Siamo un fabbricante di dispositivi medici ai sensi di NIS 2?
I fabbricanti di dispositivi presenti nell'elenco EMA dei dispositivi critici sono soggetti essenziali ai sensi dell'Allegato I sotto-cat. 5. Ogni altro fabbricante di dispositivi medici o IVD è un soggetto importante ai sensi dell'Allegato II settore 5, purché sia raggiunta la soglia dimensionale dell'articolo 2(1). MDR e IVDR operano in parallelo. Nessuna esenzione lex specialis.
La versione breve
I fabbricanti di dispositivi medici compaiono contemporaneamente in due allegati di NIS 2. L'Allegato I settore 5 li elenca nella sua quinta sotto-categoria come fabbricanti di dispositivi considerati critici durante un'emergenza di salute pubblica ai sensi dell'articolo 22 del Regolamento (UE) 2022/123. Questo è l'elenco EMA dei dispositivi critici. Le imprese che vi figurano sono soggetti essenziali e si collocano nella fascia sanzionatoria più alta.
L'Allegato II settore 5 cattura il resto del settore. Le sotto-categorie sono i fabbricanti di dispositivi medici ai sensi dell'articolo 2(1) del Regolamento (UE) 2017/745 (MDR) e i fabbricanti di diagnostici in vitro ai sensi dell'articolo 2(2) del Regolamento (UE) 2017/746 (IVDR). Questi sono soggetti importanti. Stesso test dimensionale dell'articolo 2(1) di tutti gli altri: 50 dipendenti oppure 10 milioni di euro di fatturato o di totale di bilancio.
MDR e IVDR operano in parallelo, non sostituiscono NIS 2. L'MDR copre il dispositivo, NIS 2 copre l'impresa. Gli obblighi di cibersicurezza ai sensi dell'MDR Allegato I 17.2 si collocano a livello di prodotto. Gli obblighi NIS 2 ai sensi dell'articolo 21 si collocano a livello di entità. Entrambi si applicano. Non esiste un'esenzione lex specialis in stile DORA per i fabbricanti di dispositivi medici.
Allegato I settore 5, quinto trattino Direttiva NIS 2 (2022/2555)
Soggetti che fabbricano dispositivi medici considerati critici durante un'emergenza di salute pubblica (elenco dei dispositivi critici in caso di emergenza di salute pubblica) ai sensi dell'articolo 22 del Regolamento (UE) 2022/123.
Letterale da GU L 333/145, Allegato I settore 5, quinto trattino. Il riferimento è l'elenco EMA dei dispositivi critici ai sensi del Regolamento (UE) 2022/123. Se il vostro prodotto è in quell'elenco, siete un soggetto essenziale. Fascia sanzionatoria: fino a 10 milioni di euro o al 2 percento del fatturato mondiale, se superiore.
Allegato II settore 5 Direttiva NIS 2 (2022/2555)
Fabbricazione di dispositivi medici e dispositivi medico-diagnostici in vitro: soggetti che fabbricano dispositivi medici ai sensi dell'articolo 2, punto (1), del regolamento (UE) 2017/745 del Parlamento europeo e del Consiglio, ad eccezione dei soggetti che fabbricano dispositivi medici di cui all'allegato I, punto 5, quinto trattino, della presente direttiva; soggetti che fabbricano dispositivi medico-diagnostici in vitro ai sensi dell'articolo 2, punto (2), del regolamento (UE) 2017/746 del Parlamento europeo e del Consiglio.
Letterale da GU L 333/146, Allegato II settore 5. Due sotto-categorie: i fabbricanti MDR (meno i fabbricanti dell'elenco EMA dei dispositivi critici, che vanno all'Allegato I) e i fabbricanti IVDR. NACE C32.5 copre la classificazione di fabbricazione. Soggetto importante, fascia sanzionatoria fino a 7 milioni di euro o all'1,4 percento del fatturato mondiale.
§28 BSIG e Articolo 2(1) NIS 2 (test dimensionale)
Il §28 BSIG recepisce l'ambito dell'Allegato I e dell'Allegato II nel diritto tedesco. L'articolo 2(1) NIS 2 più la Raccomandazione 2003/361/CE fissano la soglia dimensionale: 50 o più dipendenti, oppure 10 milioni di euro o più di fatturato annuo o di totale di bilancio.
Due soglie, ne basta una. La regola dimensionale è identica per i soggetti dell'Allegato I e dell'Allegato II. L'unica cosa che cambia tra i due è la fascia sanzionatoria e il regime di vigilanza. La BfArM resta il regolatore per MDR e IVDR; il BSI è il regolatore per NIS 2. Due autorità diverse, una sola impresa.
Elenco EMA dei dispositivi critici
Il vostro prodotto è nell'elenco EMA dei dispositivi critici ai sensi dell'articolo 22 del Regolamento (UE) 2022/123? Quell'elenco nomina i dispositivi considerati critici durante un'emergenza di salute pubblica dichiarata. Ventilatori, concentratori di ossigeno, taluni diagnostici, taluni dispositivi per infusione. In caso affermativo, si applica l'Allegato I sotto-cat. 5 e siete un soggetto essenziale.
Fabbricante generico di dispositivi o di IVD
Siete un fabbricante ai sensi dell'articolo 2(1) MDR o dell'articolo 2(2) IVDR? Questo cattura l'intero settore: qualsiasi parte che sviluppa, fabbrica, ricondiziona o immette sul mercato un dispositivo medico o un IVD con il proprio nome. Classificazione NACE C32.5. In caso affermativo e se non superate il Test 1, si applica l'Allegato II settore 5 e siete un soggetto importante.
Test dimensionale (Articolo 2(1))
Avete 50 o più dipendenti, oppure 10 milioni di euro o più di fatturato annuo o di totale di bilancio? Una delle due soglie vi mette nell'ambito. Al di sotto di entrambe, restate fuori, salvo le ristrette deroghe indipendenti dalla dimensione dell'articolo 2(2) e (3) (fornitori unici, pubblica amministrazione, servizi fiduciari qualificati, alcuni altri).
L'Allegato I sotto-cat. 5 e l'Allegato II settore 5 sono mutuamente esclusivi
Leggete attentamente l'Allegato II settore 5: copre i fabbricanti MDR ad eccezione di quelli già nominati nell'Allegato I sotto-cat. 5. Una singola impresa è essenziale (nell'elenco EMA dei dispositivi critici) oppure importante (tutti gli altri). Stesso settore, due allegati, fasce sanzionatorie diverse. Non vi collocate in entrambi contemporaneamente.
MDR e IVDR coprono il dispositivo, NIS 2 copre l'impresa
L'MDR Allegato I requisito 17.2 impone già la sicurezza informatica a livello di prodotto: il dispositivo deve essere progettato e fabbricato in modo da garantire un funzionamento ripetibile, affidabile e prestazionale a fronte di rischi di cibersicurezza ragionevolmente prevedibili. L'articolo 21 NIS 2 si colloca uno strato più in alto: governance, gestione del rischio, catena di approvvigionamento, gestione degli incidenti a livello di impresa. Entrambi si applicano. Nessuno assorbe l'altro.
BSI / §28 BSIG (autorità di cibersicurezza NIS 2)
Il BSI è l'autorità di cibersicurezza ai sensi di NIS 2. Il §28 BSIG rende operativo l'ambito dell'Allegato I e dell'Allegato II. Il §30 BSIG fissa le misure di gestione del rischio e il §32 BSIG fissa gli obblighi di comunicazione. Il BSI non regola il dispositivo in sé, soltanto la postura di cibersicurezza dell'impresa.
BfArM / MPDG (dispositivi medici e IVD)
La BfArM è l'autorità tedesca competente per MDR e IVDR ai sensi del Medizinprodukte-Durchführungsgesetz (MPDG). Vigila sul dispositivo in sé: valutazione della conformità, sorveglianza post-commercializzazione, segnalazione di vigilanza. L'obbligo di cibersicurezza dell'MDR ai sensi dell'Allegato I 17.2 è qui, distinto dagli obblighi NIS 2 presso il BSI.
Tracker di recepimento NIS 2 di ENISA
ENISA pubblica una pagina di recepimento NIS 2 che elenca le leggi nazionali e le autorità competenti per ciascuno Stato membro. Per i fabbricanti di dispositivi medici che vendono in tutta l'UE, è la fonte unica più pulita per l'autorità di cibersicurezza in ciascun Paese. Il panorama degli organismi notificati MDR è separato ed è tracciato tramite la banca dati EUDAMED.
L'MDR Allegato I 17.2 copre già la cibersicurezza, quindi NIS 2 non si applica in aggiunta.
L'MDR 17.2 copre la cibersicurezza del prodotto per il dispositivo. L'articolo 21 NIS 2 copre la cibersicurezza dell'impresa per il fabbricante: governance, gestione del rischio, catena di approvvigionamento, gestione degli incidenti, continuità operativa. Due strati diversi. NIS 2 non ha alcuna esenzione lex specialis per i fabbricanti di dispositivi medici. Entrambi si applicano integralmente.
Fabbrichiamo solo dispositivi di Classe I, quindi siamo al di sotto della soglia di NIS 2.
La classe di rischio MDR non è il test di NIS 2. Il test di NIS 2 è il settore dell'Allegato I o II più la dimensione dell'articolo 2(1). Un fabbricante di bende di Classe I con 80 dipendenti è nell'Allegato II settore 5 come soggetto importante. La classe di rischio clinico del prodotto è irrilevante per l'ambito di NIS 2.
Siamo un'azienda di software-come-dispositivo-medico, questo è solo MDR.
I fabbricanti di SaMD sono fabbricanti di dispositivi medici ai sensi dell'articolo 2(1) MDR. L'Allegato II settore 5 li cattura. Se superate la soglia dimensionale, NIS 2 si applica. Il software non cambia l'allegato; l'impresa fabbrica comunque un dispositivo medico ai sensi dell'MDR. La stessa sotto-categoria vi cattura.
Caso tipico: un fabbricante di impianti ortopedici con 90 dipendenti e 25 milioni di euro di fatturato annuo. Il Test 1 non è superato (non in elenco EMA dei dispositivi critici). Il Test 2 è superato (fabbricante MDR ai sensi dell'articolo 2(1)). Il Test 3 è superato (ben oltre la soglia delle medie imprese). Risultato: Allegato II settore 5, soggetto importante. Si applicano le misure del §30 BSIG. Si applica la comunicazione del §32 BSIG. La valutazione della conformità MDR continua presso l'organismo notificato, invariata.
Ciò che gli operatori effettivamente fanno: tengono il fascicolo NIS 2 separato dalla documentazione tecnica MDR. Due regolatori, due archivi. Le prove dell'MDR Allegato I 17.2 (modellazione delle minacce, ciclo di vita di sviluppo sicuro, sicurezza post-commercializzazione) alimentano gli obblighi della catena di approvvigionamento dell'articolo 21(2)(e) NIS 2 ma non li sostituiscono. Firmate la Anwendbarkeitsprüfung a livello di organo di gestione e conservate entrambi i fascicoli sotto la stessa tracciabilità.
Il controllo di applicabilità percorre tutti e tre i test in ordine: l'elenco EMA dei dispositivi critici ai sensi dell'Allegato I sotto-cat. 5, il test generico del fabbricante MDR o IVDR ai sensi dell'Allegato II settore 5 e la soglia dimensionale dell'articolo 2(1). L'output nomina la sotto-categoria, l'allegato, la fascia sanzionatoria e il regolatore. Lo consegnate al vostro auditor.
L'output non è un sì/no. È una giustificazione: quale allegato, quale sotto-categoria, quale test dimensionale è stato superato e dove si collocano a fianco gli obblighi MDR e IVDR. Firmato dall'organo di gestione, ancorato per versione al testo dell'UE e al recepimento del §28 BSIG che citiamo. Si riesegue pulitamente se l'elenco EMA dei dispositivi critici viene aggiornato in occasione di una futura emergenza di salute pubblica.
- Direttiva (UE) 2022/2555 (NIS 2), Allegato I settore 5 quinto trattino e Allegato II settore 5 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Regolamento (UE) 2022/123 su un ruolo rafforzato dell'EMA, Articolo 22 (elenco dei medicinali e dispositivi medici critici) — eur-lex.europa.eu/eli/reg/2022/123/oj
- Regolamento (UE) 2017/745 (MDR), Articolo 2(1) (definizione di fabbricante) e Allegato I requisito 17.2 (cibersicurezza) — eur-lex.europa.eu/eli/reg/2017/745/oj
- Regolamento (UE) 2017/746 (IVDR), Articolo 2(2) (definizione di fabbricante) — eur-lex.europa.eu/eli/reg/2017/746/oj
- Raccomandazione 2003/361/CE della Commissione, allegato articolo 2 (definizione di media impresa)
- BSI Act (BSIG), §28 come modificato dal NIS2-Umsetzungsgesetz
- Medizinprodukte-Durchführungsgesetz (MPDG) — gesetze-im-internet.de/mpdg
- Tracker di recepimento NIS 2 di ENISA — enisa.europa.eu/topics/nis-directive