Anhang II Sektor 10

NIS 2 a organizacje badawcze

Załącznik II sektor 10 obejmuje organizacje badawcze, które prowadzą badania stosowane lub eksperymentalne prace rozwojowe na potrzeby komercyjnego wykorzystania. Uczelnie są domyślnie poza zakresem. Państwa członkowskie mogą rozszerzyć zakres.

Simon OrzelSimon Orzel·

Dlaczego istnieje ten artykuł

Załącznik II dyrektywy NIS 2 ((UE) 2022/2555) wymienia organizacje badawcze jako sektor 10. Kategoria mieści się w załączniku II, więc kwalifikujące się podmioty są klasyfikowane jako podmioty ważne (wichtige Einrichtungen).

Zakres jest węższy niż potoczne znaczenie badań. NIS 2 patrzy na jeden konkretny rodzaj działalności: badania stosowane lub eksperymentalne prace rozwojowe mające na celu uzyskanie wyników, które są następnie wykorzystywane komercyjnie. Badania podstawowe, czysta praca akademicka i działalność edukacyjna są domyślnie poza zakresem.

Strona przedstawia najpierw warstwę UE (załącznik II, artykuł 6(41), motyw 39, test wielkości z artykułu 2(1)), następnie niemieckie wdrożenie w §28 BSIG oraz praktyczne pułapki, które widzimy najczęściej, gdy podmioty badawcze przeprowadzają sprawdzenie zastosowania.

Źródła pierwotne
Trzy warstwy rozstrzygają, czy organizacja badawcza podlega NIS 2: sama dyrektywa, definicja w artykule 6 oraz transpozycja krajowa.

Załącznik II, sektor 10 (dyrektywa (UE) 2022/2555)

Research organisations

Załącznik II punkt 10 wymienia sektor z pojedynczym typem podmiotu „organizacje badawcze”. Definicja merytoryczna mieści się w artykule 6(41) i jest wzmocniona przez motyw 39.

Artykuł 6(41), motyw 39 (dyrektywa (UE) 2022/2555)

'Research organisation' means an entity which has as its primary goal to conduct applied research or experimental development with a view to exploiting the results of that research for commercial purposes, and which does not include educational institutions.

Motyw 39 dodaje, że niniejsza dyrektywa nie powinna mieć zastosowania do instytucji edukacyjnych, w szczególności uczelni lub ośrodków badawczych, które prowadzą działalność badawczą na zasadach niekomercyjnych. Państwa członkowskie mogą postanowić, że instytucje edukacyjne mają być objęte zakresem niniejszej dyrektywy na podstawie swoich krajowych polityk i podejść.

§28 BSIG (NIS2UmsuCG, Niemcy)

Forschungseinrichtungen mit Sitz in Deutschland, die die in §28 Absatz 1 BSIG genannten Schwellenwerte erreichen oder überschreiten, gelten als wichtige Einrichtungen.

Niemcy transponują załącznik II sektor 10 do §28 BSIG. Podmiot pozostaje podmiotem ważnym (wichtige Einrichtung) i podlega pasmu kar z §65 BSIG do 7 milionów euro lub 1,4 procent globalnego rocznego obrotu, w zależności od tego, która kwota jest wyższa.

Na co patrzy test zakresu
Trzy elementy decydują, czy podmiot badawczy jest objęty: definicja, próg wielkości oraz ewentualne rozszerzenie krajowe.
Art. 6(41)

Badania stosowane z celem komercyjnym

Główną działalnością są badania stosowane lub eksperymentalne prace rozwojowe, z zamiarem komercyjnego wykorzystania wyników. Licencjonowanie, spółki typu spin-off, badania kontraktowe dla przemysłu lub sprzedaż prototypów to typowe sygnały. Badania napędzane czystą ciekawością, nauczanie i działalność popularyzatorska nie są nimi.

Art. 2(1)

Średniej wielkości lub większy

Artykuł 2(1) NIS 2 stosuje próg z zalecenia UE 2003/361/WE. Podmiot osiąga go przy co najmniej 50 pracownikach lub przy rocznym obrocie i sumie bilansowej powyżej 10 milionów euro. Poniżej progu podmiot nie jest objęty zakresem, chyba że państwo członkowskie stosuje odstępstwo niezależne od wielkości.

Motyw 39

Krajowe rozszerzenie na uczelnie

Państwa członkowskie mogą postanowić o objęciu zakresem instytucji edukacyjnych, w tym uczelni, poprzez prawo krajowe. Bez takiego rozszerzenia uczelnie są poza zakresem, nawet jeśli prowadzą duże jednostki badań stosowanych. To, czy dany kraj dokonał rozszerzenia, jest kwestią krajowego aktu transponującego.

Dwie zasady, które są stale błędnie odczytywane
To dwie strukturalne reguły, które rozstrzygają większość granicznych przypadków, jakie widzimy w sprawdzeniach zastosowania.

Instytucje edukacyjne są domyślnie wyłączone

Motyw 39 jest wyraźny: NIS 2 nie ma zastosowania do instytucji edukacyjnych, w szczególności uczelni lub ośrodków badawczych, które prowadzą działalność badawczą na zasadach niekomercyjnych. Jednostka badawcza uczelni wykonująca prace kontraktowe dla przemysłu nie jest automatycznie objęta. Wyłączenie jest na poziomie instytucji, a nie projektu.

Źródło finansowania nie decyduje o zakresie

Definicja zależy od działalności (badania stosowane, komercyjne wykorzystanie), a nie od tego, kto płaci. Prywatnie finansowana badawcza GmbH i publicznie finansowany instytut Fraunhofera są oba w zakresie, jeśli spełniają definicję i test wielkości. Czysto publicznie finansowany instytut badań podstawowych nie jest w zakresie, ponieważ działalność jest niewłaściwa, a nie dlatego, że finansowanie jest publiczne.

Niemcy: jak zakres działa w praktyce
Niemiecki właściwy organ oraz leżące u podstaw europejskie ramy zastosowania w sektorze badawczym.
DE

BSI jako właściwy organ

Bundesamt für Sicherheit in der Informationstechnik (BSI) jest właściwym organem dla organizacji badawczych na podstawie §28 BSIG. Rejestracja przebiega przez portal BSI; obowiązki są identyczne jak dla innych podmiotów ważnych na podstawie §§30 do 32 BSIG.

EU

Wytyczne ENISA

Wytyczne ENISA dotyczące technicznego wdrożenia (v1.2, sierpień 2025) traktują organizacje badawcze tak samo jak inne podmioty z załącznika II w odniesieniu do środków zarządzania ryzykiem z artykułu 21. W rozporządzeniu wykonawczym nie ma wyłączenia specyficznego dla badań. Specyfika sektorowa pojawia się jedynie w progach zgłaszania incydentów poprzez krajową praktykę nadzorczą.

DE

Brak ogólnego rozszerzenia na uczelnie w §28 BSIG

Niemcy nie dokonały w NIS2UmsuCG ogólnego rozszerzenia NIS 2 na uczelnie. Hochschulen i uczelniane ośrodki badawcze pozostają zatem poza zakresem NIS 2 na szczeblu federalnym, choć inne ustawy federalne lub krajów związkowych (na przykład ustawy o bezpieczeństwie IT poszczególnych Länder) mogą nadal mieć zastosowanie.

Trzy pułapki w sprawdzeniach zastosowania
To odpowiedzi, które musimy korygować najczęściej, gdy podmioty badawcze dokonują samooceny.

  • Uczelnie to też badania, więc muszą być w zakresie.

    Domyślnie nie. Motyw 39 wyłącza instytucje edukacyjne, w szczególności uczelnie i niekomercyjne ośrodki badawcze. Są w zakresie wyłącznie wtedy, gdy państwo członkowskie wyraźnie rozszerzyło na nie NIS 2 prawem krajowym. W Niemczech tego rozszerzenia nie dokonano.

  • Tylko publicznie finansowane instytuty badawcze są w zakresie.

    Błędny kierunek. Definicja patrzy na działalność i zamiar komercyjnego wykorzystania, a nie na źródło finansowania. Prywatna firma badawczo-kontraktowa może być w pełni w zakresie. Czysto publicznie finansowany podmiot badań podstawowych jest poza zakresem, ponieważ działalność jest niekomercyjna, a nie dlatego, że środki są publiczne.

  • Jesteśmy organizacją non-profit, więc NIS 2 nie ma zastosowania.

    Forma prawna nie decyduje o zakresie. Gemeinnützige GmbH lub e.V. prowadzące badania stosowane na potrzeby komercyjnego wykorzystania może spełniać definicję. Testem jest działalność i próg wielkości, a nie status podatkowy.

Notatki praktyka

W sprawdzeniach zastosowania, które przeprowadzamy, granicznym przypadkiem jest niemal zawsze ramię badawczo-kontraktowe uczelni lub publicznie finansowany instytut z silnym strumieniem transferu technologii. Właściwym pytaniem nie jest, czy podmiot prowadzi badania, lecz czy jego głównym celem są badania stosowane lub eksperymentalne prace rozwojowe ze ścieżką komercyjnego wykorzystania.

Jeśli odpowiedź brzmi tak i podmiot spełnia próg wielkości z artykułu 2(1), jest w NIS 2 jako podmiot ważny, niezależnie od tego, czy postrzega siebie jako część publicznego krajobrazu badawczego. Sprawdzenie zastosowania na platformie przeprowadza wprost przez artykuł 6(41) i artykuł 2(1), więc nie pozostawia się tego interpretacji.

Jak platforma to obsługuje

Podmioty sektora 10 prowadzą ten sam rejestr obowiązków NIS 2 co każdy inny podmiot ważny: rejestracja na podstawie artykułu 27, zarządzanie na podstawie artykułu 20, dziesięć obszarów zarządzania ryzykiem z artykułu 21(2) oraz zgłaszanie incydentów na podstawie artykułu 23. Platforma strukturyzuje wszystkie z nich jako obowiązki ciągłe, a nie jednorazowy projekt.

Tam, gdzie organizacja badawcza ma specyficzny wzorzec dowodowy (na przykład umowy transferu technologii, które muszą spełniać klauzule łańcucha dostaw z artykułu 21(2)(d)), mieści się to w modułach dostawców i umów. Nie ma osobnego modułu badawczego, ponieważ środki z artykułu 21 są neutralne sektorowo.

Źródła
  • Directive (EU) 2022/2555 (NIS 2), Annex II point 10 (Research)
  • Directive (EU) 2022/2555 (NIS 2), Article 6(41), definition of research organisation
  • Directive (EU) 2022/2555 (NIS 2), Recital 39, exclusion of educational institutions and optional Member State extension
  • Directive (EU) 2022/2555 (NIS 2), Article 2(1), scope and size threshold via Recommendation 2003/361/EC
  • BSIG (Gesetz zur Umsetzung der NIS-2-Richtlinie, NIS2UmsuCG), §28, sectoral scope including research organisations
  • BSIG §65, penalty band for important entities (up to 7 million euro or 1.4 percent of global annual turnover)
  • ENISA Technical Implementation Guidance for NIS 2 Article 21, v1.2 (August 2025)
Sprawdź swój zakres
Uruchom sprawdzenie zastosowania, aby zobaczyć, jak załącznik II sektor 10, artykuł 6(41) oraz test wielkości z artykułu 2(1) mają zastosowanie do twojej organizacji.
Uruchom sprawdzenie zastosowania