Jsme nemocnice podle NIS 2?
NIS 2 vás zavazuje, pokud jste Gesundheitsdienstleister podle směrnice 2011/24/EU a překročíte práh velikosti středního podniku. Hranice KRITIS 30 000 vollstationäre Fälle je samostatný, přísnější německý režim. Dva testy, dvě odpovědi.
Stručná verze
Nemocnice sedí v NIS 2 příloze I sektoru 5 (Gesundheitswesen). Směrnice je zachytává jako 'Gesundheitsdienstleister' ve smyslu čl. 3 písm. g) směrnice 2011/24/EU. Seznam sektoru je širší než samotné nemocnice: referenční laboratoře EU, výzkum a vývoj léčiv, výrobci léčivých přípravků a výrobci kritických zdravotnických prostředků pro mimořádné situace v oblasti veřejného zdraví jsou ve stejné kategorii.
Zda vás NIS 2 zavazuje, závisí na čl. 2 odst. 1. Jste v působnosti, pokud jste středním podnikem podle doporučení Komise 2003/361/ES, nebo větší. Práh střední velikosti je 50 zaměstnanců nebo 10 milionů eur ročního obratu nebo bilanční sumy. Regionální klinika se 60 zaměstnanci je uvnitř. Specializovaná praxe s 20 zaměstnanci obecně není.
Německo má vedle toho běžící druhý režim: KRITIS. KRITIS-Verordnung stanoví práh specifický pro nemocnice ve výši 30 000 vollstationäre Krankenhausfälle za rok. Nemocnice se statusem KRITIS jsou stále subjekty NIS 2, ale nesou navíc přísnější povinnosti podle sekcí KRITIS v BSIG. KRITIS není práh NIS 2. Dva samostatné testy.
Příloha I sektor 5 směrnice NIS 2 (2022/2555)
Gesundheitsdienstleister im Sinne des Artikels 3 Buchstabe g der Richtlinie 2011/24/EU; EU-Referenzlaboratorien im Sinne des Artikels 15 der Verordnung (EU) 2022/2371; Einrichtungen, die Forschungs- und Entwicklungstätigkeiten in Bezug auf Arzneimittel im Sinne des Artikels 1 Nummer 2 der Richtlinie 2001/83/EG ausüben; Einrichtungen, die pharmazeutische Erzeugnisse im Sinne des Abschnitts C Abteilung 21 der Statistischen Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft (NACE Rev. 2) herstellen; Einrichtungen, die Medizinprodukte herstellen, die während einer Notlage im Bereich der öffentlichen Gesundheit als kritisch im Sinne des Artikels 22 der Verordnung (EU) 2022/123 eingestuft werden.
Doslovně z OJ L 333/145. Sektor 5 zachycuje pět kategorií. Nemocnice je první z nich. Laboratoře, výzkum a vývoj léčiv, výroba léčiv a výrobci kritických prostředků jsou další čtyři.
Článek 2 odst. 1 NIS 2 + doporučení 2003/361/ES
Tato směrnice se vztahuje na veřejné nebo soukromé subjekty typu uvedeného v příloze I nebo II, které se kvalifikují jako střední podniky podle článku 2 přílohy doporučení 2003/361/ES, nebo které překračují stropy pro střední podniky stanovené v odstavci 1 uvedeného článku.
Článek 2 odst. 1 je pravidlo o působnosti. Definice velikosti 2003/361/ES říká, že střední znamená 50 nebo více zaměstnanců, nebo 10 milionů eur nebo více ročního obratu nebo bilanční sumy. Překročte kterýkoli práh a jste uvnitř.
§28 BSIG plus KRITIS-Verordnung (Německo)
§28 BSIG transponuje působnost přílohy I do německého práva. BSI-Kritisverordnung definuje pro účely KRITIS práh 30 000 vollstationäre Krankenhausfälle pro Jahr pro nemocnice.
Dvě německá pravidla sedí na sobě. §28 BSIG provádí test působnosti NIS 2 (sektor plus velikost). KRITIS-Verordnung přidává samostatnou, přísnější německou vrstvu pro systémově významné nemocnice. Nejprve působnost NIS 2, poté působnost KRITIS.
Test sektoru
Jste Gesundheitsdienstleister podle čl. 3 písm. g) směrnice 2011/24/EU? To pokrývá nemocnice, kliniky, ambulantní poskytovatele, zubní praxe a každého zdravotnického pracovníka regulovaného členským státem. Laboratoře, vývojáři léčiv, výrobci léčiv a výrobci kritických zdravotnických prostředků jsou rovněž v sektoru 5 podle samostatných podkategorií.
Test velikosti (čl. 2 odst. 1)
Máte 50 nebo více zaměstnanců, nebo 10 milionů eur nebo více ročního obratu nebo bilanční sumy? Kterýkoli práh vás dostane do působnosti. Pod oběma zůstáváte venku, s úzkými výjimkami v čl. 2 odst. 2 a 3 (přepisy bez ohledu na velikost pro výhradní poskytovatele, veřejnou správu, kvalifikované služby vytvářející důvěru a několik dalších).
Překryv s KRITIS (jen Německo)
Dosahujete 30 000 vollstationäre Krankenhausfälle za rok? To je práh v BSI-Kritisverordnung. Nad ním jste KRITIS a nesete přísnější povinnosti podle §31 až 32 BSIG navrch k běžným povinnostem NIS 2. Pod ním jste pouze NIS 2. KRITIS je specifický pro Německo; NL, FR a AT používají vlastní pravidla pro určení.
NIS 2 není KRITIS
Dva režimy, dva zákony, dva prahy. NIS 2 používá definici velikosti středního podniku EU (50 zaměstnanců, 10 milionů eur). KRITIS používá sektorově specifické objemové prahy (pro nemocnice: 30 000 vollstationäre Fälle). Většina nemocnic, které jsou v NIS 2, není v KRITIS. Obráceně to možné není: každá nemocnice KRITIS je zároveň subjektem NIS 2.
Sektor 5 je širší než nemocnice
Příloha I sektor 5 zachycuje pět kategorií v jedné: poskytovatelé zdravotní péče, referenční laboratoře EU, subjekty výzkumu a vývoje léčiv, výrobci léčiv a výrobci kritických zdravotnických prostředků. Diagnostická laboratoř s 60 lidmi obsluhující nemocnice je v sektoru 5 sama o sobě, nikoli jako dodavatel. Stejný test velikosti, stejné povinnosti.
BSI / §28 BSIG plus KRITIS-Verordnung
BSI zveřejňuje sektorově specifické materiály FAQ pro zdravotnictví podle NIS2-Umsetzungsgesetz a proces určení KRITIS provozuje samostatně. §28 BSIG je háček působnosti NIS 2. BSI-Kritisverordnung stanoví práh KRITIS 30 000 Fälle. Oba mohou platit pro tutéž nemocnici.
Sledovač transpozice NIS 2 ENISA
ENISA zveřejňuje stránku o transpozici NIS 2, která uvádí vnitrostátní zákony a příslušné orgány v každém členském státě. Je to nejpřehlednější jediný zdroj pro přeshraniční skupiny nemocnic, které zjišťují, u kterého regulátora v každé zemi podávají.
Vnitrostátní transpoziční zákony
Příloha I sektor 5 zavazuje poskytovatele zdravotní péče v celé EU. NL to pokrývá prostřednictvím Cyberbeveiligingswet; FR prostřednictvím Ordonnance n° 2024-1093; AT prostřednictvím NISG. Test sektoru je stejný. Test velikosti je stejný. Ohlašovací kanály a příslušné orgány se liší.
Jsme pod 30 000 případy ročně, takže jsme venku.
To je práh KRITIS, ne práh NIS 2. NIS 2 používá čl. 2 odst. 1: 50 zaměstnanců nebo 10 milionů eur obratu. Regionální klinika se 60 zaměstnanci a 8 000 případy ročně je v NIS 2 a mimo KRITIS. Obojí může platit naráz.
NIS 2 se vztahuje jen na IT systémy, ne na zbytek nemocnice.
Působnost funguje na úrovni subjektu, ne na úrovni systému. Pokud je vaše nemocnice subjektem NIS 2, každý systém, který podporuje službu z přílohy I (záznamy pacientů, oddělenské systémy, zdravotnické prostředky v síti, systémy směrem k dodavatelům), je uvnitř povinností §30 BSIG. Neexistuje výjimka jen pro klinické systémy.
Lékárna na místě je mimo působnost.
Záleží na právním subjektu a jeho velikosti. Pokud je lékárna samostatným právním subjektem, prochází vlastní test NIS 2. Pokud je součástí nemocnice, dědí působnost NIS 2 nemocnice. Výrobci léčiv (samostatná podkategorie sektoru 5) procházejí vlastní test velikosti.
Typický případ: regionální klinika s 50 lůžky, 60 zaměstnanci a ročním obratem 12 milionů eur. Test sektoru prochází (Gesundheitsdienstleister). Test velikosti prochází (nad oběma prahy středního podniku). Test KRITIS neprochází (hluboko pod 30 000 vollstationäre Fälle). Výsledek: v NIS 2, mimo KRITIS. Platí plná opatření §30 BSIG, plus hlášení incidentů §32 BSIG. Žádný auditní cyklus KRITIS.
Co praktici skutečně dělají: nejprve provedou test sektoru, poté test velikosti, oba zdokumentují v písemné Anwendbarkeitsprüfung podepsané řídicím orgánem. Otázka KRITIS dostane vlastní dokument, protože spouští jiný proces u BSI. Jejich oddělení udržuje auditní stopu čistou.
Kontrola použitelnosti prochází všechny tři testy v pořadí: klasifikace sektoru podle přílohy I, práh velikosti podle čl. 2 odst. 1 a německý překryv s KRITIS podle BSI-Kritisverordnung. Odpovíte na šest otázek a získáte písemnou Anwendbarkeitsprüfung, kterou můžete předat svému auditorovi.
Výstupem není ano/ne. Je to odůvodnění: do kterého sektoru a které podkategorie spadáte, který test velikosti jste prošli a zda je ve hře práh KRITIS. Podepsáno řídicím orgánem, uloženo s auditní stopou, navázáno na verzi textu EU a BSIG, který citujeme.
- Směrnice (EU) 2022/2555 (NIS 2), příloha I sektor 5 a čl. 2 odst. 1. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Směrnice 2011/24/EU, čl. 3 písm. g) (definice Gesundheitsdienstleister). eur-lex.europa.eu/eli/dir/2011/24/oj
- Doporučení Komise 2003/361/ES, příloha čl. 2 (definice středního podniku)
- Zákon o BSI (BSIG), §28 ve znění NIS2-Umsetzungsgesetz
- BSI-Kritisverordnung, práh sektoru nemocnice (30 000 vollstationäre Krankenhausfälle pro Jahr)
- Sledovač transpozice NIS 2 ENISA. enisa.europa.eu/topics/nis-directive