Czy jesteśmy producentem wyrobów medycznych na gruncie NIS 2?
Producenci wyrobów z listy wyrobów krytycznych EMA są podmiotami kluczowymi na podstawie podkategorii 5 załącznika I. Każdy inny producent wyrobów medycznych lub IVD jest podmiotem ważnym na podstawie sektora 5 załącznika II, o ile osiągnięty jest próg wielkości z artykułu 2 ust. 1. MDR i IVDR działają równolegle. Brak wyłączenia lex specialis.
Wersja skrócona
Producenci wyrobów medycznych pojawiają się jednocześnie w dwóch załącznikach NIS 2. Sektor 5 załącznika I wymienia ich w piątej podkategorii jako producentów wyrobów uznanych za krytyczne podczas stanu zagrożenia zdrowia publicznego na podstawie artykułu 22 rozporządzenia (UE) 2022/123. To lista wyrobów krytycznych EMA. Spółki na niej figurujące są podmiotami kluczowymi i sytuują się w wyższym przedziale kar.
Sektor 5 załącznika II obejmuje resztę branży. Podkategorie to producenci wyrobów medycznych na podstawie artykułu 2 pkt 1 rozporządzenia (UE) 2017/745 (MDR) oraz producenci wyrobów medycznych do diagnostyki in vitro na podstawie artykułu 2 pkt 2 rozporządzenia (UE) 2017/746 (IVDR). To podmioty ważne. Ten sam test wielkości z artykułu 2 ust. 1 co u wszystkich innych: 50 pracowników albo 10 milionów euro obrotu albo sumy bilansowej.
MDR i IVDR działają równolegle, nie zastępują NIS 2. MDR obejmuje wyrób, NIS 2 obejmuje spółkę. Obowiązki w zakresie cyberbezpieczeństwa na podstawie MDR załącznik I pkt 17.2 sytuują się na poziomie produktu. Obowiązki NIS 2 na podstawie artykułu 21 sytuują się na poziomie podmiotu. Oba mają zastosowanie. Nie ma wyłączenia lex specialis w stylu DORA dla producentów wyrobów medycznych.
Załącznik I sektor 5, tiret piąte dyrektywy NIS 2 (2022/2555)
Podmioty produkujące wyroby medyczne uznane za krytyczne podczas stanu zagrożenia zdrowia publicznego (lista wyrobów krytycznych w stanie zagrożenia zdrowia publicznego) w rozumieniu artykułu 22 rozporządzenia (UE) 2022/123.
Dosłownie z Dz.U. L 333/145, załącznik I sektor 5, tiret piąte. Odniesienie to lista wyrobów krytycznych EMA na podstawie rozporządzenia (UE) 2022/123. Jeżeli twój produkt znajduje się na tej liście, jesteś podmiotem kluczowym. Przedział kar: do 10 milionów euro albo 2 procent światowego obrotu, w zależności od tego, która kwota jest wyższa.
Załącznik II sektor 5 dyrektywy NIS 2 (2022/2555)
Produkcja wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro: podmioty produkujące wyroby medyczne w rozumieniu artykułu 2 pkt 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2017/745, z wyjątkiem podmiotów produkujących wyroby medyczne, o których mowa w załączniku I pkt 5 tiret piąte niniejszej dyrektywy; podmioty produkujące wyroby medyczne do diagnostyki in vitro w rozumieniu artykułu 2 pkt 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2017/746.
Dosłownie z Dz.U. L 333/146, załącznik II sektor 5. Dwie podkategorie: producenci wyrobów MDR (z pominięciem producentów wyrobów krytycznych EMA, którzy trafiają do załącznika I) oraz producenci wyrobów IVDR. NACE C32.5 obejmuje klasyfikację produkcji. Podmiot ważny, przedział kar do 7 milionów euro albo 1,4 procent światowego obrotu.
§28 BSIG i artykuł 2 ust. 1 NIS 2 (test wielkości)
§28 BSIG transponuje zakres z załącznika I i załącznika II do prawa niemieckiego. Artykuł 2 ust. 1 NIS 2 wraz z zaleceniem 2003/361/WE ustala próg wielkości: 50 lub więcej pracowników albo 10 milionów euro lub więcej rocznego obrotu lub sumy bilansowej.
Dwa progi, jeden z nich wystarczy. Reguła wielkości jest identyczna dla podmiotów z załącznika I i załącznika II. Jedyne, co zmienia się między nimi, to przedział kar i reżim nadzoru. BfArM pozostaje regulatorem dla MDR i IVDR; BSI jest regulatorem dla NIS 2. Dwa różne organy, jedna spółka.
Lista wyrobów krytycznych EMA
Czy twój produkt znajduje się na liście wyrobów krytycznych EMA na podstawie artykułu 22 rozporządzenia (UE) 2022/123? Ta lista wymienia wyroby uznane za krytyczne podczas ogłoszonego stanu zagrożenia zdrowia publicznego. Respiratory, koncentratory tlenu, niektóre wyroby diagnostyczne, niektóre pompy infuzyjne. Jeżeli tak, stosuje się podkategoria 5 załącznika I i jesteś podmiotem kluczowym.
Producent wyrobu standardowego lub IVD
Czy jesteś producentem na podstawie artykułu 2 pkt 1 MDR lub artykułu 2 pkt 2 IVDR? To ujmuje całą branżę: każdy podmiot, który opracowuje, produkuje, regeneruje lub wprowadza wyrób medyczny lub IVD do obrotu pod własną nazwą. Klasyfikacja NACE C32.5. Jeżeli tak i nie zaliczyłeś Testu 1, stosuje się sektor 5 załącznika II i jesteś podmiotem ważnym.
Test wielkości (artykuł 2 ust. 1)
Czy masz 50 lub więcej pracowników albo 10 milionów euro lub więcej rocznego obrotu lub sumy bilansowej? Każdy z progów obejmuje cię zakresem. Poniżej obu pozostajesz poza zakresem, z wąskimi przesłankami obejmującymi niezależnie od wielkości w artykule 2 ust. 2 i 3 (jedyni dostawcy, administracja publiczna, kwalifikowane usługi zaufania, kilka innych).
Podkategoria 5 załącznika I i sektor 5 załącznika II wzajemnie się wykluczają
Przeczytaj uważnie sektor 5 załącznika II: obejmuje producentów wyrobów MDR z wyjątkiem tych już wymienionych w podkategorii 5 załącznika I. Pojedyncza spółka jest albo kluczowa (na liście wyrobów krytycznych EMA), albo ważna (wszyscy pozostali). Ten sam sektor, dwa załączniki, różne przedziały kar. Nie sytuujesz się w obu jednocześnie.
MDR i IVDR obejmują wyrób, NIS 2 obejmuje spółkę
Załącznik I wymóg 17.2 MDR już nakazuje bezpieczeństwo IT na poziomie produktu: wyrób musi być zaprojektowany i wyprodukowany tak, by zapewnić powtarzalne, niezawodne i wydajne działanie w odniesieniu do racjonalnie przewidywalnych ryzyk cyberbezpieczeństwa. Artykuł 21 NIS 2 sytuuje się o warstwę wyżej: zarządzanie, zarządzanie ryzykiem, łańcuch dostaw, obsługa incydentów na poziomie spółki. Oba mają zastosowanie. Żaden nie pochłania drugiego.
BSI / §28 BSIG (organ ds. cyberbezpieczeństwa NIS 2)
BSI jest organem ds. cyberbezpieczeństwa na gruncie NIS 2. §28 BSIG operacjonalizuje zakres z załącznika I i załącznika II. §30 BSIG ustala środki zarządzania ryzykiem, a §32 BSIG ustala obowiązki zgłaszania. BSI nie reguluje samego wyrobu, lecz wyłącznie postawę cyberbezpieczeństwa spółki.
BfArM / MPDG (wyroby medyczne i IVD)
BfArM jest niemieckim organem właściwym dla MDR i IVDR na podstawie Medizinprodukte-Durchführungsgesetz (MPDG). Nadzoruje sam wyrób: ocenę zgodności, nadzór po wprowadzeniu do obrotu, zgłaszanie incydentów medycznych. Obowiązek cyberbezpieczeństwa z MDR załącznik I pkt 17.2 sytuuje się tutaj, odrębnie od obowiązków NIS 2 przy BSI.
Tracker transpozycji NIS 2 ENISA
ENISA publikuje stronę transpozycji NIS 2 wymieniającą krajowe ustawy i organy właściwe w poszczególnych państwach członkowskich. Dla producentów wyrobów medycznych sprzedających w całej UE jest to najczytelniejsze pojedyncze źródło wskazujące organ ds. cyberbezpieczeństwa w każdym kraju. Krajobraz jednostek notyfikowanych MDR jest odrębny i śledzony poprzez bazę EUDAMED.
MDR załącznik I pkt 17.2 już obejmuje cyberbezpieczeństwo, więc NIS 2 nie ma zastosowania ponad tym.
MDR pkt 17.2 obejmuje cyberbezpieczeństwo produktu dla wyrobu. Artykuł 21 NIS 2 obejmuje cyberbezpieczeństwo spółki dla producenta: zarządzanie, zarządzanie ryzykiem, łańcuch dostaw, obsługę incydentów, ciągłość działania. Dwie różne warstwy. NIS 2 nie ma wyłączenia lex specialis dla producentów wyrobów medycznych. Oba mają zastosowanie w pełni.
Produkujemy wyłącznie wyroby klasy I, więc jesteśmy poniżej linii NIS 2.
Klasa ryzyka MDR nie jest testem NIS 2. Test NIS 2 to sektor z załącznika I lub załącznika II plus wielkość z artykułu 2 ust. 1. Producent bandaży klasy I z 80 pracownikami mieści się w sektorze 5 załącznika II jako podmiot ważny. Klasa ryzyka klinicznego produktu jest nieistotna dla zakresu NIS 2.
Jesteśmy firmą produkującą oprogramowanie jako wyrób medyczny, to wyłącznie MDR.
Producenci SaMD są producentami wyrobów medycznych na podstawie artykułu 2 pkt 1 MDR. Sektor 5 załącznika II ich ujmuje. Jeżeli przekraczasz próg wielkości, NIS 2 ma zastosowanie. Oprogramowanie nie zmienia załącznika; spółka nadal produkuje wyrób medyczny na podstawie MDR. Ta sama podkategoria cię ujmuje.
Typowy przypadek: producent implantów ortopedycznych z 90 pracownikami i 25 milionami euro rocznego obrotu. Test 1 niezaliczony (brak na liście wyrobów krytycznych EMA). Test 2 zaliczony (producent wyrobów MDR na podstawie artykułu 2 ust. 1). Test 3 zaliczony (znacznie powyżej progu średniego przedsiębiorstwa). Wynik: sektor 5 załącznika II, podmiot ważny. Środki z §30 BSIG mają zastosowanie. Zgłaszanie z §32 BSIG ma zastosowanie. Ocena zgodności MDR jest dalej prowadzona przy jednostce notyfikowanej, bez zmian.
Co praktycy faktycznie robią: trzymają akta NIS 2 oddzielnie od dokumentacji technicznej MDR. Dwóch regulatorów, dwa zgłoszenia. Dowody z MDR załącznik I pkt 17.2 (modelowanie zagrożeń, bezpieczny cykl rozwoju, bezpieczeństwo po wprowadzeniu do obrotu) zasilają obowiązki NIS 2 z artykułu 21 ust. 2 lit. e dotyczące łańcucha dostaw, lecz ich nie zastępują. Podpisz Anwendbarkeitsprüfung na poziomie organu zarządzającego i przechowuj oba zbiory akt w tej samej ścieżce audytowej.
Test stosowalności przeprowadza wszystkie trzy testy w kolejności: lista wyrobów krytycznych EMA na podstawie podkategorii 5 załącznika I, test producenta standardowego wyrobu MDR lub IVDR na podstawie sektora 5 załącznika II oraz próg wielkości z artykułu 2 ust. 1. Wynik nazywa podkategorię, załącznik, przedział kar i regulatora. Przekazujesz go swojemu audytorowi.
Wynik nie jest odpowiedzią tak/nie. To uzasadnienie: który załącznik, która podkategoria, który test wielkości został zaliczony oraz gdzie obok sytuują się obowiązki MDR i IVDR. Podpisany przez organ zarządzający, przypięty wersją do tekstu unijnego i transpozycji §28 BSIG, które cytujemy. Przebiega ponownie bez zarzutu, jeżeli lista wyrobów krytycznych EMA zostanie zaktualizowana w czasie przyszłego stanu zagrożenia zdrowia publicznego.
- Dyrektywa (UE) 2022/2555 (NIS 2), załącznik I sektor 5 tiret piąte i załącznik II sektor 5 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Rozporządzenie (UE) 2022/123 w sprawie wzmocnionej roli EMA, artykuł 22 (lista krytycznych leków i wyrobów medycznych) — eur-lex.europa.eu/eli/reg/2022/123/oj
- Rozporządzenie (UE) 2017/745 (MDR), artykuł 2 ust. 1 (definicja producenta) i załącznik I wymóg 17.2 (cyberbezpieczeństwo) — eur-lex.europa.eu/eli/reg/2017/745/oj
- Rozporządzenie (UE) 2017/746 (IVDR), artykuł 2 ust. 2 (definicja producenta) — eur-lex.europa.eu/eli/reg/2017/746/oj
- Zalecenie Komisji 2003/361/WE, załącznik artykuł 2 (definicja średniego przedsiębiorstwa)
- Ustawa o BSI (BSIG), §28 w brzmieniu nadanym ustawą NIS2-Umsetzungsgesetz
- Medizinprodukte-Durchführungsgesetz (MPDG) — gesetze-im-internet.de/mpdg
- Tracker transpozycji NIS 2 ENISA — enisa.europa.eu/topics/nis-directive