¿Somos un fabricante de productos sanitarios conforme a NIS 2?
Los fabricantes de productos incluidos en la lista de productos críticos de la EMA son entidades esenciales conforme a la subcategoría 5 del Anexo I. Cualquier otro fabricante de productos sanitarios o de diagnóstico in vitro es una entidad importante conforme al sector 5 del Anexo II, siempre que se alcance el umbral de tamaño del artículo 2, apartado 1. El MDR y el IVDR funcionan en paralelo. Sin excepción de lex specialis.
La versión breve
Los fabricantes de productos sanitarios aparecen en dos anexos de NIS 2 al mismo tiempo. El sector 5 del Anexo I los enumera en su quinta subcategoría como fabricantes de productos considerados críticos durante una emergencia de salud pública conforme al artículo 22 del Reglamento (UE) 2022/123. Esa es la lista de productos críticos de la EMA. Las empresas incluidas en ella son entidades esenciales y se sitúan en la franja de sanción superior.
El sector 5 del Anexo II alcanza al resto de la industria. Las subcategorías son los fabricantes de productos sanitarios conforme al artículo 2, apartado 1, del Reglamento (UE) 2017/745 (MDR) y los fabricantes de productos sanitarios para diagnóstico in vitro conforme al artículo 2, apartado 2, del Reglamento (UE) 2017/746 (IVDR). Estas son entidades importantes. La misma prueba de tamaño del artículo 2, apartado 1, que para todos los demás: 50 empleados o 10 millones de euros de volumen de negocio o balance total.
El MDR y el IVDR funcionan en paralelo, no sustituyen a NIS 2. El MDR cubre el producto, NIS 2 cubre la empresa. Los deberes de ciberseguridad del MDR conforme al Anexo I, punto 17.2, se sitúan a nivel de producto. Los deberes de NIS 2 conforme al artículo 21 se sitúan a nivel de entidad. Se aplican ambos. No existe una excepción de lex specialis al estilo de DORA para los fabricantes de productos sanitarios.
Anexo I, sector 5, quinto guion, de la Directiva NIS 2 (2022/2555)
Entidades que fabrican productos sanitarios considerados críticos durante una emergencia de salud pública (lista de productos sanitarios críticos en caso de emergencia de salud pública) en el sentido del artículo 22 del Reglamento (UE) 2022/123.
Literal del DO L 333/145, Anexo I, sector 5, quinto guion. La referencia es la lista de productos críticos de la EMA conforme al Reglamento (UE) 2022/123. Si tu producto está en esa lista, eres una entidad esencial. Franja de sanción: hasta 10 millones de euros o el 2 por ciento del volumen de negocio mundial, si esta cifra es superior.
Anexo II, sector 5, de la Directiva NIS 2 (2022/2555)
Fabricación de productos sanitarios y productos sanitarios para diagnóstico in vitro: entidades que fabrican productos sanitarios en el sentido del artículo 2, punto 1, del Reglamento (UE) 2017/745 del Parlamento Europeo y del Consejo, con excepción de las entidades que fabrican productos sanitarios a que se refiere el anexo I, punto 5, quinto guion, de la presente Directiva; entidades que fabrican productos sanitarios para diagnóstico in vitro en el sentido del artículo 2, punto 2, del Reglamento (UE) 2017/746 del Parlamento Europeo y del Consejo.
Literal del DO L 333/146, Anexo II, sector 5. Dos subcategorías: fabricantes conforme al MDR (menos los fabricantes de productos críticos de la EMA, que van al Anexo I) y fabricantes conforme al IVDR. NACE C32.5 cubre la clasificación de fabricación. Entidad importante, franja de sanción de hasta 7 millones de euros o el 1,4 por ciento del volumen de negocio mundial.
§28 BSIG y artículo 2, apartado 1, de NIS 2 (prueba de tamaño)
El §28 BSIG transpone el ámbito de los Anexos I y II al Derecho alemán. El artículo 2, apartado 1, de NIS 2 más la Recomendación 2003/361/CE fijan el umbral de tamaño: 50 empleados o más, o 10 millones de euros o más de volumen de negocio anual o balance total.
Dos umbrales, basta con uno de ellos. La regla de tamaño es idéntica para las entidades del Anexo I y del Anexo II. Lo único que cambia entre ambos es la franja de sanción y el régimen de supervisión. La BfArM sigue siendo el regulador del MDR y del IVDR; el BSI es el regulador de NIS 2. Dos autoridades distintas, una sola empresa.
Lista de productos críticos de la EMA
¿Está tu producto en la lista de productos críticos de la EMA conforme al artículo 22 del Reglamento (UE) 2022/123? Esa lista nombra los productos considerados críticos durante una emergencia de salud pública declarada. Respiradores, concentradores de oxígeno, determinados productos de diagnóstico, determinados productos de infusión. En caso afirmativo, se aplica la subcategoría 5 del Anexo I y eres una entidad esencial.
Fabricante genérico de productos sanitarios o de diagnóstico in vitro
¿Eres un fabricante conforme al artículo 2, apartado 1, del MDR o al artículo 2, apartado 2, del IVDR? Eso abarca a toda la industria: cualquier parte que desarrolle, fabrique, reacondicione o introduzca en el mercado un producto sanitario o de diagnóstico in vitro bajo su propio nombre. Clasificación NACE C32.5. En caso afirmativo y si no superas la Prueba 1, se aplica el sector 5 del Anexo II y eres una entidad importante.
Prueba de tamaño (artículo 2, apartado 1)
¿Tienes 50 empleados o más, o 10 millones de euros o más de volumen de negocio anual o balance total? Cualquiera de los dos umbrales te sitúa dentro del ámbito de aplicación. Por debajo de ambos, permaneces fuera, con las limitadas excepciones con independencia del tamaño del artículo 2, apartados 2 y 3 (prestadores únicos, Administración pública, servicios de confianza cualificados y algunos otros).
La subcategoría 5 del Anexo I y el sector 5 del Anexo II se excluyen mutuamente
Lee con atención el sector 5 del Anexo II: cubre a los fabricantes conforme al MDR con excepción de los ya nombrados en la subcategoría 5 del Anexo I. Una sola empresa es o bien esencial (en la lista de productos críticos de la EMA) o bien importante (todas las demás). Mismo sector, dos anexos, distintas franjas de sanción. No te encuentras en ambos a la vez.
El MDR y el IVDR cubren el producto, NIS 2 cubre la empresa
El requisito 17.2 del Anexo I del MDR ya exige seguridad informática a nivel de producto: el producto ha de diseñarse y fabricarse de modo que se garantice un funcionamiento repetible, fiable y eficaz frente a los riesgos de ciberseguridad razonablemente previsibles. El artículo 21 de NIS 2 se sitúa una capa por encima: gobernanza, gestión de riesgos, cadena de suministro, gestión de incidentes a nivel de empresa. Se aplican ambos. Ninguno absorbe al otro.
BSI / §28 BSIG (autoridad de ciberseguridad de NIS 2)
El BSI es la autoridad de ciberseguridad conforme a NIS 2. El §28 BSIG operativiza el ámbito de los Anexos I y II. El §30 BSIG fija las medidas de gestión de riesgos y el §32 BSIG fija los deberes de notificación. El BSI no regula el producto en sí, solo la postura de ciberseguridad de la empresa.
BfArM / MPDG (productos sanitarios y de diagnóstico in vitro)
La BfArM es la autoridad competente alemana para el MDR y el IVDR conforme a la Medizinprodukte-Durchführungsgesetz (MPDG). Supervisa el producto en sí: evaluación de la conformidad, vigilancia poscomercialización, notificación de vigilancia. El deber de ciberseguridad del MDR conforme al Anexo I, punto 17.2, recae aquí, separado de los deberes de NIS 2 ante el BSI.
Rastreador de transposición de NIS 2 de ENISA
ENISA publica una página de transposición de NIS 2 que enumera las leyes nacionales y las autoridades competentes por Estado miembro. Para los fabricantes de productos sanitarios que venden en toda la UE, esa es la fuente única más clara para la autoridad de ciberseguridad de cada país. El panorama de organismos notificados del MDR es independiente y se rastrea a través de la base de datos EUDAMED.
El punto 17.2 del Anexo I del MDR ya cubre la ciberseguridad, así que NIS 2 no se aplica por encima.
El punto 17.2 del MDR cubre la ciberseguridad del producto. El artículo 21 de NIS 2 cubre la ciberseguridad de la empresa fabricante: gobernanza, gestión de riesgos, cadena de suministro, gestión de incidentes, continuidad de negocio. Dos capas distintas. NIS 2 no tiene excepción de lex specialis para los fabricantes de productos sanitarios. Se aplican ambos en su totalidad.
Solo fabricamos productos de clase I, así que estamos por debajo del umbral de NIS 2.
La clase de riesgo del MDR no es la prueba de NIS 2. La prueba de NIS 2 es el sector del Anexo I o del Anexo II más el tamaño del artículo 2, apartado 1. Un fabricante de vendas de clase I con 80 empleados está en el sector 5 del Anexo II como entidad importante. La clase de riesgo clínico del producto es irrelevante para el ámbito de NIS 2.
Somos una empresa de software como producto sanitario, esto es solo MDR.
Los fabricantes de software como producto sanitario (SaMD) son fabricantes de productos sanitarios conforme al artículo 2, apartado 1, del MDR. El sector 5 del Anexo II los alcanza. Si cruzas el umbral de tamaño, NIS 2 se aplica. El software no cambia el anexo; la empresa sigue fabricando un producto sanitario conforme al MDR. La misma subcategoría te alcanza.
Caso típico: un fabricante de implantes ortopédicos de 90 empleados con 25 millones de euros de volumen de negocio anual. La Prueba 1 no se supera (no está en la lista de productos críticos de la EMA). La Prueba 2 se supera (fabricante conforme al artículo 2, apartado 1, del MDR). La Prueba 3 se supera (muy por encima del umbral de mediana empresa). Resultado: sector 5 del Anexo II, entidad importante. Se aplican las medidas del §30 BSIG. Se aplica la notificación del §32 BSIG. La evaluación de la conformidad del MDR continúa en el organismo notificado, sin cambios.
Lo que hacen realmente los profesionales: mantener el expediente de NIS 2 separado de la documentación técnica del MDR. Dos reguladores, dos presentaciones. Las pruebas del punto 17.2 del Anexo I del MDR (modelado de amenazas, ciclo de vida de desarrollo seguro, seguridad poscomercialización) alimentan los deberes de cadena de suministro del artículo 21, apartado 2, letra e), de NIS 2, pero no los sustituyen. Firma la Anwendbarkeitsprüfung a nivel del órgano de dirección y conserva ambos expedientes bajo el mismo rastro de auditoría.
La comprobación de aplicabilidad recorre las tres pruebas en orden: la lista de productos críticos de la EMA conforme a la subcategoría 5 del Anexo I, la prueba genérica de fabricante conforme al MDR o al IVDR conforme al sector 5 del Anexo II, y el umbral de tamaño del artículo 2, apartado 1. El resultado nombra la subcategoría, el anexo, la franja de sanción y el regulador. Se lo entregas a tu auditor.
El resultado no es un sí o un no. Es una justificación: qué anexo, qué subcategoría, qué prueba de tamaño se superó y dónde se sitúan en paralelo los deberes del MDR y del IVDR. Firmado por el órgano de dirección, anclado por versión al texto de la UE y a la transposición del §28 BSIG que citamos. Se vuelve a ejecutar limpiamente si la lista de productos críticos de la EMA se actualiza durante una futura emergencia de salud pública.
- Directiva (UE) 2022/2555 (NIS 2), Anexo I, sector 5, quinto guion, y Anexo II, sector 5 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Reglamento (UE) 2022/123 sobre un papel reforzado de la EMA, artículo 22 (lista de medicamentos y productos sanitarios críticos) — eur-lex.europa.eu/eli/reg/2022/123/oj
- Reglamento (UE) 2017/745 (MDR), artículo 2, apartado 1 (definición de fabricante) y Anexo I, requisito 17.2 (ciberseguridad) — eur-lex.europa.eu/eli/reg/2017/745/oj
- Reglamento (UE) 2017/746 (IVDR), artículo 2, apartado 2 (definición de fabricante) — eur-lex.europa.eu/eli/reg/2017/746/oj
- Recomendación 2003/361/CE de la Comisión, anexo, artículo 2 (definición de mediana empresa)
- Ley del BSI (BSIG), §28 en su redacción dada por la NIS2-Umsetzungsgesetz
- Medizinprodukte-Durchführungsgesetz (MPDG) — gesetze-im-internet.de/mpdg
- Rastreador de transposición de NIS 2 de ENISA — enisa.europa.eu/topics/nis-directive