Anhang I + II Sektor 5 NIS 2

Jsme výrobce zdravotnických prostředků podle NIS 2?

Výrobci prostředků na seznamu kritických prostředků EMA jsou zásadně významnými subjekty podle podkategorie 5 přílohy I. Každý jiný výrobce zdravotnických prostředků nebo IVD je významným subjektem podle sektoru 5 přílohy II, pokud je dosažena prahová hodnota velikosti podle článku 2 odst. 1. MDR a IVDR běží souběžně. Žádná výjimka lex specialis.

Simon OrzelSimon Orzel·

Krátká verze

Výrobci zdravotnických prostředků se objevují ve dvou přílohách NIS 2 současně. Sektor 5 přílohy I je uvádí ve své páté podkategorii jako výrobce prostředků považovaných za kritické během mimořádné situace v oblasti veřejného zdraví podle článku 22 nařízení (EU) 2022/123. To je seznam kritických prostředků EMA. Společnosti na něm jsou zásadně významnými subjekty a sedí ve vyšším pásmu pokut.

Sektor 5 přílohy II zachycuje zbytek odvětví. Podkategorie jsou výrobci zdravotnických prostředků podle článku 2 odst. 1 nařízení (EU) 2017/745 (MDR) a výrobci diagnostických zdravotnických prostředků in vitro podle článku 2 odst. 2 nařízení (EU) 2017/746 (IVDR). To jsou významné subjekty. Stejný test velikosti podle článku 2 odst. 1 jako u všech ostatních: 50 zaměstnanců nebo 10 milionů eur obratu nebo bilanční sumy.

MDR a IVDR běží souběžně, NIS 2 nenahrazují. MDR pokrývá prostředek, NIS 2 pokrývá společnost. Povinnosti v oblasti kybernetické bezpečnosti podle MDR příloha I bod 17.2 sedí na úrovni produktu. Povinnosti NIS 2 podle článku 21 sedí na úrovni subjektu. Platí obojí. Pro výrobce zdravotnických prostředků neexistuje žádná výjimka typu lex specialis jako u DORA.

Právní zdroj
Tři vrstvy. Podkategorie 5 přílohy I zvedá výrobce z kritického seznamu EMA do pásma zásadně významných. Sektor 5 přílohy II zvedá každého jiného výrobce zdravotnických prostředků a IVD do pásma významných. Německý BSIG zavádí obojí prostřednictvím § 28.

Příloha I sektor 5, pátá odrážka směrnice NIS 2 (2022/2555)

Subjekty vyrábějící zdravotnické prostředky považované za kritické během mimořádné situace v oblasti veřejného zdraví (seznam kritických prostředků pro mimořádné situace v oblasti veřejného zdraví) ve smyslu článku 22 nařízení (EU) 2022/123.

Doslovně z Úř. věst. L 333/145, příloha I sektor 5, pátá odrážka. Odkaz je na seznam kritických prostředků EMA podle nařízení (EU) 2022/123. Pokud je váš produkt na tomto seznamu, jste zásadně významným subjektem. Pásmo pokut: až 10 milionů eur nebo 2 procenta celosvětového obratu, podle toho, co je vyšší.

Příloha II sektor 5 směrnice NIS 2 (2022/2555)

Výroba zdravotnických prostředků a diagnostických zdravotnických prostředků in vitro: subjekty vyrábějící zdravotnické prostředky ve smyslu čl. 2 bodu 1 nařízení Evropského parlamentu a Rady (EU) 2017/745, s výjimkou subjektů vyrábějících zdravotnické prostředky uvedené v příloze I bodě 5 páté odrážce této směrnice; subjekty vyrábějící diagnostické zdravotnické prostředky in vitro ve smyslu čl. 2 bodu 2 nařízení Evropského parlamentu a Rady (EU) 2017/746.

Doslovně z Úř. věst. L 333/146, příloha II sektor 5. Dvě podkategorie: výrobci podle MDR (mimo výrobce z kritického seznamu EMA, kteří jdou do přílohy I) a výrobci podle IVDR. NACE C32.5 pokrývá výrobní klasifikaci. Významný subjekt, pásmo pokut až 7 milionů eur nebo 1,4 procenta celosvětového obratu.

§ 28 BSIG a článek 2 odst. 1 NIS 2 (test velikosti)

§ 28 BSIG transponuje působnost přílohy I a přílohy II do německého práva. Článek 2 odst. 1 NIS 2 plus doporučení 2003/361/ES stanoví prahovou hodnotu velikosti: 50 nebo více zaměstnanců, nebo 10 milionů eur nebo více ročního obratu nebo bilanční sumy.

Dvě prahové hodnoty, jedna z nich stačí. Pravidlo velikosti je totožné pro subjekty z přílohy I i přílohy II. Jediné, co se mezi nimi mění, je pásmo pokut a režim dohledu. BfArM zůstává regulátorem pro MDR a IVDR; BSI je regulátorem pro NIS 2. Dva různé orgány, jedna společnost.

Tři testy, které rozhodují vaši odpověď
Projděte je v pořadí. První dva vyřeší, zda jste v působnosti. Třetí vyřeší, ve které příloze sedíte, což rozhoduje vaše pásmo pokut.
Test 1

Seznam kritických prostředků EMA

Je váš produkt na seznamu kritických prostředků EMA podle článku 22 nařízení (EU) 2022/123? Tento seznam jmenuje prostředky považované za kritické během vyhlášené mimořádné situace v oblasti veřejného zdraví. Ventilátory, kyslíkové koncentrátory, některé diagnostické prostředky, některé infuzní prostředky. Pokud ano, uplatní se podkategorie 5 přílohy I a jste zásadně významným subjektem.

Test 2

Obecný výrobce prostředků nebo IVD

Jste výrobce podle článku 2 odst. 1 MDR nebo článku 2 odst. 2 IVDR? To zachycuje celé odvětví: jakoukoli stranu, která vyvíjí, vyrábí, repasuje nebo uvádí zdravotnický prostředek či IVD na trh pod svým vlastním jménem. Klasifikace NACE C32.5. Pokud ano a neprošli jste testem 1, uplatní se sektor 5 přílohy II a jste významným subjektem.

Test 3

Test velikosti (článek 2 odst. 1)

Máte 50 nebo více zaměstnanců, nebo 10 milionů eur nebo více ročního obratu nebo bilanční sumy? Kterákoli prahová hodnota vás dostává do působnosti. Pod oběma zůstáváte mimo, s úzkými výjimkami bez ohledu na velikost v článku 2 odst. 2 a odst. 3 (výhradní poskytovatelé, veřejná správa, kvalifikované služby vytvářející důvěru, několik dalších).

Dvě pravidla, která většinu lidí zaskočí
Dva strukturální body, které publikum při prvním čtení přehlédne. Oba se objevují téměř v každém rozhovoru o použitelnosti s vedoucími pracovníky regulatory affairs ve firmách vyrábějících zdravotnické prostředky.

Podkategorie 5 přílohy I a sektor 5 přílohy II se vzájemně vylučují

Přečtěte si sektor 5 přílohy II pečlivě: pokrývá výrobce podle MDR s výjimkou těch, kteří jsou již jmenováni v podkategorii 5 přílohy I. Jediná společnost je buď zásadně významná (na seznamu kritických prostředků EMA), nebo významná (všichni ostatní). Stejný sektor, dvě přílohy, různá pásma pokut. Nesedíte v obou najednou.

MDR a IVDR pokrývají prostředek, NIS 2 pokrývá společnost

MDR příloha I požadavek 17.2 již nařizuje bezpečnost IT na úrovni produktu: prostředek musí být navržen a vyroben tak, aby zajistil opakovatelný, spolehlivý a výkonný provoz proti přiměřeně předvídatelným kybernetickým rizikům. NIS 2 článek 21 sedí o jednu vrstvu výše: správa a řízení, řízení rizik, dodavatelský řetězec, zvládání incidentů na úrovni společnosti. Platí obojí. Žádné nepohlcuje druhé.

Jak to vnitrostátní regulátoři skutečně vedou
EU stanoví jedno pravidlo působnosti a jeden soubor povinností v oblasti kybernetické bezpečnosti. Výrobci zdravotnických prostředků nesou navrch dva regulátory: oznámený subjekt a vnitrostátní orgán pro zdravotnické prostředky pro MDR a IVDR, a navrch vnitrostátní orgán pro kybernetickou bezpečnost podle NIS 2.
Německo

BSI / § 28 BSIG (orgán pro kybernetickou bezpečnost podle NIS 2)

BSI je orgánem pro kybernetickou bezpečnost podle NIS 2. § 28 BSIG provádí působnost přílohy I a přílohy II. § 30 BSIG stanoví opatření řízení rizik a § 32 BSIG stanoví povinnosti hlášení. BSI nereguluje samotný prostředek, pouze postoj společnosti ke kybernetické bezpečnosti.

Německo

BfArM / MPDG (zdravotnické prostředky a IVD)

BfArM je německý příslušný orgán pro MDR a IVDR podle Medizinprodukte-Durchführungsgesetz (MPDG). Dohlíží na samotný prostředek: posuzování shody, dozor po uvedení na trh, hlášení vigilance. Povinnost kybernetické bezpečnosti podle MDR přílohy I bodu 17.2 sedí zde, odlišně od povinností NIS 2 u BSI.

Celounijní

Nástroj sledování transpozice NIS 2 od ENISA

ENISA zveřejňuje stránku transpozice NIS 2 uvádějící vnitrostátní zákony a příslušné orgány za každý členský stát. Pro výrobce zdravotnických prostředků prodávajících po celé EU je to nejčistší jediný zdroj pro orgán kybernetické bezpečnosti v každé zemi. Prostředí oznámených subjektů podle MDR je samostatné a sleduje se prostřednictvím databáze EUDAMED.

Tři výklady, které výrobce zaskočí
Tři vzorce, které se objevují téměř v každém hovoru o použitelnosti s vedoucími regulatory affairs nebo kvality ve firmách vyrábějících zdravotnické prostředky. Všechny tři vedou k chybným rozhodnutím o rozsahu.

  • MDR příloha I bod 17.2 už pokrývá kybernetickou bezpečnost, takže NIS 2 se navrch neuplatní.

    MDR 17.2 pokrývá kybernetickou bezpečnost produktu pro prostředek. NIS 2 článek 21 pokrývá kybernetickou bezpečnost společnosti pro výrobce: správa a řízení, řízení rizik, dodavatelský řetězec, zvládání incidentů, kontinuita provozu. Dvě různé vrstvy. NIS 2 nemá pro výrobce zdravotnických prostředků žádnou výjimku lex specialis. Platí obojí v plném rozsahu.

  • Vyrábíme jen prostředky třídy I, takže jsme pod hranicí NIS 2.

    Riziková třída podle MDR není testem NIS 2. Test NIS 2 je sektor přílohy I nebo přílohy II plus velikost podle článku 2 odst. 1. Výrobce obvazů třídy I s 80 zaměstnanci je v sektoru 5 přílohy II jako významný subjekt. Klinická riziková třída produktu je pro působnost NIS 2 nepodstatná.

  • Jsme firma vyrábějící software jako zdravotnický prostředek, tohle je jen MDR.

    Výrobci SaMD jsou výrobci zdravotnických prostředků podle článku 2 odst. 1 MDR. Sektor 5 přílohy II je zachycuje. Pokud překročíte prahovou hodnotu velikosti, NIS 2 se uplatní. Software přílohu nemění; společnost stále vyrábí zdravotnický prostředek podle MDR. Zachycuje vás stejná podkategorie.

Jak to reální provozovatelé zdravotnických prostředků dělají

Typický případ: výrobce ortopedických implantátů s 90 zaměstnanci a ročním obratem 25 milionů eur. Test 1 neprojde (není na seznamu kritických prostředků EMA). Test 2 projde (výrobce podle MDR podle článku 2 odst. 1). Test 3 projde (výrazně nad prahem středního podniku). Výsledek: sektor 5 přílohy II, významný subjekt. Opatření podle § 30 BSIG se uplatní. Hlášení podle § 32 BSIG se uplatní. Posuzování shody podle MDR pokračuje u oznámeného subjektu beze změny.

Co provozovatelé skutečně dělají: udržují soubor NIS 2 odděleně od technické dokumentace MDR. Dva regulátoři, dvě podání. Doklady podle MDR přílohy I bodu 17.2 (modelování hrozeb, bezpečný vývojový životní cyklus, bezpečnost po uvedení na trh) napájejí povinnosti dodavatelského řetězce podle NIS 2 článku 21 odst. 2 písm. e), ale nenahrazují je. Podepište Anwendbarkeitsprüfung na úrovni řídicího orgánu a uložte oba soubory pod stejnou auditní stopu.

Jak to řešíme na platformě

Kontrola použitelnosti prochází všechny tři testy v pořadí: seznam kritických prostředků EMA podle podkategorie 5 přílohy I, obecný test výrobce podle MDR nebo IVDR podle sektoru 5 přílohy II a prahová hodnota velikosti podle článku 2 odst. 1. Výstup jmenuje podkategorii, přílohu, pásmo pokut a regulátora. Předáte ho svému auditorovi.

Výstupem není ano/ne. Je to odůvodnění: která příloha, která podkategorie, který test velikosti byl splněn a kde vedle toho sedí povinnosti MDR a IVDR. Podepsáno řídicím orgánem, verzově navázáno na text EU a transpozici § 28 BSIG, kterou citujeme. Při aktualizaci seznamu kritických prostředků EMA v rámci budoucí mimořádné situace v oblasti veřejného zdraví se spustí znovu bez problémů.

Zdroje
  • Směrnice (EU) 2022/2555 (NIS 2), příloha I sektor 5 pátá odrážka a příloha II sektor 5. eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Nařízení (EU) 2022/123 o posílené úloze EMA, článek 22 (seznam kritických léčivých přípravků a zdravotnických prostředků). eur-lex.europa.eu/eli/reg/2022/123/oj
  • Nařízení (EU) 2017/745 (MDR), článek 2 odst. 1 (definice výrobce) a příloha I požadavek 17.2 (kybernetická bezpečnost). eur-lex.europa.eu/eli/reg/2017/745/oj
  • Nařízení (EU) 2017/746 (IVDR), článek 2 odst. 2 (definice výrobce). eur-lex.europa.eu/eli/reg/2017/746/oj
  • Doporučení Komise 2003/361/ES, příloha článek 2 (definice středního podniku)
  • Zákon o BSI (BSIG), § 28 ve znění NIS2-Umsetzungsgesetz
  • Medizinprodukte-Durchführungsgesetz (MPDG). gesetze-im-internet.de/mpdg
  • Nástroj sledování transpozice NIS 2 od ENISA. enisa.europa.eu/topics/nis-directive
Spusťte kontrolu použitelnosti pro vaši firmu vyrábějící zdravotnické prostředky
Test kritických prostředků EMA, test výrobce podle MDR nebo IVDR, test velikosti podle článku 2 odst. 1 v jednom průchodu. Výstupem je podepsaná Anwendbarkeitsprüfung, kterou můžete založit vedle technické dokumentace MDR. Zdarma, open source, žádné uzamčení.
Spustit kontrolu použitelnosti