Si rileva che la nuova Direttiva (UE) 2022/2555 (NIS 2), entrata in vigore attraverso il D.Lgs. 138/2024 (NIS) il 18 ottobre 2024, impone a determinati soggetti specifici obblighi di gestione e segnalazione in caso di incidenti informatici. Tra questi obblighi rientrano: l’aggiornamento annuale delle attività e dei servizi erogati attraverso mezzi informatici, e la notifica tempestiva all’Agenzia per la Cybersicurezza Nazionale (ACN) in caso di incidente (pre-notifica entro 24 ore, notifica ufficiale entro 72 ore e successive relazioni intermedie e finali).
Riguardo agli iscritti agli Albi dei medici e degli odontoiatri e alle STP occorre evidenziare che al momento la direttiva (UE) 2022/2555 (NIS 2) non si applica alle piccole imprese, ma a grandi o medie imprese pubbliche e private di settori strategici del Paese. In particolare, ai sensi dell’articolo 2 dell’allegato alla raccomandazione 361/2003 richiamata dal D.Lgs. 138/2024, per “grandi” si intendono aziende con più di 250 dipendenti, fatturato annuo superiore a 50 milioni di euro o bilancio annuo totale superiore a 43 milioni. Per “medie” s’intendono ditte con meno di 250 dipendenti, fatturato annuo oltre 10 milioni di euro e bilancio annuo totale oltre 10 e milioni di euro.
Pertanto, la maggior parte degli studi professionali medici e/o odontoiatrici e delle stp non rientra tra i soggetti obbligati agli adempimenti di cui alla normativa NIS2.