NIS2 2026 cybersecurity

NIS2 2026: gli obblighi di cybersecurity per poliambulatori

5 Febbraio 2026
, , News

Il D.Lgs. 138/2024 ha recepito in Italia la direttiva europea NIS2 (Network and Information Security), estendendo gli obblighi di sicurezza informatica al settore sanitario privato. Poliambulatori, centri medici specialistici e strutture private di dimensione media che gestiscono dati sanitari digitali rientrano nell’ambito di applicazione. Le scadenze operative partono già dal 2026.

Cosa prevede la direttiva NIS2

La direttiva europea 2022/2555 (NIS2), recepita in Italia con il D.Lgs. 138/2024, introduce obblighi strutturati di gestione del rischio informatico per le organizzazioni che operano in settori considerati critici o importanti per il funzionamento del Paese. La sanità è esplicitamente inclusa tra questi settori.

L’impianto della NIS2 si basa su due pilastri:

  • Misure di sicurezza tecniche e organizzative, che coprono crittografia, controllo degli accessi, backup, risposta agli incidenti, sicurezza della supply chain IT.
  • Obbligo di notifica degli incidenti significativi all’autorità nazionale competente (il CSIRT Italia, gestito dall’ACN — Agenzia per la Cybersicurezza Nazionale), entro 24 ore dalla rilevazione di un incidente grave.

Chi è coinvolto nel settore sanitario privato

La NIS2 non riguarda il singolo medico in libera professione né il piccolo studio monoprofessionale. I soggetti coinvolti sono le organizzazioni che superano determinate soglie dimensionali:

  • Soggetti importanti: strutture con 50-249 dipendenti o fatturato tra 10 e 50 milioni di euro annui
  • Soggetti essenziali: strutture con 250 o più dipendenti o fatturato superiore a 50 milioni di euro annui

Nella pratica, poliambulatori multi-specialistici strutturati, centri diagnostici privati, gruppi medici associati con più sedi e strutture private accreditate con il SSN che operano su larga scala rientrano frequentemente nella prima categoria. Le strutture più grandi (ospedali privati, grandi cliniche) nella seconda.

Chi non supera queste soglie non è soggetto direttamente agli obblighi NIS2, ma rimane comunque tenuto al rispetto del GDPR per la protezione dei dati sanitari.

Le scadenze del 2026

Registrazione ACN (già scaduta il 28 febbraio 2026): i soggetti già identificati come rientranti nella NIS2 dovevano confermare o aggiornare la loro registrazione sulla piattaforma ACN entro il 28 febbraio 2026. I soggetti di nuova identificazione che ancora non si sono registrati devono procedere il prima possibile.

Notifica degli incidenti (operativa dal 15 gennaio 2026): dal 15 gennaio 2026 è pienamente operativo il regime obbligatorio di notifica al CSIRT Italia degli incidenti informatici significativi, entro 24 ore dalla rilevazione.

Implementazione misure di sicurezza: gli obblighi tecnici e organizzativi devono essere assolti entro 18 mesi dalla notifica ufficiale di inserimento nell’elenco dei soggetti NIS da parte di ACN.

Cosa fare in pratica

Le strutture sanitarie private che rientrano nell’ambito NIS2 devono affrontare un percorso di adeguamento articolato:

  1. Verificare se si rientra nell’ambito. Il primo passo è una valutazione interna basata su numero di dipendenti e fatturato annuo. Se si supera una delle due soglie per la categoria “soggetti importanti”, la struttura è soggetta alla NIS2.
  2. Completare la registrazione ACN. La piattaforma di registrazione dell’Agenzia per la Cybersicurezza Nazionale è il punto di ingresso formale nel regime NIS2. Le strutture già identificate che non hanno ancora completato il rinnovo 2026 devono farlo urgentemente.
  3. Effettuare una gap analysis. Confrontare lo stato attuale della sicurezza informatica della struttura con i requisiti NIS2: crittografia dei dati a riposo e in transito, autenticazione multi-fattore, segregazione degli accessi, backup e test di ripristino, procedure di incident response.
  4. Adeguare i sistemi e i processi. Gli interventi tipici includono: aggiornamento delle politiche di accesso ai sistemi informativi, implementazione di sistemi di monitoraggio degli eventi di sicurezza, formalizzazione dei piani di continuità operativa e disaster recovery, verifica dei fornitori IT (supply chain security).
  5. Formare il personale. La NIS2 include tra le misure obbligatorie la formazione sulla cybersecurity per chi ha accesso a sistemi critici, incluso il personale amministrativo che gestisce dati di pazienti.

Perché il settore sanitario è un obiettivo privilegiato

I dati sanitari sono tra le informazioni più sensibili e preziose sul mercato criminale. Una cartella clinica contiene dati anagrafici, condizioni di salute, terapie, dati di pagamento — un profilo completo della persona che vale molto di più di un semplice numero di carta di credito. Le strutture sanitarie, spesso sotto pressione operativa e con sistemi IT non aggiornati, sono un bersaglio frequente di ransomware e data breach.

Adeguarsi alla NIS2 non è solo un obbligo normativo: è una risposta concreta a un rischio reale che, in caso di incidente, può comportare l’interruzione dell’operatività clinica, sanzioni amministrative fino all’1,4% del fatturato annuo globale (per soggetti importanti), e un grave danno reputazionale verso i pazienti.

Come DBMedica contribuisce alla sicurezza dei dati sanitari

Un gestionale medico è uno dei sistemi più critici nella catena di protezione dei dati sanitari: aggrega le informazioni cliniche di tutti i pazienti, gestisce gli accessi di operatori con ruoli diversi e produce i documenti che alimentano il FSE. DBMedica è stato progettato tenendo conto di questo ruolo:

Crittografia dei dati clinici a riposo

Le cartelle cliniche digitali in DBMedica sono crittografate a riposo. I dati delle cartelle non sono accessibili in chiaro nemmeno a chi avesse accesso diretto al database, un requisito fondamentale per qualsiasi struttura che debba dimostrare conformità agli obblighi di protezione dei dati.

Sistema di permessi granulare

DBMedica implementa un sistema di controllo degli accessi con oltre 55 permessi configurabili e ruoli personalizzabili. Ogni utente del sistema — medico, segretario, responsabile amministrativo, operatore di cassa — vede e può fare solo ciò che la struttura ha esplicitamente autorizzato. Questo riduce drasticamente la superficie di esposizione: un operatore di segreteria non può accedere alle cartelle cliniche se non abilitato, e un medico non può esportare i dati contabili se non autorizzato.

Gestione multi-sede con configurazione separata

Per le strutture multi-sede che rientrano nella NIS2, DBMedica gestisce ogni sede come un’entità con configurazione indipendente: utenti, permessi, listini e dati sono separati per sede. Questo favorisce una corretta segmentazione dei dati e degli accessi, principio cardine della sicurezza NIS2.

L’adeguamento è un investimento, non solo un costo

Le strutture che si adeguano alla NIS2 non lo fanno solo per evitare sanzioni: costruiscono un’infrastruttura più resiliente, riducono il rischio di interruzioni operative causate da attacchi informatici e rafforzano la fiducia dei pazienti nella gestione dei propri dati. Richiedi una demo gratuita di DBMedica per scoprire come il gestionale contribuisce alla sicurezza e alla conformità della tua struttura sanitaria.

ricette bianche digitali 2026

Ricette bianche digitali 2026: cosa devono fare gli specialisti

27 Gennaio 2026
, , News

Dal 1° gennaio 2025 la ricetta bianca — quella con cui medici e specialisti prescrivono farmaci non a carico del SSN — dovrebbe essere emessa in formato elettronico, tramite il sistema di dematerializzazione del Ministero dell’Economia. In un chiarimento pubblicato nel gennaio 2026, ANDI ha confermato l’obbligo per gli odontoiatri, pur riconoscendo che permangono aree di incertezza per i liberi professionisti senza rapporti contrattuali con il SSN. Ecco cosa sappiamo con certezza e cosa devono fare gli studi nel 2026.

Dalla proroga all’obbligo: il percorso della dematerializzazione

La dematerializzazione delle prescrizioni mediche in Italia ha avuto un percorso lungo. Le ricette rosse (a carico del SSN) sono digitali da oltre un decennio. Le ricette bianche (farmaci a carico del paziente) sono rimaste cartacee molto più a lungo, con una transizione progressiva.

Il Decreto Milleproroghe 2026 (L. 26/2026) ha consolidato il regime permanente per la ricetta dematerializzata, rimuovendo l’ultima veste transitoria e confermando la digitalizzazione come standard definitivo del sistema prescrittivo nazionale.

Dal 1° febbraio 2026 è inoltre entrata in vigore una modifica alla validità delle ricette dematerializzate ripetibili: il medico può ora emettere una ricetta valida fino a 12 mesi per terapie croniche, con erogazione di una confezione alla volta da parte del farmacista. Una semplificazione concreta per i pazienti con patologie croniche che riduce la necessità di tornare periodicamente dallo specialista solo per il rinnovo della prescrizione.

Chi è obbligato: la posizione di ANDI per gli odontoiatri

Il punto più delicato riguarda i professionisti che operano esclusivamente in regime privato, senza alcun rapporto contrattuale con il SSN. Nel suo chiarimento di gennaio 2026, ANDI ha confermato che gli odontoiatri sono soggetti all’obbligo di dematerializzazione, pur segnalando che permangono interpretazioni diverse sul caso specifico del libero professionista puro (senza convenzioni SSN).

La posizione pratica consigliata da ANDI ai propri iscritti è adottare la ricetta digitale come prassi standard per tutti i pazienti, indipendentemente dall’interpretazione normativa, sia per conformarsi all’obbligo ormai consolidato sia per evitare contestazioni future.

Per i medici specialisti privati (cardiologi, ortopedici, dermatologi, ecc.) che emettono ricette bianche per farmaci non mutuabili, la situazione è analoga: la dematerializzazione è l’indirizzo normativo chiaro, e i sistemi tecnici per farlo sono già disponibili e funzionanti.

Come funziona tecnicamente la ricetta bianca digitale

Il processo di emissione di una ricetta bianca dematerializzata si svolge tramite il sistema del Ministero dell’Economia (portale Sistema Tessera Sanitaria):

  1. Il medico accede al portale con le proprie credenziali (codice fiscale + PIN fornito dall’ASL o dall’Ordine professionale di riferimento).
  2. Inserisce i dati del paziente (codice fiscale), il farmaco prescritto (denominazione o principio attivo, dosaggio, numero confezioni), e le eventuali indicazioni.
  3. Il sistema genera un NRE (Numero di Ricetta Elettronica) univoco, che il paziente può esibire in farmacia digitalmente o tramite un promemoria cartaceo.
  4. Il farmacista legge il NRE nel proprio sistema, eroga il farmaco e chiude la ricetta nel database ministeriale.

La complessità tecnica del processo è gestita dal portale ministeriale, non dal gestionale dello studio. Il gestionale ha un ruolo di supporto: consente di tenere traccia delle prescrizioni emesse all’interno della cartella clinica del paziente, integrando la prescrizione con la visita e il piano terapeutico.

Cosa fare entro il 2026

Per gli studi che non hanno ancora attivato la ricetta dematerializzata, i passi da seguire sono:

  1. Richiedere le credenziali di accesso al portale TS. Il medico che non ha ancora ricevuto PIN e codice di accesso al sistema prescrittivo deve richiederlo alla propria ASL di competenza o all’Ordine professionale. La procedura è gratuita e richiede pochi giorni.
  2. Testare il sistema prima del pieno utilizzo. Prima di emettere le prime ricette digitali ai pazienti, è utile familiarizzare con il portale — inserire dati di prova e verificare la generazione del NRE.
  3. Informare i pazienti. Molti pazienti anziani non sono abituati alla ricetta digitale. Spiegare brevemente che riceveranno un codice (NRE) o un promemoria da mostrare in farmacia — anziché il foglio fisico — evita confusione all’accettazione.
  4. Collegare le prescrizioni alla cartella clinica. La best practice è documentare ogni prescrizione anche nel gestionale, associandola alla visita e al piano terapeutico del paziente. Questo consente di avere uno storico completo e di rispondere con precisione in caso di follow-up o contestazione.
  5. Verificare la procedura per le ricette ripetibili a 12 mesi. La nuova validità estesa è una semplificazione per i pazienti cronici, ma richiede che il medico configuri correttamente il numero di erogazioni previste e la periodicità al momento dell’emissione.

Come DBMedica integra la gestione delle prescrizioni

DBMedica supporta la gestione delle prescrizioni all’interno del flusso clinico, con un approccio integrato rispetto alla cartella del paziente:

Ricette SSN multi-regionali

Il modulo Ricette di DBMedica gestisce le prescrizioni SSN con supporto multi-regionale (Lombardia, Emilia-Romagna, Marche e altre regioni supportate). Le ricette SSN emesse dal medico vengono registrate direttamente nel sistema, con accesso tramite i permessi dedicati (recipes:readrecipes:manage). Questo copre il flusso prescrittivo per le strutture convenzionate.

Prescrizioni nella cartella clinica

All’interno della cartella clinica digitale, DBMedica include la sezione Prescrizioni, dove il medico può registrare tutte le terapie prescritte al paziente — farmaci, esami, fisioterapia — con data, descrizione e note cliniche. Questo crea uno storico prescrittivo completo associato alla visita, indipendentemente dal canale di emissione della ricetta (portale TS, sistema SSN, o prescrizione per prestazioni specialistiche).

Richieste di esami

Oltre alle prescrizioni farmacologiche, DBMedica gestisce le Richieste di Esami all’interno della cartella clinica: il medico registra la richiesta, e il paziente la riceve in PDF firmato. Questo flusso è utile sia per le richieste verso laboratori interni al poliambulatorio sia per le richieste verso strutture esterne.

Un adempimento che si inserisce in un contesto più ampio

La dematerializzazione delle ricette bianche non è un caso isolato: fa parte di un percorso di digitalizzazione del sistema sanitario nazionale che include FSE 2.0, fascicolo farmacologico, e integrazione delle informazioni cliniche tra strutture diverse. Per gli studi che si trovano a gestire contemporaneamente questi adempimenti, disporre di un gestionale strutturato che integra le diverse componenti — cartella clinica, prescrizioni, fatturazione, FSE — riduce significativamente il rischio di lacune operative. Richiedi una demo gratuita di DBMedica per vedere come questi flussi si integrano nella pratica quotidiana del tuo studio.

fattura elettronica sanitaria

Fattura elettronica sanitaria: il divieto B2C diventa definitivo

20 Gennaio 2026
, , News

Con il D.Lgs. n. 81/2025, il divieto di emettere fattura elettronica tramite SdI per prestazioni sanitarie verso pazienti persone fisiche cessa di essere una proroga temporanea e diventa una norma permanente. Dal 1° gennaio 2026, l’obbligo è “a regime”: studi medici, poliambulatori e professionisti sanitari non possono — e non devono — trasmettere via SdI le fatture relative a prestazioni sanitarie rese a pazienti privati.

Cosa cambia con il D.Lgs. n. 81/2025

Dal 2019, il divieto di fatturazione elettronica via Sistema di Interscambio (SdI) per le prestazioni sanitarie verso persone fisiche era stato introdotto in via transitoria, con successive proroghe anno dopo anno. Il motivo è sempre stato lo stesso: tutelare la riservatezza dei dati sanitari dei pazienti, che nel tracciato XML delle e-fatture sarebbero stati trasmessi all’Agenzia delle Entrate e potenzialmente accessibili.

Il D.Lgs. n. 81 del 12 giugno 2025 ha modificato strutturalmente l’articolo 10-bis del D.L. 119/2018, trasformando quello che era un regime temporaneo in una regola definitiva e permanente. Non ci sono più scadenze di rinnovo: il divieto è stabile.

Chi è interessato e cosa rimane obbligatorio

Il divieto riguarda tutti gli operatori sanitari con partita IVA che erogano prestazioni a pazienti in qualità di persone fisiche (il cosiddetto regime B2C):

  • Medici specialisti in libera professione
  • Studi odontoiatrici
  • Poliambulatori privati
  • Fisioterapisti, psicologi, logopedisti e altri professionisti sanitari

Le fatture verso pazienti privati devono essere emesse in formato cartaceo o PDF tradizionale, senza passare per SdI.

Restano invece invariati — e obbligatori — due adempimenti paralleli:

  • Fatturazione elettronica B2B e PA: le prestazioni fatturate verso altre aziende o enti pubblici seguono il normale percorso SdI.
  • Invio dati al Sistema Tessera Sanitaria: le spese sanitarie sostenute dai pazienti privati devono comunque essere comunicate al Sistema TS entro il 31 gennaio dell’anno successivo, nel formato previsto dal Ministero dell’Economia. Questo obbligo è separato dalla fatturazione elettronica e rimane in vigore.

Cosa fare in pratica

Il divieto è tecnico e definitivo: un gestionale medico correttamente configurato non dovrebbe nemmeno permettere l’invio via SdI di una fattura sanitaria verso un privato. Tuttavia, alcune situazioni richiedono attenzione:

  1. Verifica la configurazione del tuo software. Se il gestionale in uso consente ancora di selezionare “fattura elettronica SdI” per le prestazioni sanitarie verso persone fisiche, c’è un rischio concreto di emissione accidentale non conforme. Contatta il fornitore per verificare che il blocco sia attivo.
  2. Distingui correttamente le tipologie di fattura. Lo stesso studio può emettere sia fatture verso pazienti privati (cartacee/PDF, senza SdI) sia fatture verso aziende o assicurazioni (elettroniche via SdI). Il gestionale deve gestire questa distinzione in modo automatico, senza richiedere all’operatore di ricordare ogni volta la regola corretta.
  3. Mantieni la trasmissione al Sistema TS separata. Il divieto di SdI non esime dall’obbligo di comunicare i dati di spesa al Sistema Tessera Sanitaria. Sono due binari indipendenti e la confusione tra i due può portare ad anomalie in entrambe le direzioni.
  4. Attenzione al rischio privacy. Inviare per errore una fattura sanitaria tramite SdI non è solo un errore formale: è una violazione della privacy dei dati sanitari del paziente, con possibili conseguenze sotto il profilo del GDPR.

Come DBMedica gestisce questa distinzione

Un gestionale specializzato per il settore sanitario non dovrebbe fare affidamento sulla memoria dell’operatore per applicare correttamente la normativa. DBMedica gestisce nativamente questa separazione:

Blocco automatico del canale SdI per prestazioni sanitarie

DBMedica distingue automaticamente le fatture sanitarie verso persone fisiche dalle fatture B2B e PA. Le prime non vengono inviate tramite SdI — il software le tratta correttamente come documenti fuori dall’obbligo di e-fattura, producendo un PDF tradizionale firmato e numerato secondo la numerazione progressiva configurata.

Fatturazione elettronica per B2B e PA

Quando la prestazione viene fatturata verso un’azienda, un ente, una compagnia assicurativa o una struttura pubblica, DBMedica gestisce l’intero ciclo della fattura elettronica: generazione del file XML nel formato FatturaPA, trasmissione via SdI, ricezione degli esiti (ricevuta di consegna, notifica di accettazione o scarto) e archiviazione automatica.

Integrazione parallela con il Sistema TS

In parallelo alla gestione delle fatture, DBMedica integra il modulo Sistema Tessera Sanitaria per la comunicazione annuale dei dati di spesa sanitaria al MEF. I due flussi — fatturazione e trasmissione TS — sono completamente separati e gestiti in modo indipendente, così da rispettare entrambi gli obblighi senza rischio di sovrapposizioni.

Definitivo non significa complicato

Il passaggio dalla proroga alla norma permanente è una buona notizia per chi gestisce uno studio medico: non ci sono più scadenze da monitorare, non ci sono più rinnovi annuali da attendere. La regola è chiara e stabile. Ciò che resta necessario è avere un gestionale che la applichi automaticamente, senza dipendere da un’operazione manuale corretta ogni volta. Richiedi una demo gratuita di DBMedica per verificare come il modulo di fatturazione gestisce nativamente tutti questi adempimenti.

1 2 3