Czy jesteśmy szpitalem w rozumieniu NIS 2?
NIS 2 wiąże Cię, jeżeli jesteś Gesundheitsdienstleister w rozumieniu dyrektywy 2011/24/UE i przekraczasz próg wielkości średniego przedsiębiorstwa. Linia KRITIS 30 000 vollstationäre Fälle to odrębny, surowszy niemiecki reżim. Dwa testy, dwie odpowiedzi.
Krótka wersja
Szpitale znajdują się w sektorze 5 załącznika I NIS 2 (Gesundheitswesen). Dyrektywa obejmuje je jako 'Gesundheitsdienstleister' w rozumieniu artykułu 3 lit. g) dyrektywy 2011/24/UE. Lista sektorowa jest szersza niż same szpitale: unijne laboratoria referencyjne, badania i rozwój leków, producenci farmaceutyczni oraz producenci krytycznych wyrobów medycznych na potrzeby stanów zagrożenia zdrowia publicznego są w tym samym koszyku.
To, czy NIS 2 Cię wiąże, zależy od artykułu 2 ust. 1. Jesteś objęty zakresem, jeżeli jesteś średnim przedsiębiorstwem w rozumieniu zalecenia Komisji 2003/361/WE lub większym. Próg średniego przedsiębiorstwa to 50 pracowników albo 10 mln euro rocznego obrotu lub sumy bilansowej. 60-osobowa klinika regionalna jest objęta. 20-osobowa praktyka specjalistyczna zazwyczaj nie.
Niemcy mają drugi reżim działający równolegle: KRITIS. KRITIS-Verordnung ustanawia próg właściwy dla szpitali wynoszący 30 000 vollstationäre Krankenhausfälle rocznie. Szpitale o statusie KRITIS są nadal podmiotami NIS 2, ale dodatkowo dźwigają surowsze obowiązki wynikające z sekcji KRITIS BSIG. KRITIS nie jest progiem NIS 2. Dwa odrębne testy.
Sektor 5 załącznika I dyrektywy NIS 2 (2022/2555)
Gesundheitsdienstleister im Sinne des Artikels 3 Buchstabe g der Richtlinie 2011/24/EU; EU-Referenzlaboratorien im Sinne des Artikels 15 der Verordnung (EU) 2022/2371; Einrichtungen, die Forschungs- und Entwicklungstätigkeiten in Bezug auf Arzneimittel im Sinne des Artikels 1 Nummer 2 der Richtlinie 2001/83/EG ausüben; Einrichtungen, die pharmazeutische Erzeugnisse im Sinne des Abschnitts C Abteilung 21 der Statistischen Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft (NACE Rev. 2) herstellen; Einrichtungen, die Medizinprodukte herstellen, die während einer Notlage im Bereich der öffentlichen Gesundheit als kritisch im Sinne des Artikels 22 der Verordnung (EU) 2022/123 eingestuft werden.
Dosłownie z OJ L 333/145. Sektor 5 obejmuje pięć kategorii. Szpital jest pierwszą z nich. Laboratoria, badania i rozwój leków, produkcja farmaceutyczna oraz producenci krytycznych wyrobów to pozostałe cztery.
Artykuł 2 ust. 1 NIS 2 + zalecenie 2003/361/WE
Niniejszą dyrektywę stosuje się do podmiotów publicznych lub prywatnych rodzaju, o którym mowa w załączniku I lub II, które kwalifikują się jako średnie przedsiębiorstwa na podstawie artykułu 2 załącznika do zalecenia 2003/361/WE lub które przekraczają pułapy dla średnich przedsiębiorstw przewidziane w ustępie 1 tego artykułu.
Artykuł 2 ust. 1 jest zasadą zakresu. Definicja wielkości z 2003/361/WE mówi, że średnie oznacza 50 lub więcej pracowników albo 10 mln euro lub więcej rocznego obrotu lub sumy bilansowej. Przekrocz którykolwiek próg, a jesteś objęty.
§28 BSIG plus KRITIS-Verordnung (Niemcy)
§28 BSIG transponuje zakres załącznika I do prawa niemieckiego. BSI-Kritisverordnung definiuje, na potrzeby KRITIS, próg 30 000 vollstationäre Krankenhausfälle pro Jahr dla szpitali.
Dwie niemieckie zasady leżą jedna na drugiej. §28 BSIG wdraża test zakresu NIS 2 (sektor plus wielkość). KRITIS-Verordnung dodaje odrębną, surowszą niemiecką warstwę dla szpitali o znaczeniu systemowym. Najpierw zakres NIS 2, potem zakres KRITIS.
Test sektorowy
Czy jesteś Gesundheitsdienstleister w rozumieniu artykułu 3 lit. g) dyrektywy 2011/24/UE? Obejmuje to szpitale, kliniki, świadczeniodawców ambulatoryjnych, praktyki stomatologiczne oraz każdego pracownika ochrony zdrowia regulowanego przez państwo członkowskie. Laboratoria, twórcy leków, producenci farmaceutyczni oraz producenci krytycznych wyrobów medycznych również należą do sektora 5 w ramach odrębnych podkategorii.
Test wielkości (artykuł 2 ust. 1)
Czy masz 50 lub więcej pracowników albo 10 mln euro lub więcej rocznego obrotu lub sumy bilansowej? Każdy z progów obejmuje Cię zakresem. Poniżej obu pozostajesz poza zakresem, z wąskimi wyjątkami w artykule 2 ust. 2 i 3 (nadrzędne objęcia niezależnie od wielkości dla jedynych dostawców, administracji publicznej, kwalifikowanych usług zaufania i kilku innych).
Nakładanie się z KRITIS (tylko Niemcy)
Czy osiągasz 30 000 vollstationäre Krankenhausfälle rocznie? To próg w BSI-Kritisverordnung. Powyżej niego jesteś KRITIS i dźwigasz surowsze obowiązki z §31-32 BSIG ponad zwykłe obowiązki NIS 2. Poniżej niego jesteś tylko NIS 2. KRITIS jest specyficzny dla Niemiec; NL, FR i AT stosują własne zasady wyznaczania.
NIS 2 to nie KRITIS
Dwa reżimy, dwa akty prawne, dwa progi. NIS 2 stosuje unijną definicję wielkości średniego przedsiębiorstwa (50 pracowników, 10 mln euro). KRITIS stosuje progi wolumetryczne właściwe dla sektora (dla szpitali: 30 000 vollstationäre Fälle). Większość szpitali objętych NIS 2 nie jest objęta KRITIS. Odwrotnie nie jest możliwe: każdy szpital KRITIS jest jednocześnie podmiotem NIS 2.
Sektor 5 jest szerszy niż szpitale
Sektor 5 załącznika I obejmuje pięć kategorii w jednym koszyku: świadczeniodawców ochrony zdrowia, unijne laboratoria referencyjne, podmioty badań i rozwoju leków, producentów farmaceutycznych oraz producentów krytycznych wyrobów medycznych. 60-osobowe laboratorium diagnostyczne obsługujące szpitale należy do sektora 5 we własnym prawie, a nie jako dostawca. Ten sam test wielkości, te same obowiązki.
BSI / §28 BSIG plus KRITIS-Verordnung
BSI publikuje materiały FAQ właściwe dla sektora ochrony zdrowia w ramach NIS2-Umsetzungsgesetz i prowadzi proces wyznaczania KRITIS odrębnie. §28 BSIG jest zaczepieniem zakresu NIS 2. BSI-Kritisverordnung ustanawia próg KRITIS 30 000 Fälle. Oba mogą mieć zastosowanie do tego samego szpitala.
Tracker transpozycji NIS 2 ENISA
ENISA publikuje stronę transpozycji NIS 2, która wymienia krajowe ustawy i właściwe organy w każdym państwie członkowskim. Jest to najczystsze pojedyncze źródło dla transgranicznych grup szpitalnych ustalających, u którego organu regulacyjnego składają zgłoszenia w każdym kraju.
Krajowe ustawy transponujące
Sektor 5 załącznika I wiąże świadczeniodawców ochrony zdrowia w całej UE. NL pokrywa go przez Cyberbeveiligingswet; FR przez Ordonnance n° 2024-1093; AT przez NISG. Test sektorowy jest taki sam. Test wielkości jest taki sam. Kanały zgłoszeń i właściwe organy się różnią.
Mamy poniżej 30 000 przypadków rocznie, więc jesteśmy poza zakresem.
To jest próg KRITIS, a nie próg NIS 2. NIS 2 stosuje artykuł 2 ust. 1: 50 pracowników albo 10 mln euro obrotu. 60-osobowa klinika regionalna z 8 000 przypadków rocznie jest objęta NIS 2 i poza KRITIS. Oba mogą być prawdą jednocześnie.
NIS 2 dotyczy tylko systemów IT, a nie reszty szpitala.
Zakres działa na poziomie podmiotu, a nie systemu. Jeżeli Twój szpital jest podmiotem NIS 2, każdy system wspierający usługę z załącznika I (dokumentacja pacjentów, systemy oddziałowe, wyroby medyczne w sieci, systemy obsługujące dostawców) mieści się w obowiązkach §30 BSIG. Nie ma wyłączenia obejmującego tylko systemy kliniczne.
Apteka na terenie jest poza zakresem.
Zależy od podmiotu prawnego i jego wielkości. Jeżeli apteka jest odrębnym podmiotem prawnym, przeprowadza własny test NIS 2. Jeżeli jest częścią szpitala, dziedziczy zakres NIS 2 szpitala. Producenci farmaceutyczni (odrębna podkategoria sektora 5) przeprowadzają własny test wielkości.
Typowy przypadek: 50-łóżkowa klinika regionalna z 60 pracownikami i 12 mln euro rocznego obrotu. Test sektorowy zaliczony (Gesundheitsdienstleister). Test wielkości zaliczony (powyżej obu progów średniego przedsiębiorstwa). Test KRITIS niezaliczony (znacznie poniżej 30 000 vollstationäre Fälle). Wynik: objęty NIS 2, poza KRITIS. Pełne środki §30 BSIG mają zastosowanie, plus zgłaszanie incydentów §32 BSIG. Brak cyklu audytowego KRITIS.
Co praktycy faktycznie robią: najpierw przeprowadzają test sektorowy, potem test wielkości, dokumentują oba w spisanej Anwendbarkeitsprüfung podpisanej przez organ zarządzający. Pytanie o KRITIS otrzymuje własny dokument, ponieważ uruchamia inny proces w BSI. Rozdzielenie ich utrzymuje ślad audytowy w czystości.
Kontrola stosowalności przechodzi przez wszystkie trzy testy w kolejności: klasyfikacja sektorowa w ramach załącznika I, próg wielkości w ramach artykułu 2 ust. 1 oraz niemieckie nakładanie się KRITIS w ramach BSI-Kritisverordnung. Odpowiadasz na sześć pytań i otrzymujesz spisaną Anwendbarkeitsprüfung, którą możesz wręczyć audytorowi.
Wynikiem nie jest tak/nie. Jest nim uzasadnienie: do którego sektora i której podkategorii należysz, który test wielkości przeszedłeś oraz czy w grę wchodzi próg KRITIS. Podpisane przez organ zarządzający, przechowywane ze śladem audytowym, powiązane wersją z tekstem UE i BSIG, który cytujemy.
- Dyrektywa (UE) 2022/2555 (NIS 2), sektor 5 załącznika I oraz artykuł 2 ust. 1 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Dyrektywa 2011/24/UE, artykuł 3 lit. g) (definicja Gesundheitsdienstleister) — eur-lex.europa.eu/eli/dir/2011/24/oj
- Zalecenie Komisji 2003/361/WE, artykuł 2 załącznika (definicja średniego przedsiębiorstwa)
- Ustawa o BSI (BSIG), §28 w brzmieniu nadanym przez NIS2-Umsetzungsgesetz
- BSI-Kritisverordnung, próg dla sektora szpitali (30 000 vollstationäre Krankenhausfälle pro Jahr)
- Tracker transpozycji NIS 2 ENISA — enisa.europa.eu/topics/nis-directive