2001/83/CE;
• i soggetti che fabbricano prodotti farmaceutici di base e preparati farmaceutici, inclusi nella sezione C, divisione 21 della classificazione Nace Rev. 2;
• i soggetti che fabbricano dispositivi medici considerati critici durante un’emergenza di sanità pubblica, di cui al Regolamento (UE) 2022/123.

Invece, i produttori di dispositivi medici, inclusi quelli medico diagnostici in vitro, così come le aziende attive nella fabbricazione, produzione e distribuzione di prodotti chimici, rientrano tra gli “Altri settori critici” indicati all’interno dell’allegato II.

Il settore farmaceutico, quindi, è pienamente coinvolto nella normativa, poiché include aziende che operano nella produzione di medicinali, nonché nello sviluppo e nella ricerca.

Data la crescente digitalizzazione del settore e la sua rilevanza strategica, le nuove disposizioni impongono l’adozione di adeguate misure di sicurezza per garantire la resilienza dell’ecosistema sanitario.

Organizzazioni che operano nel settore sanitario: chiarimenti di ACN

L’Acn (Agenzia per la Cybersicurezza Nazionale) tramite la Faq A1.5.1 pubblicata sul proprio sito internet ha chiarito l’ambito di applicazione della Direttiva NIS2 per il settore sanitario.

Vi rientrano tutte le organizzazioni stabilite in Italia che superano i massimali per le piccole imprese ai sensi
della Raccomandazione 2003/361/CE, e che svolgono attività riconducibili al Settore 5 dell’Allegato I del decreto NIS.
Tali organizzazioni sono qualificate come:

• soggetti importanti, se superano i massimali per le piccole imprese;
• soggetti essenziali se superano i massimali per le medie imprese.

La Faq chiarisce l’applicazione della Direttiva NIS 2 all’intero settore sanitario.

I soggetti regolamentati nel settore farmaceutico

In questo contesto, per quanto riguarda il settore farmaceutico, rientrano tra i soggetti regolamentati le imprese che superano i massimali per le piccole imprese e per le quali è corretta almeno una delle seguenti affermazioni:

• “All’organizzazione si applica la direttiva 2001/83/CE recante un codice comunitario relativo ai medicinali per uso umano recepita dal decreto legislativo 2006/219; la stessa organizzazione è riconducibile a un soggetto che svolge attività di ricerca e sviluppo relative a medicinali (“qualsiasi sostanza o combinazione di sostanze presentata allo scopo di curare o prevenire le malattie negli esseri umani; è considerato medicinale anche qualsiasi sostanza o associazione di sostanze che può essere somministrata all’uomo allo scopo di stabilire una diagnosi medica o di ripristinare, correggere o modificare funzioni fisiologiche dell’uomo” ex. articolo 1, punto 2), della medesima direttiva)”;
• “L’organizzazione è riconducibile ai soggetti che fabbricano prodotti farmaceutici di base e preparati farmaceutici di cui alla sezione C, divisione 21 della NACE rev.2”. Questa classificazione identifica le imprese che producono i principi attivi farmaceutici e i medicinali finiti, essenziali per la continuità della filiera produttiva del settore sanitario. Le imprese che svolgono questa attività sul territorio italiano sono incluse nell’elenco delle “Officine autorizzate alla produzione di medicinali” pubblicato sul sito dell’Agenzia del Farmaco e costantemente aggiornato. Non rientrano, pertanto, tra i soggetti in perimetro NIS 2 nel settore sanitario, coloro che svolgono mera attività di distribuzione al dettaglio o all’ingrosso.

Adempimenti per le organizzazioni in perimetro

L’industria farmaceutica riveste un ruolo centrale nell’ambito della Direttiva NIS 2, che punta a rafforzare la sicurezza informatica all’interno dell’UE, riducendo la frammentazione normativa tra gli Stati membri e garantendo un livello uniforme di protezione.

L’adeguamento alla nuova normativa non si limita all’adozione di soluzioni tecnologiche avanzate, ma richiede un cambio culturale. La sicurezza informatica deve infatti diventare parte integrante della strategia aziendale, con investimenti mirati in formazione e sensibilizzazione del personale.

Le aziende del settore, pertanto, devono integrare la cyber security nella governance aziendale, adottando un approccio sistemico che includa l’identificazione delle vulnerabilità, il monitoraggio delle minacce e l’implementazione di misure di mitigazione proporzionate al rischio.

La filiera

Un aspetto cruciale riguarda la protezione dell’intera filiera produttiva e distributiva, un contesto in cui la crescente digitalizzazione e l’interconnessione tra gli attori del settore aumentano esponenzialmente l’esposizione a minacce informatiche.

In base alla Direttiva Ue 2022/2555 e al D.Lgs. 138/2024, le aziende farmaceutiche devono garantire:

• gestione del rischio: identificazione e analisi continua delle vulnerabilità, implementazione di misure di sicurezza proporzionate al livello di rischio, monitoraggio costante delle minacce emergenti e predisposizione di strategie di risposta a potenziali incidenti;
• segnalazione degli incidenti: comunicazione tempestiva agli organismi competenti (in Italia, l’autorità identificata è Acn) in caso di violazioni che possano avere un impatto sulla sicurezza;
• sicurezza della supply chain: valutazione della resilienza informatica di fornitori e partner, implementazione di audit periodici per verificare il rispetto degli standard di sicurezza e introduzione di requisiti di cyber security nei contratti. Particolare attenzione deve essere posta ai fornitori di servizi cloud, alle terze parti con accesso ai dati sensibili e alle piattaforme di telemedicina;
• governance della cyber security: definizione di ruoli e responsabilità all’interno dell’organizzazione, coinvolgimento del top management nella strategia di cyber security e predisposizione di un piano di gestione delle crisi per affrontare eventuali attacchi informatici;
• formazione e sensibilizzazione: realizzazione di programmi di formazione e aggiornamento continui per il personale, simulazioni di attacchi informatici, promozione di una cultura aziendale orientata alla sicurezza, con particolare attenzione ai dipendenti che gestiscono dati sensibili o operano in smart working.

La resilienza digitale

L’inserimento del settore sanitario tra quelli ad alta criticità nella NIS 2 evidenzia il ruolo centrale della cyber sicurezza nella tutela della salute pubblica e nella protezione della catena di approvvigionamento.

Il D.Lgs. 138/2024 rafforza questi obblighi a livello nazionale, imponendo alle organizzazioni del settore un adeguamento rapido ed efficace ai nuovi standard.
All’interno del settore sanitario, il comparto farmaceutico gioca un ruolo cruciale, con obblighi specifici per la sicurezza dei processi produttivi e di ricerca.

La conformità alla Direttiva NIS2 rappresenta non solo un requisito normativo, ma anche un’opportunità per rafforzare la resilienza digitale e proteggere l’intera filiera.

Elevati standard di sicurezza contribuiscono a mitigare i rischi informatici, garantendo la continuità operativa e la protezione di dati, infrastrutture e servizi essenziali.