Anhang I Sektor 5 NIS 2

Sommes-nous un hôpital au sens de NIS 2 ?

NIS 2 vous lie si vous êtes un Gesundheitsdienstleister au sens de la directive 2011/24/UE et que vous franchissez le seuil de taille de moyenne entreprise. La ligne KRITIS des 30 000 vollstationäre Fälle est un régime allemand distinct et plus strict. Deux tests, deux réponses.

Simon OrzelSimon Orzel·

La version courte

Les hôpitaux se situent à l'annexe I secteur 5 de NIS 2 (Gesundheitswesen). La directive les retient en tant que « Gesundheitsdienstleister » au sens de l'article 3, point g), de la directive 2011/24/UE. La liste sectorielle est plus large que les seuls hôpitaux : les laboratoires de référence de l'UE, la R&D pharmaceutique, les fabricants de produits pharmaceutiques et les fabricants de dispositifs médicaux critiques pour les urgences de santé publique sont dans le même panier.

La question de savoir si NIS 2 vous lie repose sur l'article 2, paragraphe 1. Vous êtes dans le champ d'application si vous êtes une moyenne entreprise au sens de la recommandation 2003/361/CE de la Commission, ou plus grande. Le seuil de moyenne entreprise est de 50 employés ou de 10 millions d'euros de chiffre d'affaires annuel ou de total du bilan. Une clinique régionale de 60 employés est concernée. Un cabinet spécialisé de 20 employés ne l'est généralement pas.

L'Allemagne dispose d'un second régime fonctionnant en parallèle : KRITIS. La KRITIS-Verordnung fixe un seuil spécifique aux hôpitaux de 30 000 vollstationäre Krankenhausfälle par an. Les hôpitaux de statut KRITIS sont tout de même des entités NIS 2, mais ils portent aussi des obligations plus strictes au titre des sections KRITIS du BSIG. KRITIS n'est pas le seuil NIS 2. Deux tests distincts.

La source juridique
Trois couches. La directive nomme le secteur. La directive plus la recommandation de l'UE sur la taille fixent le seuil. La transposition allemande opérationnalise les deux, la KRITIS-Verordnung venant s'ajouter par-dessus.

Annexe I secteur 5 de la directive NIS 2 (2022/2555)

Gesundheitsdienstleister im Sinne des Artikels 3 Buchstabe g der Richtlinie 2011/24/EU; EU-Referenzlaboratorien im Sinne des Artikels 15 der Verordnung (EU) 2022/2371; Einrichtungen, die Forschungs- und Entwicklungstätigkeiten in Bezug auf Arzneimittel im Sinne des Artikels 1 Nummer 2 der Richtlinie 2001/83/EG ausüben; Einrichtungen, die pharmazeutische Erzeugnisse im Sinne des Abschnitts C Abteilung 21 der Statistischen Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft (NACE Rev. 2) herstellen; Einrichtungen, die Medizinprodukte herstellen, die während einer Notlage im Bereich der öffentlichen Gesundheit als kritisch im Sinne des Artikels 22 der Verordnung (EU) 2022/123 eingestuft werden.

Verbatim du JO L 333/145. Le secteur 5 capte cinq catégories. Un hôpital est la première. Les laboratoires, la R&D pharmaceutique, la fabrication pharmaceutique et les fabricants de dispositifs critiques sont les quatre autres.

Article 2, paragraphe 1, de NIS 2 + recommandation 2003/361/CE

La présente directive s'applique aux entités publiques ou privées d'un type visé à l'annexe I ou II qui sont considérées comme des moyennes entreprises au sens de l'article 2 de l'annexe de la recommandation 2003/361/CE, ou qui dépassent les plafonds des moyennes entreprises prévus au paragraphe 1 dudit article.

L'article 2, paragraphe 1, est la règle de champ d'application. La définition de taille de 2003/361/CE dispose que « moyenne » signifie 50 employés ou plus, ou 10 millions d'euros ou plus de chiffre d'affaires annuel ou de total du bilan. Franchissez l'un ou l'autre seuil et vous êtes concerné.

§28 BSIG plus KRITIS-Verordnung (Allemagne)

Le §28 BSIG transpose le champ d'application de l'annexe I en droit allemand. La BSI-Kritisverordnung définit, aux fins de KRITIS, le seuil de 30 000 vollstationäre Krankenhausfälle pro Jahr pour les hôpitaux.

Deux règles allemandes s'empilent l'une sur l'autre. Le §28 BSIG met en œuvre le test de champ d'application de NIS 2 (secteur plus taille). La KRITIS-Verordnung ajoute une couche allemande distincte et plus stricte pour les hôpitaux d'importance systémique. Champ d'application de NIS 2 d'abord, champ d'application de KRITIS ensuite.

Trois tests qui décident de votre réponse
Parcourez-les dans l'ordre. Si vous échouez au test sectoriel, vous êtes hors champ. Si vous réussissez le test sectoriel mais échouez au test de taille, vous êtes hors champ. Si vous réussissez les deux, vous êtes dans NIS 2. KRITIS est une question distincte.
Test 1

Test sectoriel

Êtes-vous un Gesundheitsdienstleister au sens de l'article 3, point g), de la directive 2011/24/UE ? Cela couvre les hôpitaux, les cliniques, les prestataires ambulatoires, les cabinets dentaires et tout professionnel de santé réglementé par un État membre. Les laboratoires, les développeurs de médicaments, les fabricants pharmaceutiques et les fabricants de dispositifs médicaux critiques figurent aussi au secteur 5 au titre de sous-catégories distinctes.

Test 2

Test de taille (article 2, paragraphe 1)

Avez-vous 50 employés ou plus, ou 10 millions d'euros ou plus de chiffre d'affaires annuel ou de total du bilan ? L'un ou l'autre seuil vous place dans le champ d'application. En dessous des deux, vous restez hors champ, avec des exceptions étroites à l'article 2, paragraphes 2 et 3 (dérogations indépendantes de la taille pour les fournisseurs uniques, l'administration publique, les services de confiance qualifiés et quelques autres).

Test 3

Chevauchement KRITIS (Allemagne uniquement)

Atteignez-vous 30 000 vollstationäre Krankenhausfälle par an ? C'est le seuil de la BSI-Kritisverordnung. Au-dessus, vous êtes KRITIS et vous portez les obligations plus strictes des §31-32 BSIG en plus des obligations NIS 2 habituelles. En dessous, vous êtes NIS 2 uniquement. KRITIS est spécifique à l'Allemagne ; NL, FR et AT utilisent leurs propres règles de désignation.

Deux règles qui prennent la plupart des gens au dépourvu
Deux points structurels que l'audience manque à la première lecture. Tous deux reviennent dans presque chaque conversation d'applicabilité que nous avons avec des DSI d'hôpitaux.

NIS 2 n'est pas KRITIS

Deux régimes, deux lois, deux seuils. NIS 2 utilise la définition de taille de moyenne entreprise de l'UE (50 employés, 10 millions d'euros). KRITIS utilise des seuils volumétriques spécifiques au secteur (pour les hôpitaux : 30 000 vollstationäre Fälle). La plupart des hôpitaux qui sont dans NIS 2 ne sont pas dans KRITIS. L'inverse n'est pas possible : chaque hôpital KRITIS est aussi une entité NIS 2.

Le secteur 5 est plus large que les hôpitaux

L'annexe I secteur 5 capte cinq catégories dans un seul panier : prestataires de soins de santé, laboratoires de référence de l'UE, entités de R&D pharmaceutique, fabricants de produits pharmaceutiques et fabricants de dispositifs médicaux critiques. Un laboratoire de diagnostic de 60 personnes au service d'hôpitaux est dans le secteur 5 à part entière, et non en tant que fournisseur. Même test de taille, mêmes obligations.

Comment les régulateurs nationaux appliquent cela concrètement
L'UE fixe une seule règle de champ d'application. Chaque État membre la reprend en droit national et publie des orientations sectorielles. La substance est la même dans toute l'Union ; les mécanismes diffèrent légèrement.
Allemagne

BSI / §28 BSIG plus KRITIS-Verordnung

Le BSI publie du matériel de FAQ sectorielle pour la santé au titre du NIS2-Umsetzungsgesetz et mène le processus de désignation KRITIS séparément. Le §28 BSIG est l'ancrage du champ d'application de NIS 2. La BSI-Kritisverordnung fixe le seuil KRITIS de 30 000 Fälle. Les deux peuvent s'appliquer au même hôpital.

À l'échelle de l'UE

Suivi des transpositions NIS 2 de l'ENISA

L'ENISA publie une page de suivi des transpositions NIS 2 qui énumère les lois nationales et les autorités compétentes par État membre. C'est la source unique la plus propre pour les groupes hospitaliers transfrontières qui déterminent auprès de quel régulateur ils déposent dans chaque pays.

Autres États membres

Lois nationales de transposition

L'annexe I secteur 5 lie les prestataires de soins de santé dans toute l'UE. NL le couvre par la Cyberbeveiligingswet ; FR par l'Ordonnance n° 2024-1093 ; AT par le NISG. Le test sectoriel est le même. Le test de taille est le même. Les canaux de notification et les autorités compétentes diffèrent.

Trois pièges que nous voyons sans arrêt
Trois lectures qui reviennent dans presque chaque appel d'applicabilité avec un DSI ou un directeur d'hôpital. Toutes les trois mènent à de mauvaises décisions de cadrage.

  • Nous sommes en dessous de 30 000 cas par an, donc nous sommes hors champ.

    C'est le seuil KRITIS, pas le seuil NIS 2. NIS 2 utilise l'article 2, paragraphe 1 : 50 employés ou 10 millions d'euros de chiffre d'affaires. Une clinique régionale de 60 employés avec 8 000 cas par an est dans NIS 2 et hors de KRITIS. Les deux peuvent être vrais à la fois.

  • NIS 2 ne s'applique qu'aux systèmes informatiques, pas au reste de l'hôpital.

    Le champ d'application opère au niveau de l'entité, pas au niveau du système. Si votre hôpital est une entité NIS 2, chaque système qui soutient le service de l'annexe I (dossiers patients, systèmes de service, dispositifs médicaux sur le réseau, systèmes orientés fournisseurs) relève des obligations du §30 BSIG. Il n'existe pas d'exclusion limitée aux seuls systèmes cliniques.

  • La pharmacie sur site est hors champ d'application.

    Cela dépend de l'entité juridique et de sa taille. Si la pharmacie est une entité juridique distincte, elle effectue son propre test NIS 2. Si elle fait partie de l'hôpital, elle hérite du champ d'application NIS 2 de l'hôpital. Les fabricants de produits pharmaceutiques (une sous-catégorie distincte du secteur 5) effectuent leur propre test de taille.

Comment les vrais opérateurs hospitaliers procèdent

Cas typique : une clinique régionale de 50 lits avec 60 employés et 12 millions d'euros de chiffre d'affaires annuel. Le test sectoriel est réussi (Gesundheitsdienstleister). Le test de taille est réussi (au-dessus des deux seuils de moyenne entreprise). Le test KRITIS échoue (bien en dessous de 30 000 vollstationäre Fälle). Résultat : dans NIS 2, hors de KRITIS. Les mesures complètes du §30 BSIG s'appliquent, plus la notification d'incidents du §32 BSIG. Pas de cycle d'audit KRITIS.

Ce que les praticiens font réellement : effectuer le test sectoriel en premier, le test de taille en second, documenter les deux dans une Anwendbarkeitsprüfung écrite signée par l'organe de direction. La question KRITIS reçoit son propre document parce qu'elle déclenche un processus différent au BSI. Les séparer garde la piste d'audit propre.

Comment nous gérons cela sur la plateforme

La vérification d'applicabilité parcourt les trois tests dans l'ordre : classification sectorielle au titre de l'annexe I, seuil de taille au titre de l'article 2, paragraphe 1, et le chevauchement KRITIS allemand au titre de la BSI-Kritisverordnung. Vous répondez à six questions et obtenez une Anwendbarkeitsprüfung écrite que vous pouvez remettre à votre auditeur.

Le résultat n'est pas un oui/non. C'est une justification : sous quel secteur et quelle sous-catégorie vous tombez, quel test de taille vous avez franchi, et si le seuil KRITIS entre en jeu. Signée par l'organe de direction, conservée avec piste d'audit, et figée sur la version du texte de l'UE et du BSIG que nous citons.

Sources
  • Directive (UE) 2022/2555 (NIS 2), annexe I secteur 5 et article 2, paragraphe 1 — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Directive 2011/24/UE, article 3, point g) (définition de Gesundheitsdienstleister) — eur-lex.europa.eu/eli/dir/2011/24/oj
  • Recommandation 2003/361/CE de la Commission, annexe article 2 (définition de la moyenne entreprise)
  • Loi sur le BSI (BSIG), §28 tel que modifié par le NIS2-Umsetzungsgesetz
  • BSI-Kritisverordnung, seuil du secteur des hôpitaux (30 000 vollstationäre Krankenhausfälle pro Jahr)
  • Suivi des transpositions NIS 2 de l'ENISA — enisa.europa.eu/topics/nis-directive
Effectuez la vérification d'applicabilité pour votre hôpital
Test sectoriel, test de taille et chevauchement KRITIS en un seul parcours. Le résultat est une Anwendbarkeitsprüfung signée que vous pouvez archiver. Gratuit, open source, sans verrouillage.
Lancer la vérification d'applicabilité