NIS 2 a výzkumné organizace
Příloha II odvětví 10 pokrývá výzkumné organizace, které pracují na aplikovaném výzkumu nebo experimentálním vývoji pro komerční využití. Univerzity jsou ve výchozím stavu mimo. Členské státy mohou rozsah rozšířit.
Proč tento článek existuje
Příloha II směrnice NIS 2 ((EU) 2022/2555) uvádí výzkumné organizace jako odvětví 10. Tato kategorie sedí v příloze II, takže způsobilé subjekty jsou klasifikovány jako důležité subjekty (wichtige Einrichtungen).
Rozsah je užší než každodenní význam slova výzkum. NIS 2 se dívá na jeden konkrétní typ činnosti: aplikovaný výzkum nebo experimentální vývoj, jehož cílem je dosáhnout výsledků, které jsou pak komerčně využity. Základní výzkum, čistě akademická práce a vzdělávací činnosti nejsou ve výchozím stavu v rozsahu.
Stránka nejprve stanoví vrstvu EU (příloha II, článek 6(41), bod odůvodnění 39, test velikosti podle čl. 2 odst. 1), pak německou implementaci v § 28 BSIG a praktické pasti, které vidíme nejčastěji, když výzkumné organizace provádějí kontrolu použitelnosti.
Příloha II, odvětví 10 (směrnice (EU) 2022/2555)
Výzkumné organizace
Příloha II bod 10 uvádí odvětví s jediným typem subjektu „výzkumné organizace“. Věcná definice žije v článku 6(41) a je posílena bodem odůvodnění 39.
Článek 6(41), bod odůvodnění 39 (směrnice (EU) 2022/2555)
„Výzkumnou organizací“ se rozumí subjekt, jehož primárním cílem je provádět aplikovaný výzkum nebo experimentální vývoj za účelem komerčního využití výsledků tohoto výzkumu, a který nezahrnuje vzdělávací instituce.
Bod odůvodnění 39 dodává, že tato směrnice by se neměla vztahovat na vzdělávací instituce, zejména univerzity nebo výzkumná centra, která provádějí výzkumné činnosti na nekomerčním základě. Členské státy mohou na základě svých vnitrostátních politik a přístupů rozhodnout, že vzdělávací instituce mají spadat do oblasti působnosti této směrnice.
§ 28 BSIG (NIS2UmsuCG, Německo)
Forschungseinrichtungen mit Sitz in Deutschland, die die in §28 Absatz 1 BSIG genannten Schwellenwerte erreichen oder überschreiten, gelten als wichtige Einrichtungen.
Německo transponuje přílohu II odvětví 10 do § 28 BSIG. Subjekt zůstává důležitým subjektem (wichtige Einrichtung) a spadá do sankčního pásma § 65 BSIG až do 7 milionů eur nebo 1,4 procenta celosvětového ročního obratu, podle toho, co je vyšší.
Aplikovaný výzkum s komerčním účelem
Primární činností je aplikovaný výzkum nebo experimentální vývoj se záměrem, aby byly výsledky komerčně využity. Licencování, spin-offy, smluvní výzkum pro průmysl nebo prodej prototypů jsou typické signály. Čistě zvědavostí poháněný výzkum, výuka a osvěta nikoli.
Středně velký nebo větší
Článek 2(1) NIS 2 uplatňuje práh podle doporučení EU 2003/361/ES. Subjekt jej dosáhne s alespoň 50 zaměstnanci nebo ročním obratem a bilanční sumou nad 10 milionů eur. Pod prahem subjekt není v rozsahu, ledaže členský stát uplatní přepsání bez ohledu na velikost.
Národní rozšíření na univerzity
Členské státy mohou rozhodnout o zahrnutí vzdělávacích institucí, včetně univerzit, do rozsahu prostřednictvím vnitrostátního práva. Bez takového rozšíření jsou univerzity mimo, i když provozují velké jednotky aplikovaného výzkumu. Zda země rozšířila, je otázkou národního transpozičního aktu.
Vzdělávací instituce jsou ve výchozím stavu vyloučeny
Bod odůvodnění 39 je výslovný: NIS 2 se nevztahuje na vzdělávací instituce, zejména univerzity nebo výzkumná centra, která provádějí výzkumné činnosti na nekomerčním základě. Univerzitní výzkumná jednotka provádějící smluvní práci pro průmysl není automaticky vtažena. Vyloučení je na úrovni instituce, ne projektu.
Zdroj financování o rozsahu nerozhoduje
Definice závisí na činnosti (aplikovaný výzkum, komerční využití), ne na tom, kdo platí. Soukromě financovaná výzkumná GmbH a veřejně financovaný ústav Fraunhofer jsou oba v rozsahu, pokud splňují definici a test velikosti. Čistě veřejně financovaný ústav základního výzkumu v rozsahu není, protože činnost je nesprávná, ne proto, že financování je veřejné.
BSI jako příslušný orgán
Bundesamt für Sicherheit in der Informationstechnik (BSI) je příslušným orgánem pro výzkumné organizace podle § 28 BSIG. Registrace běží prostřednictvím portálu BSI; povinnosti jsou totožné s ostatními důležitými subjekty podle § 30 až 32 BSIG.
Pokyny ENISA
Technický prováděcí pokyn od ENISA (v1.2, srpen 2025) zachází s výzkumnými organizacemi stejně jako s ostatními subjekty přílohy II pro opatření řízení rizik podle článku 21. V prováděcím nařízení není žádná výjimka specifická pro výzkum. Odvětvové specifika se objevují pouze v prazích hlášení incidentů prostřednictvím národní dohledové praxe.
Žádné obecné rozšíření na univerzity v § 28 BSIG
Německo v NIS2UmsuCG neprovedlo obecné rozšíření NIS 2 na univerzity. Hochschulen a univerzitní výzkumná centra proto na federální úrovni zůstávají mimo rozsah NIS 2, ačkoli jiné federální nebo zemské zákony (například zákony o IT bezpečnosti jednotlivých Länder) se stále mohou uplatnit.
Univerzity jsou také výzkum, takže musí být v rozsahu.
Ve výchozím stavu ne. Bod odůvodnění 39 vyjímá vzdělávací instituce, zejména univerzity a nekomerční výzkumná centra. Jsou v rozsahu pouze tehdy, pokud na ně členský stát výslovně rozšířil NIS 2 vnitrostátním právem. V Německu toto rozšíření provedeno nebylo.
V rozsahu jsou jen veřejně financované výzkumné ústavy.
Špatný směr. Definice se dívá na činnost a záměr komerčního využití, ne na zdroj financování. Soukromá společnost provádějící smluvní výzkum může být plně v rozsahu. Čistě veřejně financovaný subjekt základního výzkumu je mimo, protože činnost je nekomerční, ne proto, že finance jsou veřejné.
Jsme nezisková organizace, takže NIS 2 neplatí.
Právní forma o rozsahu nerozhoduje. Gemeinnützige GmbH nebo e.V. provádějící aplikovaný výzkum pro komerční využití může splnit definici. Testem je činnost a velikostní práh, ne daňový status.
Při kontrolách použitelnosti, které provádíme, je hraničním případem téměř vždy smluvně výzkumné rameno univerzity nebo veřejně financovaný ústav se silnou pipeline transferu technologií. Správná otázka nezní, zda subjekt dělá výzkum, ale zda je jeho primárním účelem aplikovaný výzkum nebo experimentální vývoj s cestou ke komerčnímu využití.
Pokud je odpověď ano a subjekt splňuje velikostní práh podle čl. 2 odst. 1, je v NIS 2 jako důležitý subjekt, bez ohledu na to, zda se vidí jako součást veřejné výzkumné krajiny. Kontrola použitelnosti na platformě prochází článek 6(41) a článek 2(1) výslovně, takže to není ponecháno na výkladu.
Subjekty odvětví 10 provozují tentýž registr povinností NIS 2 jako jakýkoli jiný důležitý subjekt: registrace podle článku 27, správa podle článku 20, deset oblastí řízení rizik v čl. 21 odst. 2 a hlášení incidentů podle článku 23. Platforma strukturuje všechny tyto věci jako průběžné povinnosti spíše než jako jednorázový projekt.
Tam, kde má výzkumná organizace specifický vzorec důkazů (například smlouvy o transferu technologií, které musí splňovat doložky dodavatelského řetězce podle čl. 21 odst. 2 písm. d)), žije to v modulech dodavatelů a smluv. Neexistuje samostatný modul pro výzkum, protože opatření článku 21 jsou odvětvově neutrální.
- Směrnice (EU) 2022/2555 (NIS 2), příloha II bod 10 (Výzkum)
- Směrnice (EU) 2022/2555 (NIS 2), článek 6(41), definice výzkumné organizace
- Směrnice (EU) 2022/2555 (NIS 2), bod odůvodnění 39, vyloučení vzdělávacích institucí a volitelné rozšíření členským státem
- Směrnice (EU) 2022/2555 (NIS 2), článek 2(1), rozsah a velikostní práh podle doporučení 2003/361/ES
- BSIG (Gesetz zur Umsetzung der NIS-2-Richtlinie, NIS2UmsuCG), § 28, odvětvový rozsah včetně výzkumných organizací
- BSIG § 65, sankční pásmo pro důležité subjekty (až 7 milionů eur nebo 1,4 procenta celosvětového ročního obratu)
- Technický prováděcí pokyn od ENISA pro článek 21 NIS 2, v1.2 (srpen 2025)