Sommes-nous un fabricant de dispositifs médicaux au titre de NIS2 ?
Les fabricants de dispositifs figurant sur la liste des dispositifs critiques de l'EMA sont des entités essentielles au titre de la sous-catégorie 5 de l'annexe I. Tout autre fabricant de dispositifs médicaux ou de DIV est une entité importante au titre du secteur 5 de l'annexe II, dès lors que le seuil de taille de l'article 2, paragraphe 1, est atteint. Le MDR et l'IVDR s'appliquent en parallèle. Aucune exclusion par lex specialis.
La version courte
Les fabricants de dispositifs médicaux figurent dans deux annexes de NIS2 en même temps. Le secteur 5 de l'annexe I les énumère dans sa cinquième sous-catégorie comme fabricants de dispositifs considérés comme critiques en cas d'urgence de santé publique au titre de l'article 22 du règlement (UE) 2022/123. C'est la liste des dispositifs critiques de l'EMA. Les sociétés qui y figurent sont des entités essentielles et relèvent de la bande de sanction supérieure.
Le secteur 5 de l'annexe II capte le reste de la filière. Les sous-catégories sont les fabricants de dispositifs médicaux au sens de l'article 2, paragraphe 1, du règlement (UE) 2017/745 (MDR) et les fabricants de diagnostics in vitro au sens de l'article 2, paragraphe 2, du règlement (UE) 2017/746 (IVDR). Ce sont des entités importantes. Même test de taille de l'article 2, paragraphe 1, que pour tout le monde : 50 employés ou 10 millions d'euros de chiffre d'affaires ou de total du bilan.
Le MDR et l'IVDR s'appliquent en parallèle, ils ne remplacent pas NIS2. Le MDR couvre le dispositif, NIS2 couvre la société. Les obligations de cybersécurité au titre de l'annexe I, point 17.2, du MDR se situent au niveau du produit. Les obligations NIS2 au titre de l'article 21 se situent au niveau de l'entité. Les deux s'appliquent. Il n'existe aucune exclusion par lex specialis de type DORA pour les fabricants de dispositifs médicaux.
Annexe I secteur 5, cinquième tiret, directive NIS2 (2022/2555)
Entités qui fabriquent des dispositifs médicaux considérés comme critiques en cas d'urgence de santé publique (liste des dispositifs critiques en cas d'urgence de santé publique) au sens de l'article 22 du règlement (UE) 2022/123.
Verbatim de JO L 333/145, annexe I secteur 5, cinquième tiret. La référence est la liste des dispositifs critiques de l'EMA au titre du règlement (UE) 2022/123. Si votre produit figure sur cette liste, vous êtes une entité essentielle. Bande de sanction : jusqu'à 10 millions d'euros ou 2 pour cent du chiffre d'affaires mondial, le montant le plus élevé étant retenu.
Annexe II secteur 5, directive NIS2 (2022/2555)
Fabrication de dispositifs médicaux et de dispositifs médicaux de diagnostic in vitro : entités qui fabriquent des dispositifs médicaux au sens de l'article 2, point 1), du règlement (UE) 2017/745 du Parlement européen et du Conseil, à l'exception des entités qui fabriquent des dispositifs médicaux visés à l'annexe I, point 5, cinquième tiret, de la présente directive ; entités qui fabriquent des dispositifs médicaux de diagnostic in vitro au sens de l'article 2, point 2), du règlement (UE) 2017/746 du Parlement européen et du Conseil.
Verbatim de JO L 333/146, annexe II secteur 5. Deux sous-catégories : les fabricants MDR (moins les fabricants de dispositifs critiques de l'EMA, qui relèvent de l'annexe I) et les fabricants IVDR. La NACE C32.5 couvre la classification de fabrication. Entité importante, bande de sanction jusqu'à 7 millions d'euros ou 1,4 pour cent du chiffre d'affaires mondial.
§28 BSIG et article 2, paragraphe 1, de NIS2 (test de taille)
Le §28 BSIG transpose le périmètre des annexes I et II en droit allemand. L'article 2, paragraphe 1, de NIS2 plus la recommandation 2003/361/CE fixent le seuil de taille : 50 employés ou plus, ou 10 millions d'euros ou plus de chiffre d'affaires annuel ou de total du bilan.
Deux seuils, l'un d'eux suffit. La règle de taille est identique pour les entités de l'annexe I et de l'annexe II. La seule chose qui change entre les deux est la bande de sanction et le régime de surveillance. Le BfArM reste le régulateur pour le MDR et l'IVDR ; le BSI est le régulateur pour NIS2. Deux autorités différentes, une seule société.
Liste des dispositifs critiques de l'EMA
Votre produit figure-t-il sur la liste des dispositifs critiques de l'EMA au titre de l'article 22 du règlement (UE) 2022/123 ? Cette liste nomme les dispositifs considérés comme critiques en cas d'urgence de santé publique déclarée. Ventilateurs, concentrateurs d'oxygène, certains diagnostics, certains dispositifs de perfusion. Si oui, la sous-catégorie 5 de l'annexe I s'applique et vous êtes une entité essentielle.
Fabricant générique de dispositifs ou de DIV
Êtes-vous un fabricant au sens de l'article 2, paragraphe 1, du MDR ou de l'article 2, paragraphe 2, de l'IVDR ? Cela couvre l'ensemble de la filière : toute partie qui développe, fabrique, reconditionne ou met sur le marché un dispositif médical ou un DIV sous son propre nom. Classification NACE C32.5. Si oui et que vous échouez au test 1, le secteur 5 de l'annexe II s'applique et vous êtes une entité importante.
Test de taille (article 2, paragraphe 1)
Comptez-vous 50 employés ou plus, ou 10 millions d'euros ou plus de chiffre d'affaires annuel ou de total du bilan ? L'un ou l'autre seuil vous fait entrer dans le périmètre. En dessous des deux, vous restez hors du périmètre, sous réserve des exceptions étroites indépendantes de la taille de l'article 2, paragraphes 2 et 3 (fournisseurs uniques, administration publique, services de confiance qualifiés, quelques autres).
La sous-catégorie 5 de l'annexe I et le secteur 5 de l'annexe II sont mutuellement exclusifs
Lisez attentivement le secteur 5 de l'annexe II : il couvre les fabricants MDR à l'exception de ceux déjà nommés dans la sous-catégorie 5 de l'annexe I. Une même société est soit essentielle (figurant sur la liste des dispositifs critiques de l'EMA), soit importante (tous les autres). Même secteur, deux annexes, bandes de sanction différentes. Vous ne vous situez pas dans les deux à la fois.
Le MDR et l'IVDR couvrent le dispositif, NIS2 couvre la société
L'exigence 17.2 de l'annexe I du MDR impose déjà la sécurité informatique au niveau du produit : le dispositif doit être conçu et fabriqué pour garantir un fonctionnement répétable, fiable et performant face aux risques de cybersécurité raisonnablement prévisibles. L'article 21 de NIS2 se situe une strate au-dessus : gouvernance, gestion des risques, chaîne d'approvisionnement, traitement des incidents au niveau de la société. Les deux s'appliquent. Aucun n'absorbe l'autre.
BSI / §28 BSIG (autorité de cybersécurité NIS2)
Le BSI est l'autorité de cybersécurité au titre de NIS2. Le §28 BSIG opérationnalise le périmètre des annexes I et II. Le §30 BSIG fixe les mesures de gestion des risques et le §32 BSIG fixe les obligations de déclaration. Le BSI ne régule pas le dispositif lui-même, seulement la posture de cybersécurité de la société.
BfArM / MPDG (dispositifs médicaux et DIV)
Le BfArM est l'autorité compétente allemande pour le MDR et l'IVDR au titre de la Medizinprodukte-Durchführungsgesetz (MPDG). Il supervise le dispositif lui-même : évaluation de la conformité, surveillance après commercialisation, déclaration de vigilance. L'obligation de cybersécurité du MDR au titre de l'annexe I, point 17.2, se situe ici, distincte des obligations NIS2 relevant du BSI.
Suivi de transposition NIS2 de l'ENISA
L'ENISA publie une page de transposition NIS2 énumérant les lois nationales et les autorités compétentes par État membre. Pour les fabricants de dispositifs médicaux qui vendent dans toute l'UE, c'est la source unique la plus nette pour l'autorité de cybersécurité de chaque pays. Le paysage des organismes notifiés du MDR est distinct et suivi via la base de données EUDAMED.
L'annexe I, point 17.2, du MDR couvre déjà la cybersécurité, donc NIS2 ne s'applique pas en plus.
Le point 17.2 du MDR couvre la cybersécurité produit du dispositif. L'article 21 de NIS2 couvre la cybersécurité de la société pour le fabricant : gouvernance, gestion des risques, chaîne d'approvisionnement, traitement des incidents, continuité d'activité. Deux strates différentes. NIS2 n'a aucune exclusion par lex specialis pour les fabricants de dispositifs médicaux. Les deux s'appliquent pleinement.
Nous ne fabriquons que des dispositifs de classe I, donc nous sommes en dessous de la ligne NIS2.
La classe de risque du MDR n'est pas le test de NIS2. Le test de NIS2 est le secteur de l'annexe I ou de l'annexe II plus la taille de l'article 2, paragraphe 1. Un fabricant de pansements de classe I employant 80 personnes relève du secteur 5 de l'annexe II en tant qu'entité importante. La classe de risque clinique du produit est sans incidence sur le périmètre NIS2.
Nous sommes une société de logiciel en tant que dispositif médical, ce n'est que du MDR.
Les fabricants de SaMD sont des fabricants de dispositifs médicaux au sens de l'article 2, paragraphe 1, du MDR. Le secteur 5 de l'annexe II les capte. Si vous franchissez le seuil de taille, NIS2 s'applique. Le logiciel ne change pas l'annexe ; la société fabrique toujours un dispositif médical au titre du MDR. La même sous-catégorie vous capte.
Cas type : un fabricant d'implants orthopédiques de 90 employés réalisant 25 millions d'euros de chiffre d'affaires annuel. Le test 1 échoue (pas sur la liste des dispositifs critiques de l'EMA). Le test 2 réussit (fabricant MDR au sens de l'article 2, paragraphe 1). Le test 3 réussit (bien au-dessus du seuil de l'entreprise moyenne). Résultat : secteur 5 de l'annexe II, entité importante. Les mesures du §30 BSIG s'appliquent. La déclaration du §32 BSIG s'applique. L'évaluation de la conformité MDR se poursuit auprès de l'organisme notifié, inchangée.
Ce que les praticiens font réellement : tenir le dossier NIS2 distinct de la documentation technique MDR. Deux régulateurs, deux dépôts. Les preuves de l'annexe I, point 17.2, du MDR (modélisation des menaces, cycle de développement sécurisé, sécurité après commercialisation) alimentent les obligations de chaîne d'approvisionnement de l'article 21, paragraphe 2, point e), de NIS2, mais ne les remplacent pas. Signez l'Anwendbarkeitsprüfung au niveau de l'organe de direction et conservez les deux dossiers sous la même traçabilité.
Le contrôle d'applicabilité parcourt les trois tests dans l'ordre : la liste des dispositifs critiques de l'EMA au titre de la sous-catégorie 5 de l'annexe I, le test du fabricant générique MDR ou IVDR au titre du secteur 5 de l'annexe II, et le seuil de taille de l'article 2, paragraphe 1. La sortie nomme la sous-catégorie, l'annexe, la bande de sanction et le régulateur. Vous la remettez à votre auditeur.
La sortie n'est pas un oui/non. C'est une justification : quelle annexe, quelle sous-catégorie, quel test de taille a été franchi, et où se situent les obligations MDR et IVDR à côté. Signée par l'organe de direction, ancrée par version au texte de l'UE et à la transposition du §28 BSIG que nous citons. Se relance proprement si la liste des dispositifs critiques de l'EMA est mise à jour lors d'une future urgence de santé publique.
- Directive (UE) 2022/2555 (NIS2), annexe I secteur 5 cinquième tiret et annexe II secteur 5 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Règlement (UE) 2022/123 relatif à un rôle renforcé de l'EMA, article 22 (liste des médicaments et dispositifs médicaux critiques) — eur-lex.europa.eu/eli/reg/2022/123/oj
- Règlement (UE) 2017/745 (MDR), article 2, paragraphe 1 (définition du fabricant) et annexe I exigence 17.2 (cybersécurité) — eur-lex.europa.eu/eli/reg/2017/745/oj
- Règlement (UE) 2017/746 (IVDR), article 2, paragraphe 2 (définition du fabricant) — eur-lex.europa.eu/eli/reg/2017/746/oj
- Recommandation 2003/361/CE de la Commission, annexe article 2 (définition de l'entreprise moyenne)
- Loi BSI (BSIG), §28 telle que modifiée par le NIS2-Umsetzungsgesetz
- Medizinprodukte-Durchführungsgesetz (MPDG) — gesetze-im-internet.de/mpdg
- Suivi de transposition NIS2 de l'ENISA — enisa.europa.eu/topics/nis-directive