Siamo un ospedale ai sensi di NIS 2?
NIS 2 ti vincola se sei un Gesundheitsdienstleister ai sensi della direttiva 2011/24/UE e superi la soglia dimensionale della media impresa. La linea KRITIS dei 30.000 vollstationäre Fälle è un regime tedesco separato e più severo. Due test, due risposte.
La versione breve
Gli ospedali rientrano nell'allegato I settore 5 di NIS 2 (Gesundheitswesen). La direttiva li include come 'Gesundheitsdienstleister' ai sensi dell'articolo 3, lettera g), della direttiva 2011/24/UE. L'elenco del settore è più ampio dei soli ospedali: laboratori di riferimento dell'UE, R&S di farmaci, fabbricanti di prodotti farmaceutici e fabbricanti di dispositivi medici critici per le emergenze di sanità pubblica rientrano nella stessa categoria.
Se NIS 2 ti vincoli dipende dall'articolo 2(1). Rientri nell'ambito se sei una media impresa ai sensi della raccomandazione 2003/361/CE della Commissione, o più grande. La soglia della media impresa è 50 dipendenti oppure 10 milioni di euro di fatturato annuo o di totale di bilancio. Una clinica regionale con 60 dipendenti rientra. Uno studio specialistico con 20 dipendenti generalmente no.
La Germania ha un secondo regime che corre in parallelo: KRITIS. La KRITIS-Verordnung stabilisce una soglia specifica per gli ospedali di 30.000 vollstationäre Krankenhausfälle all'anno. Gli ospedali con status KRITIS sono comunque soggetti NIS 2, ma portano anche obblighi più severi ai sensi delle sezioni KRITIS del BSIG. KRITIS non è la soglia NIS 2. Due test separati.
Allegato I settore 5 direttiva NIS 2 (2022/2555)
Gesundheitsdienstleister im Sinne des Artikels 3 Buchstabe g der Richtlinie 2011/24/EU; EU-Referenzlaboratorien im Sinne des Artikels 15 der Verordnung (EU) 2022/2371; Einrichtungen, die Forschungs- und Entwicklungstätigkeiten in Bezug auf Arzneimittel im Sinne des Artikels 1 Nummer 2 der Richtlinie 2001/83/EG ausüben; Einrichtungen, die pharmazeutische Erzeugnisse im Sinne des Abschnitts C Abteilung 21 der Statistischen Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft (NACE Rev. 2) herstellen; Einrichtungen, die Medizinprodukte herstellen, die während einer Notlage im Bereich der öffentlichen Gesundheit als kritisch im Sinne des Artikels 22 der Verordnung (EU) 2022/123 eingestuft werden.
Letteralmente dalla GU L 333/145. Il settore 5 cattura cinque categorie. Un ospedale è la prima. Laboratori, R&S di farmaci, fabbricazione farmaceutica e fabbricanti di dispositivi critici sono le altre quattro.
Articolo 2(1) NIS 2 + raccomandazione 2003/361/CE
La presente direttiva si applica ai soggetti pubblici o privati di un tipo di cui all'allegato I o II che si qualificano come medie imprese a norma dell'articolo 2 dell'allegato alla raccomandazione 2003/361/CE, o che superano i massimali per le medie imprese di cui al paragrafo 1 di tale articolo.
L'articolo 2(1) è la regola di ambito. La definizione dimensionale della 2003/361/CE dice che media impresa significa 50 o più dipendenti, oppure 10 milioni di euro o più di fatturato annuo o di totale di bilancio. Supera una delle due soglie e rientri.
§28 BSIG più KRITIS-Verordnung (Germania)
Il §28 BSIG recepisce l'ambito dell'allegato I nel diritto tedesco. La BSI-Kritisverordnung definisce, ai fini KRITIS, la soglia di 30.000 vollstationäre Krankenhausfälle pro Jahr per gli ospedali.
Due regole tedesche si collocano l'una sull'altra. Il §28 BSIG attua il test di ambito NIS 2 (settore più dimensione). La KRITIS-Verordnung aggiunge uno strato tedesco separato e più severo per gli ospedali sistemicamente importanti. Ambito NIS 2 prima, ambito KRITIS dopo.
Test settoriale
Sei un Gesundheitsdienstleister ai sensi dell'articolo 3, lettera g), della direttiva 2011/24/UE? Questo copre ospedali, cliniche, fornitori ambulatoriali, studi dentistici e qualsiasi professionista sanitario regolamentato da uno Stato membro. Laboratori, sviluppatori di farmaci, fabbricanti farmaceutici e fabbricanti di dispositivi medici critici rientrano anch'essi nel settore 5 in sotto-categorie separate.
Test dimensionale (articolo 2(1))
Hai 50 o più dipendenti, oppure 10 milioni di euro o più di fatturato annuo o di totale di bilancio? Una delle due soglie ti pone nell'ambito. Al di sotto di entrambe, resti fuori, con strette eccezioni nell'articolo 2(2) e (3) (deroghe indipendenti dalla dimensione per fornitori unici, pubblica amministrazione, servizi fiduciari qualificati e pochi altri).
Sovrapposizione con KRITIS (solo Germania)
Raggiungi 30.000 vollstationäre Krankenhausfälle all'anno? Questa è la soglia nella BSI-Kritisverordnung. Al di sopra di essa, sei KRITIS e porti i più severi obblighi dei §31-32 BSIG sopra i normali obblighi NIS 2. Al di sotto di essa, sei NIS 2 soltanto. KRITIS è specifico della Germania; NL, FR e AT usano le proprie regole di designazione.
NIS 2 non è KRITIS
Due regimi, due leggi, due soglie. NIS 2 usa la definizione dimensionale UE della media impresa (50 dipendenti, 10 milioni di euro). KRITIS usa soglie volumetriche specifiche per settore (per gli ospedali: 30.000 vollstationäre Fälle). La maggior parte degli ospedali che rientrano in NIS 2 non rientra in KRITIS. Il contrario non è possibile: ogni ospedale KRITIS è anche un soggetto NIS 2.
Il settore 5 è più ampio degli ospedali
L'allegato I settore 5 cattura cinque categorie in un'unica categoria: fornitori di assistenza sanitaria, laboratori di riferimento dell'UE, soggetti di R&S di farmaci, fabbricanti farmaceutici e fabbricanti di dispositivi medici critici. Un laboratorio diagnostico di 60 persone che serve ospedali rientra nel settore 5 a pieno titolo, non come fornitore. Stesso test dimensionale, stessi obblighi.
BSI / §28 BSIG più KRITIS-Verordnung
Il BSI pubblica materiale FAQ specifico per settore per la sanità ai sensi del NIS2-Umsetzungsgesetz e gestisce separatamente il processo di designazione KRITIS. Il §28 BSIG è l'aggancio di ambito NIS 2. La BSI-Kritisverordnung stabilisce la soglia KRITIS dei 30.000-Fälle. Entrambi possono applicarsi allo stesso ospedale.
Tracker di recepimento NIS 2 dell'ENISA
L'ENISA pubblica una pagina di recepimento NIS 2 che elenca le leggi nazionali e le autorità competenti per ciascuno Stato membro. È la fonte unica più pulita per i gruppi ospedalieri transfrontalieri che devono capire con quale regolatore presentare in ciascun paese.
Leggi di recepimento nazionali
L'allegato I settore 5 vincola i fornitori di assistenza sanitaria in tutta l'UE. I NL lo coprono tramite la Cyberbeveiligingswet; la FR tramite l'Ordonnance n° 2024-1093; l'AT tramite il NISG. Il test settoriale è lo stesso. Il test dimensionale è lo stesso. I canali di notifica e le autorità competenti differiscono.
Siamo sotto i 30.000 casi all'anno, quindi siamo fuori.
Quella è la soglia KRITIS, non la soglia NIS 2. NIS 2 usa l'articolo 2(1): 50 dipendenti o 10 milioni di euro di fatturato. Una clinica regionale con 60 dipendenti e 8.000 casi all'anno è in NIS 2 e fuori da KRITIS. Entrambe le cose possono essere vere insieme.
NIS 2 si applica solo ai sistemi IT, non al resto dell'ospedale.
L'ambito opera a livello di soggetto, non a livello di sistema. Se il tuo ospedale è un soggetto NIS 2, ogni sistema che supporta il servizio dell'allegato I (cartelle cliniche, sistemi di reparto, dispositivi medici in rete, sistemi rivolti ai fornitori) rientra negli obblighi del §30 BSIG. Non esiste un'esclusione limitata ai soli sistemi clinici.
La farmacia interna è fuori dall'ambito.
Dipende dal soggetto giuridico e dalle sue dimensioni. Se la farmacia è un soggetto giuridico separato, esegue il proprio test NIS 2. Se fa parte dell'ospedale, eredita l'ambito NIS 2 dell'ospedale. I fabbricanti farmaceutici (una sotto-categoria separata del settore 5) eseguono il proprio test dimensionale.
Caso tipico: una clinica regionale da 50 posti letto con 60 dipendenti e 12 milioni di euro di fatturato annuo. Test settoriale superato (Gesundheitsdienstleister). Test dimensionale superato (sopra entrambe le soglie della media impresa). Test KRITIS non superato (ben sotto i 30.000 vollstationäre Fälle). Risultato: in NIS 2, fuori da KRITIS. Si applicano le misure complete del §30 BSIG, più la notifica degli incidenti del §32 BSIG. Nessun ciclo di audit KRITIS.
Cosa fanno effettivamente i professionisti: eseguono prima il test settoriale, poi il test dimensionale, documentano entrambi in una Anwendbarkeitsprüfung scritta firmata dall'organo di gestione. La questione KRITIS ottiene un proprio documento perché attiva un processo diverso presso il BSI. Separarli mantiene pulita la traccia di audit.
La verifica di applicabilità percorre tutti e tre i test in ordine: classificazione settoriale ai sensi dell'allegato I, soglia dimensionale ai sensi dell'articolo 2(1) e la sovrapposizione tedesca KRITIS ai sensi della BSI-Kritisverordnung. Rispondi a sei domande e ottieni una Anwendbarkeitsprüfung scritta che puoi consegnare al tuo auditor.
L'esito non è un sì/no. È una motivazione: in quale settore e in quale sotto-categoria rientri, quale test dimensionale hai superato e se la soglia KRITIS è in gioco. Firmata dall'organo di gestione, archiviata con traccia di audit, ancorata per versione al testo UE e BSIG che citiamo.
- Direttiva (UE) 2022/2555 (NIS 2), allegato I settore 5 e articolo 2(1) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Direttiva 2011/24/UE, articolo 3, lettera g) (definizione di Gesundheitsdienstleister) — eur-lex.europa.eu/eli/dir/2011/24/oj
- Raccomandazione 2003/361/CE della Commissione, allegato articolo 2 (definizione di media impresa)
- Legge sul BSI (BSIG), §28 come modificato dal NIS2-Umsetzungsgesetz
- BSI-Kritisverordnung, soglia per il settore ospedaliero (30.000 vollstationäre Krankenhausfälle pro Jahr)
- Tracker di recepimento NIS 2 dell'ENISA — enisa.europa.eu/topics/nis-directive