Somos um hospital ao abrigo da NIS 2?
A NIS 2 vincula-o se for um Gesundheitsdienstleister na aceção da Diretiva 2011/24/UE e ultrapassar o limiar de dimensão de média empresa. A linha KRITIS dos 30 000 vollstationäre Fälle é um regime alemão separado e mais rigoroso. Dois testes, duas respostas.
A versão curta
Os hospitais estão no setor 5 do anexo I da NIS 2 (Gesundheitswesen). A Diretiva abrange-os como «Gesundheitsdienstleister» na aceção do artigo 3.o, alínea g), da Diretiva 2011/24/UE. A lista setorial é mais ampla do que apenas os hospitais: laboratórios de referência da UE, I&D de medicamentos, fabricantes de produtos farmacêuticos e fabricantes de dispositivos médicos críticos para emergências de saúde pública estão no mesmo grupo.
Se a NIS 2 o vincula depende do artigo 2.o, n.o 1. Está no âmbito se for uma média empresa ao abrigo da Recomendação 2003/361/CE da Comissão, ou maior. O limiar médio é de 50 trabalhadores ou 10 milhões de euros de volume de negócios anual ou de balanço total. Uma clínica regional com 60 colaboradores está dentro. Um consultório especializado com 20 colaboradores geralmente não está.
A Alemanha tem um segundo regime a correr em paralelo: KRITIS. A KRITIS-Verordnung estabelece um limiar específico para hospitais de 30 000 vollstationäre Krankenhausfälle por ano. Os hospitais com estatuto KRITIS continuam a ser entidades NIS 2, mas também assumem deveres mais rigorosos ao abrigo das secções KRITIS do BSIG. KRITIS não é o limiar NIS 2. Dois testes separados.
Setor 5 do anexo I da Diretiva NIS 2 (2022/2555)
Gesundheitsdienstleister im Sinne des Artikels 3 Buchstabe g der Richtlinie 2011/24/EU; EU-Referenzlaboratorien im Sinne des Artikels 15 der Verordnung (EU) 2022/2371; Einrichtungen, die Forschungs- und Entwicklungstätigkeiten in Bezug auf Arzneimittel im Sinne des Artikels 1 Nummer 2 der Richtlinie 2001/83/EG ausüben; Einrichtungen, die pharmazeutische Erzeugnisse im Sinne des Abschnitts C Abteilung 21 der Statistischen Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft (NACE Rev. 2) herstellen; Einrichtungen, die Medizinprodukte herstellen, die während einer Notlage im Bereich der öffentlichen Gesundheit als kritisch im Sinne des Artikels 22 der Verordnung (EU) 2022/123 eingestuft werden.
Verbatim do JO L 333/145. O setor 5 capta cinco categorias. Um hospital é a primeira. Laboratórios, I&D de medicamentos, fabrico farmacêutico e fabricantes de dispositivos críticos são as outras quatro.
Artigo 2.o, n.o 1, da NIS 2 + Recomendação 2003/361/CE
A presente diretiva aplica-se às entidades públicas ou privadas de um dos tipos referidos no anexo I ou II que sejam consideradas médias empresas nos termos do artigo 2.o do anexo da Recomendação 2003/361/CE, ou que excedam os limiares para as médias empresas previstos no n.o 1 desse artigo.
O artigo 2.o, n.o 1, é a regra de âmbito. A definição de dimensão da 2003/361/CE diz que média significa 50 ou mais trabalhadores, ou 10 milhões de euros ou mais de volume de negócios anual ou de balanço total. Ultrapasse qualquer um dos limiares e está dentro.
§28 BSIG mais KRITIS-Verordnung (Alemanha)
O §28 BSIG transpõe o âmbito do anexo I para o direito alemão. A BSI-Kritisverordnung define, para efeitos KRITIS, o limiar de 30 000 vollstationäre Krankenhausfälle pro Jahr para os hospitais.
Duas regras alemãs assentam uma sobre a outra. O §28 BSIG aplica o teste de âmbito NIS 2 (setor mais dimensão). A KRITIS-Verordnung acrescenta uma camada alemã separada e mais rigorosa para hospitais sistemicamente importantes. Âmbito NIS 2 primeiro, âmbito KRITIS depois.
Teste setorial
É um Gesundheitsdienstleister ao abrigo do artigo 3.o, alínea g), da Diretiva 2011/24/UE? Isso abrange hospitais, clínicas, prestadores de ambulatório, consultórios dentários e qualquer profissional de saúde regulado por um Estado-Membro. Laboratórios, criadores de medicamentos, fabricantes farmacêuticos e fabricantes de dispositivos médicos críticos também estão no setor 5 ao abrigo de subcategorias separadas.
Teste de dimensão (artigo 2.o, n.o 1)
Tem 50 ou mais trabalhadores, ou 10 milhões de euros ou mais de volume de negócios anual ou de balanço total? Qualquer um dos limiares coloca-o no âmbito. Abaixo de ambos, fica fora, com exceções restritas no artigo 2.o, n.os 2 e 3 (sobreposições independentes da dimensão para prestadores únicos, administração pública, serviços de confiança qualificados e alguns outros).
Sobreposição KRITIS (apenas Alemanha)
Atinge 30 000 vollstationäre Krankenhausfälle por ano? Esse é o limiar na BSI-Kritisverordnung. Acima dele, é KRITIS e assume os deveres mais rigorosos do §31-32 BSIG por cima dos deveres NIS 2 regulares. Abaixo dele, é apenas NIS 2. KRITIS é específico da Alemanha; os Países Baixos, a França e a Áustria usam as suas próprias regras de designação.
NIS 2 não é KRITIS
Dois regimes, duas leis, dois limiares. A NIS 2 usa a definição de dimensão de média empresa da UE (50 colaboradores, 10 milhões de euros). KRITIS usa limiares volumétricos específicos do setor (para hospitais: 30 000 vollstationäre Fälle). A maioria dos hospitais que estão na NIS 2 não estão em KRITIS. O inverso não é possível: todos os hospitais KRITIS são também uma entidade NIS 2.
O setor 5 é mais amplo do que os hospitais
O setor 5 do anexo I capta cinco categorias num só grupo: prestadores de cuidados de saúde, laboratórios de referência da UE, entidades de I&D de medicamentos, fabricantes farmacêuticos e fabricantes de dispositivos médicos críticos. Um laboratório de diagnóstico de 60 pessoas que presta serviços a hospitais está no setor 5 por direito próprio, não como fornecedor. Mesmo teste de dimensão, mesmos deveres.
BSI / §28 BSIG mais KRITIS-Verordnung
O BSI publica material de FAQ específico do setor para a saúde ao abrigo da NIS2-Umsetzungsgesetz e gere o processo de designação KRITIS separadamente. O §28 BSIG é o gancho de âmbito NIS 2. A BSI-Kritisverordnung estabelece o limiar KRITIS dos 30 000 Fälle. Ambos podem aplicar-se ao mesmo hospital.
Rastreador de transposição NIS 2 da ENISA
A ENISA publica uma página de transposição NIS 2 que enumera as leis nacionais e as autoridades competentes por Estado-Membro. É a fonte única mais limpa para grupos hospitalares transfronteiriços que precisam de saber junto de que regulador apresentam em cada país.
Leis nacionais de transposição
O setor 5 do anexo I vincula os prestadores de cuidados de saúde em toda a UE. Os Países Baixos cobrem-no através da Cyberbeveiligingswet; a França através da Ordonnance n.o 2024-1093; a Áustria através da NISG. O teste setorial é o mesmo. O teste de dimensão é o mesmo. Os canais de comunicação e as autoridades competentes diferem.
Estamos abaixo de 30 000 casos por ano, por isso estamos fora.
Esse é o limiar KRITIS, não o limiar NIS 2. A NIS 2 usa o artigo 2.o, n.o 1: 50 trabalhadores ou 10 milhões de euros de volume de negócios. Uma clínica regional com 60 colaboradores e 8000 casos por ano está na NIS 2 e fora de KRITIS. Ambos podem ser verdade ao mesmo tempo.
A NIS 2 só se aplica aos sistemas de TI, não ao resto do hospital.
O âmbito funciona ao nível da entidade, não ao nível do sistema. Se o seu hospital é uma entidade NIS 2, cada sistema que suporta o serviço do anexo I (registos de doentes, sistemas de enfermaria, dispositivos médicos na rede, sistemas voltados para fornecedores) está dentro dos deveres do §30 BSIG. Não há uma exclusão apenas para sistemas clínicos.
A farmácia no local está fora do âmbito.
Depende da pessoa jurídica e da sua dimensão. Se a farmácia é uma pessoa jurídica separada, faz o seu próprio teste NIS 2. Se faz parte do hospital, herda o âmbito NIS 2 do hospital. Os fabricantes farmacêuticos (uma subcategoria separada do setor 5) fazem o seu próprio teste de dimensão.
Caso típico: uma clínica regional de 50 camas com 60 colaboradores e 12 milhões de euros de volume de negócios anual. Teste setorial passa (Gesundheitsdienstleister). Teste de dimensão passa (acima de ambos os limiares de média empresa). Teste KRITIS falha (bem abaixo de 30 000 vollstationäre Fälle). Resultado: na NIS 2, fora de KRITIS. Aplicam-se todas as medidas do §30 BSIG, mais a comunicação de incidentes do §32 BSIG. Sem ciclo de auditoria KRITIS.
O que os práticos fazem de facto: aplicar o teste setorial primeiro, o teste de dimensão a seguir, documentar ambos numa Anwendbarkeitsprüfung escrita e assinada pelo órgão de direção. A questão KRITIS tem o seu próprio documento porque desencadeia um processo diferente no BSI. Separá-los mantém o rasto de auditoria limpo.
A verificação de aplicabilidade percorre os três testes por ordem: classificação setorial ao abrigo do anexo I, limiar de dimensão ao abrigo do artigo 2.o, n.o 1, e a sobreposição KRITIS alemã ao abrigo da BSI-Kritisverordnung. Responde a seis perguntas e obtém uma Anwendbarkeitsprüfung escrita que pode entregar ao seu auditor.
O resultado não é um sim/não. É uma justificação: em que setor e em que subcategoria se enquadra, que teste de dimensão passou, e se o limiar KRITIS está em jogo. Assinado pelo órgão de direção, guardado com rasto de auditoria, fixado por versão ao texto da UE e do BSIG que citamos.
- Diretiva (UE) 2022/2555 (NIS 2), setor 5 do anexo I e artigo 2.o, n.o 1. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Diretiva 2011/24/UE, artigo 3.o, alínea g) (definição de Gesundheitsdienstleister). eur-lex.europa.eu/eli/dir/2011/24/oj
- Recomendação 2003/361/CE da Comissão, artigo 2.o do anexo (definição de média empresa)
- Lei do BSI (BSIG), §28 com a redação da NIS2-Umsetzungsgesetz
- BSI-Kritisverordnung, limiar do setor hospitais (30 000 vollstationäre Krankenhausfälle pro Jahr)
- Rastreador de transposição NIS 2 da ENISA. enisa.europa.eu/topics/nis-directive