¿Somos un hospital según NIS 2?
NIS 2 le vincula si es un Gesundheitsdienstleister conforme a la Directiva 2011/24/UE y supera el umbral de tamaño de mediana empresa. La línea KRITIS de 30 000 vollstationäre Fälle es un régimen alemán independiente y más estricto. Dos tests, dos respuestas.
La versión breve
Los hospitales se sitúan en el sector 5 del anexo I de NIS 2 (Gesundheitswesen). La directiva los recoge como 'Gesundheitsdienstleister' en el sentido del artículo 3(g) de la Directiva 2011/24/UE. La lista del sector es más amplia que los hospitales por sí solos: los laboratorios de referencia de la UE, la I+D de medicamentos, los fabricantes de productos farmacéuticos y los fabricantes de dispositivos médicos críticos para emergencias de salud pública están en el mismo grupo.
Que NIS 2 le vincule depende del artículo 2(1). Está en el ámbito si es una mediana empresa conforme a la Recomendación 2003/361/CE de la Comisión, o mayor. El umbral de mediana es de 50 empleados o 10 millones de euros de volumen de negocios anual o de balance total. Una clínica regional de 60 empleados está dentro. Una consulta especializada de 20 empleados, por lo general, no.
Alemania tiene un segundo régimen funcionando en paralelo: KRITIS. La KRITIS-Verordnung fija un umbral específico para hospitales de 30 000 vollstationäre Krankenhausfälle al año. Los hospitales con estatus KRITIS siguen siendo entidades NIS 2, pero además asumen deberes más estrictos conforme a las secciones KRITIS del BSIG. KRITIS no es el umbral de NIS 2. Dos tests separados.
Sector 5 del anexo I de la Directiva NIS 2 (2022/2555)
Gesundheitsdienstleister im Sinne des Artikels 3 Buchstabe g der Richtlinie 2011/24/EU; EU-Referenzlaboratorien im Sinne des Artikels 15 der Verordnung (EU) 2022/2371; Einrichtungen, die Forschungs- und Entwicklungstätigkeiten in Bezug auf Arzneimittel im Sinne des Artikels 1 Nummer 2 der Richtlinie 2001/83/EG ausüben; Einrichtungen, die pharmazeutische Erzeugnisse im Sinne des Abschnitts C Abteilung 21 der Statistischen Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft (NACE Rev. 2) herstellen; Einrichtungen, die Medizinprodukte herstellen, die während einer Notlage im Bereich der öffentlichen Gesundheit als kritisch im Sinne des Artikels 22 der Verordnung (EU) 2022/123 eingestuft werden.
Literal del DO L 333/145. El sector 5 capta cinco categorías. Un hospital es la primera. Los laboratorios, la I+D de medicamentos, la fabricación farmacéutica y los fabricantes de dispositivos críticos son las otras cuatro.
Artículo 2(1) NIS 2 + Recomendación 2003/361/CE
La presente Directiva se aplica a las entidades públicas o privadas de un tipo de los mencionados en el anexo I o II que tengan la consideración de medianas empresas en virtud del artículo 2 del anexo de la Recomendación 2003/361/CE, o que superen los límites máximos para las medianas empresas previstos en el apartado 1 de dicho artículo.
El artículo 2(1) es la regla de ámbito. La definición de tamaño de 2003/361/CE establece que mediana significa 50 empleados o más, o 10 millones de euros o más en volumen de negocios anual o balance total. Supere cualquiera de los dos umbrales y está dentro.
§28 BSIG más KRITIS-Verordnung (Alemania)
El §28 BSIG transpone el ámbito del anexo I al Derecho alemán. La BSI-Kritisverordnung define, a efectos de KRITIS, el umbral de 30 000 vollstationäre Krankenhausfälle pro Jahr para los hospitales.
Dos reglas alemanas se sitúan una sobre otra. El §28 BSIG implementa el test de ámbito de NIS 2 (sector más tamaño). La KRITIS-Verordnung añade una capa alemana independiente y más estricta para los hospitales sistémicamente importantes. Primero el ámbito de NIS 2, después el ámbito de KRITIS.
Test sectorial
¿Es un Gesundheitsdienstleister conforme al artículo 3(g) de la Directiva 2011/24/UE? Eso abarca hospitales, clínicas, proveedores ambulatorios, consultas dentales y cualquier profesional sanitario regulado por un Estado miembro. Los laboratorios, los desarrolladores de medicamentos, los fabricantes farmacéuticos y los fabricantes de dispositivos médicos críticos también están en el sector 5 en subcategorías independientes.
Test de tamaño (artículo 2(1))
¿Tiene 50 empleados o más, o 10 millones de euros o más en volumen de negocios anual o balance total? Cualquiera de los dos umbrales le pone en el ámbito. Por debajo de ambos, queda fuera, con excepciones limitadas en el artículo 2(2) y (3) (anulaciones con independencia del tamaño para proveedores únicos, administración pública, servicios de confianza cualificados y algunos otros).
Solapamiento con KRITIS (solo Alemania)
¿Alcanza 30 000 vollstationäre Krankenhausfälle al año? Ese es el umbral de la BSI-Kritisverordnung. Por encima, es KRITIS y asume los deberes más estrictos del §31-32 BSIG además de los deberes ordinarios de NIS 2. Por debajo, es solo NIS 2. KRITIS es específico de Alemania; NL, FR y AT utilizan sus propias reglas de designación.
NIS 2 no es KRITIS
Dos regímenes, dos leyes, dos umbrales. NIS 2 utiliza la definición de tamaño de mediana empresa de la UE (50 empleados, 10 millones de euros). KRITIS utiliza umbrales volumétricos específicos por sector (para hospitales: 30 000 vollstationäre Fälle). La mayoría de los hospitales que están en NIS 2 no están en KRITIS. Lo inverso no es posible: todo hospital KRITIS es también una entidad NIS 2.
El sector 5 es más amplio que los hospitales
El sector 5 del anexo I capta cinco categorías en un solo grupo: proveedores de asistencia sanitaria, laboratorios de referencia de la UE, entidades de I+D de medicamentos, fabricantes farmacéuticos y fabricantes de dispositivos médicos críticos. Un laboratorio de diagnóstico de 60 personas que presta servicio a hospitales está en el sector 5 por derecho propio, no como proveedor. Mismo test de tamaño, mismos deberes.
BSI / §28 BSIG más KRITIS-Verordnung
El BSI publica material FAQ específico por sector para la sanidad conforme a la NIS2-Umsetzungsgesetz y ejecuta el proceso de designación KRITIS por separado. El §28 BSIG es el anclaje de ámbito de NIS 2. La BSI-Kritisverordnung fija el umbral KRITIS de 30 000 Fälle. Ambos pueden aplicarse al mismo hospital.
Rastreador de transposición de NIS 2 de ENISA
ENISA publica una página de transposición de NIS 2 que enumera las leyes nacionales y las autoridades competentes por Estado miembro. Es la fuente única más limpia para los grupos hospitalarios transfronterizos que tratan de averiguar ante qué regulador presentan en cada país.
Leyes nacionales de transposición
El sector 5 del anexo I vincula a los proveedores de asistencia sanitaria en toda la UE. NL lo cubre a través de la Cyberbeveiligingswet; FR a través de la Ordonnance n.º 2024-1093; AT a través de la NISG. El test sectorial es el mismo. El test de tamaño es el mismo. Los canales de notificación y las autoridades competentes difieren.
Estamos por debajo de 30 000 casos al año, así que estamos fuera.
Ese es el umbral de KRITIS, no el de NIS 2. NIS 2 utiliza el artículo 2(1): 50 empleados o 10 millones de euros de volumen de negocios. Una clínica regional de 60 empleados con 8000 casos al año está en NIS 2 y fuera de KRITIS. Ambas cosas pueden ser ciertas a la vez.
NIS 2 solo se aplica a los sistemas de TI, no al resto del hospital.
El ámbito opera a nivel de entidad, no a nivel de sistema. Si su hospital es una entidad NIS 2, todo sistema que dé soporte al servicio del anexo I (historiales de pacientes, sistemas de planta, dispositivos médicos en la red, sistemas orientados a proveedores) está dentro de los deberes del §30 BSIG. No existe una exención solo para sistemas clínicos.
La farmacia in situ está fuera del ámbito.
Depende de la entidad jurídica y de su tamaño. Si la farmacia es una entidad jurídica separada, ejecuta su propio test de NIS 2. Si forma parte del hospital, hereda el ámbito de NIS 2 del hospital. Los fabricantes farmacéuticos (una subcategoría independiente del sector 5) ejecutan su propio test de tamaño.
Caso típico: una clínica regional de 50 camas con 60 empleados y 12 millones de euros de volumen de negocios anual. El test sectorial se supera (Gesundheitsdienstleister). El test de tamaño se supera (por encima de ambos umbrales de mediana empresa). El test KRITIS no se supera (muy por debajo de 30 000 vollstationäre Fälle). Resultado: en NIS 2, fuera de KRITIS. Se aplican las medidas completas del §30 BSIG, más la notificación de incidentes del §32 BSIG. Sin ciclo de auditoría KRITIS.
Lo que hacen realmente los profesionales: ejecutar primero el test sectorial, después el test de tamaño, documentar ambos en una Anwendbarkeitsprüfung escrita firmada por el órgano de dirección. La cuestión de KRITIS recibe su propio documento porque activa un proceso distinto en el BSI. Separarlos mantiene limpia la pista de auditoría.
La comprobación de aplicabilidad recorre los tres tests en orden: clasificación sectorial conforme al anexo I, umbral de tamaño conforme al artículo 2(1) y el solapamiento alemán con KRITIS conforme a la BSI-Kritisverordnung. Responde seis preguntas y obtiene una Anwendbarkeitsprüfung escrita que puede entregar a su auditor.
El resultado no es un sí/no. Es una justificación: a qué sector y a qué subcategoría pertenece, qué test de tamaño superó y si el umbral KRITIS está en juego. Firmada por el órgano de dirección, almacenada con pista de auditoría, fijada a la versión del texto de la UE y del BSIG que citamos.
- Directiva (UE) 2022/2555 (NIS 2), sector 5 del anexo I y artículo 2(1) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Directiva 2011/24/UE, artículo 3(g) (definición de Gesundheitsdienstleister) — eur-lex.europa.eu/eli/dir/2011/24/oj
- Recomendación 2003/361/CE de la Comisión, anexo artículo 2 (definición de mediana empresa)
- Ley del BSI (BSIG), §28 en su versión modificada por la NIS2-Umsetzungsgesetz
- BSI-Kritisverordnung, umbral del sector hospitales (30 000 vollstationäre Krankenhausfälle pro Jahr)
- Rastreador de transposición de NIS 2 de ENISA — enisa.europa.eu/topics/nis-directive