Ancora pochi giorni di tempo, fino al 28 febbraio, per farmacie e imprese con oltre 50 dipendenti e fatturato superiore a 10 milioni di euro per registrarsi sulla piattaforma digitale dell’Agenzia nazionale per la cybersicurezza (Acn) in ottemperanza agli obblighi dettati dalla direttiva Ue Nis2 e dal Decreto Legislativo 138/2024 che la recepisce. A ricordarlo una comunicazione diffusa ieri da Federfarma Roma.
Le farmacie qualificate come “medie imprese”, ossia con un fatturato superiore ai 10 milioni di euro e più di 50 dipendenti, sono automaticamente soggette agli obblighi di cybersicurezza previsti dal decreto. Queste realtà devono implementare una serie di misure per proteggere le proprie infrastrutture digitali e segnalare eventuali incidenti di sicurezza.
Dal 1° gennaio al 28 febbraio di ogni anno, i soggetti interessati devono comunicare all’Agenzia ragione sociale e recapiti aggiornati, designazione di un punto di contatto aziendale ed modifiche ai dati trasmessi (da notificare entro 14 giorni dalla variazione).
Dal 15 aprile al 31 maggio, su comunicazione dell’Acn, le aziende devono fornire anche dettagli su indirizzi IP pubblici e domini in uso, oltre a nominare un sostituto per il punto di contatto. Inoltre, dal 1° maggio al 30 giugno, è necessario trasmettere l’elenco delle attività e dei servizi aziendali.
Gli organi amministrativi delle farmacie devono approvare e supervisionare le misure di gestione del rischio, oltre a garantire una formazione continua sulla cybersicurezza per il personale. Le misure obbligatorie comprendono:
Politiche di analisi del rischio e sicurezza informatica
Sistemi di gestione degli incidenti
Sicurezza della catena di approvvigionamento e protezione dei dati
Strategie di gestione delle vulnerabilità e uso di crittografia
Implementazione di autenticazione a più fattori e comunicazioni protette
Le farmacie e le imprese soggette alla normativa devono notificare tempestivamente a Csirt Italia gli incidenti di cybersicurezza che possano compromettere i servizi. In particolare:
Entro 24 ore deve essere inviata una pre-notifica
Entro 72 ore una valutazione iniziale dell’incidente
Entro un mese una relazione dettagliata sulle cause e le misure adottate
Controlli, sanzioni e poteri dell’ACN
L’Acn ha il compito di monitorare il rispetto delle misure attraverso ispezioni, richieste di documentazione e audit sulla sicurezza. In caso di violazioni, le sanzioni possono arrivare fino a 7 milioni di euro o all’1,4% del fatturato annuo. Le infrazioni minori, come la mancata registrazione o comunicazione di dati aggiornati, possono essere sanzionate con multe fino allo 0,07% del fatturato.
