Somos um fabricante de dispositivos médicos ao abrigo da NIS 2?
Os fabricantes de dispositivos na lista de dispositivos críticos da EMA são entidades essenciais ao abrigo da subcategoria 5 do Anexo I. Todos os outros fabricantes de dispositivos médicos ou de IVD são entidades importantes ao abrigo do setor 5 do Anexo II, desde que seja alcançado o limiar de dimensão do artigo 2.o, n.o 1. O MDR e o IVDR correm em paralelo. Sem isenção por lex specialis.
A versão curta
Os fabricantes de dispositivos médicos aparecem em dois anexos da NIS 2 ao mesmo tempo. O setor 5 do Anexo I enumera-os na sua quinta subcategoria como fabricantes de dispositivos considerados críticos durante uma emergência de saúde pública ao abrigo do artigo 22.o do Regulamento (UE) 2022/123. Essa é a lista de dispositivos críticos da EMA. As empresas nela inscritas são entidades essenciais e ficam na faixa de coima mais elevada.
O setor 5 do Anexo II apanha o resto da indústria. As subcategorias são fabricantes de dispositivos médicos ao abrigo do artigo 2.o, ponto 1, do Regulamento (UE) 2017/745 (MDR) e fabricantes de dispositivos médicos de diagnóstico in vitro ao abrigo do artigo 2.o, ponto 2, do Regulamento (UE) 2017/746 (IVDR). São entidades importantes. O mesmo teste de dimensão do artigo 2.o, n.o 1, que todos os outros: 50 colaboradores ou 10 milhões de euros de volume de negócios ou de balanço.
O MDR e o IVDR correm em paralelo, não substituem a NIS 2. O MDR cobre o dispositivo, a NIS 2 cobre a empresa. Os deveres de cibersegurança ao abrigo do MDR, Anexo I, 17.2, ficam ao nível do produto. Os deveres da NIS 2 ao abrigo do artigo 21.o ficam ao nível da entidade. Ambos se aplicam. Não há isenção por lex specialis ao estilo DORA para os fabricantes de dispositivos médicos.
Anexo I, setor 5, quinto travessão, da Diretiva NIS 2 (2022/2555)
Entidades que fabricam dispositivos médicos considerados críticos durante uma emergência de saúde pública (lista de dispositivos críticos para uma emergência de saúde pública) na aceção do artigo 22.o do Regulamento (UE) 2022/123.
Literal do JO L 333/145, Anexo I, setor 5, quinto travessão. A referência é a lista de dispositivos críticos da EMA ao abrigo do Regulamento (UE) 2022/123. Se o seu produto estiver nessa lista, é uma entidade essencial. Faixa de coima: até 10 milhões de euros ou 2 por cento do volume de negócios mundial, consoante o que for mais elevado.
Anexo II, setor 5, da Diretiva NIS 2 (2022/2555)
Fabrico de dispositivos médicos e de dispositivos médicos de diagnóstico in vitro: entidades que fabricam dispositivos médicos na aceção do artigo 2.o, ponto 1, do Regulamento (UE) 2017/745 do Parlamento Europeu e do Conselho, com exceção das entidades que fabricam dispositivos médicos referidos no Anexo I, ponto 5, quinto travessão, da presente diretiva; entidades que fabricam dispositivos médicos de diagnóstico in vitro na aceção do artigo 2.o, ponto 2, do Regulamento (UE) 2017/746 do Parlamento Europeu e do Conselho.
Literal do JO L 333/146, Anexo II, setor 5. Duas subcategorias: fabricantes MDR (menos os fabricantes de dispositivos críticos da EMA, que vão para o Anexo I) e fabricantes IVDR. O NACE C32.5 abrange a classificação do fabrico. Entidade importante, faixa de coima até 7 milhões de euros ou 1,4 por cento do volume de negócios mundial.
§28 BSIG e artigo 2.o, n.o 1, da NIS 2 (teste de dimensão)
O §28 BSIG transpõe o âmbito do Anexo I e do Anexo II para o direito alemão. O artigo 2.o, n.o 1, da NIS 2, em conjunto com a Recomendação 2003/361/CE, fixa o limiar de dimensão: 50 ou mais trabalhadores, ou 10 milhões de euros ou mais de volume de negócios anual ou de balanço.
Dois limiares, qualquer um basta. A regra de dimensão é idêntica para as entidades do Anexo I e do Anexo II. A única coisa que muda entre os dois é a faixa de coima e o regime de supervisão. O BfArM continua a ser o regulador para o MDR e o IVDR; o BSI é o regulador para a NIS 2. Duas autoridades diferentes, uma empresa.
Lista de dispositivos críticos da EMA
O seu produto está na lista de dispositivos críticos da EMA ao abrigo do artigo 22.o do Regulamento (UE) 2022/123? Essa lista designa os dispositivos considerados críticos durante uma emergência de saúde pública declarada. Ventiladores, concentradores de oxigénio, certos meios de diagnóstico, certos dispositivos de perfusão. Se sim, aplica-se a subcategoria 5 do Anexo I e é uma entidade essencial.
Fabricante genérico de dispositivos ou de IVD
É um fabricante ao abrigo do artigo 2.o, n.o 1, do MDR ou do artigo 2.o, n.o 2, do IVDR? Isso capta toda a indústria: qualquer parte que desenvolve, fabrica, recondiciona ou coloca no mercado um dispositivo médico ou IVD em seu próprio nome. Classificação NACE C32.5. Se sim e falhar o Teste 1, aplica-se o setor 5 do Anexo II e é uma entidade importante.
Teste de dimensão (artigo 2.o, n.o 1)
Tem 50 ou mais trabalhadores, ou 10 milhões de euros ou mais de volume de negócios anual ou de balanço? Qualquer um dos limiares o coloca no âmbito. Abaixo de ambos, fica de fora, com as exceções estreitas independentes da dimensão no artigo 2.o, n.os 2 e 3 (prestadores únicos, administração pública, serviços de confiança qualificados, alguns outros).
A subcategoria 5 do Anexo I e o setor 5 do Anexo II são mutuamente exclusivos
Leia o setor 5 do Anexo II com atenção: abrange os fabricantes MDR com exceção dos já designados na subcategoria 5 do Anexo I. Uma única empresa é ou essencial (na lista de dispositivos críticos da EMA) ou importante (todos os outros). Mesmo setor, dois anexos, faixas de coima diferentes. Não se situa em ambos ao mesmo tempo.
O MDR e o IVDR cobrem o dispositivo, a NIS 2 cobre a empresa
O requisito 17.2 do Anexo I do MDR já exige segurança informática ao nível do produto: o dispositivo deve ser concebido e fabricado de modo a assegurar um funcionamento repetível, fiável e eficaz face a riscos de cibersegurança razoavelmente previsíveis. O artigo 21.o da NIS 2 fica uma camada acima: governação, gestão de risco, cadeia de abastecimento, tratamento de incidentes ao nível da empresa. Ambos se aplicam. Nenhum absorve o outro.
BSI / §28 BSIG (autoridade de cibersegurança NIS 2)
O BSI é a autoridade de cibersegurança ao abrigo da NIS 2. O §28 BSIG operacionaliza o âmbito do Anexo I e do Anexo II. O §30 BSIG fixa as medidas de gestão de risco e o §32 BSIG fixa os deveres de notificação. O BSI não regula o próprio dispositivo, apenas a postura de cibersegurança da empresa.
BfArM / MPDG (dispositivos médicos e IVD)
O BfArM é a autoridade competente alemã para o MDR e o IVDR ao abrigo do Medizinprodukte-Durchführungsgesetz (MPDG). Supervisiona o próprio dispositivo: avaliação da conformidade, vigilância pós-comercialização, notificação de vigilância. O dever de cibersegurança do MDR ao abrigo do Anexo I, 17.2, fica aqui, distinto dos deveres da NIS 2 no BSI.
Rastreador de transposição da NIS 2 da ENISA
A ENISA publica uma página de transposição da NIS 2 que enumera as leis nacionais e as autoridades competentes por Estado-Membro. Para os fabricantes de dispositivos médicos que vendem em toda a UE, essa é a fonte única mais limpa para a autoridade de cibersegurança em cada país. O panorama dos organismos notificados do MDR é separado e acompanhado através da base de dados EUDAMED.
O Anexo I, 17.2, do MDR já cobre a cibersegurança, por isso a NIS 2 não se aplica por cima.
O 17.2 do MDR cobre a cibersegurança do produto, do dispositivo. O artigo 21.o da NIS 2 cobre a cibersegurança da empresa, do fabricante: governação, gestão de risco, cadeia de abastecimento, tratamento de incidentes, continuidade do negócio. Duas camadas diferentes. A NIS 2 não tem isenção por lex specialis para os fabricantes de dispositivos médicos. Ambos se aplicam na íntegra.
Só fazemos dispositivos da Classe I, por isso estamos abaixo da linha da NIS 2.
A classe de risco do MDR não é o teste da NIS 2. O teste da NIS 2 é o setor do Anexo I ou do Anexo II mais a dimensão do artigo 2.o, n.o 1. Um fabricante de pensos da Classe I com 80 colaboradores está no setor 5 do Anexo II como entidade importante. A classe de risco clínico do produto é irrelevante para o âmbito da NIS 2.
Somos uma empresa de software como dispositivo médico, isto é só MDR.
Os fabricantes de SaMD são fabricantes de dispositivos médicos ao abrigo do artigo 2.o, n.o 1, do MDR. O setor 5 do Anexo II apanha-os. Se ultrapassar o limiar de dimensão, a NIS 2 aplica-se. O software não muda o anexo; a empresa continua a fabricar um dispositivo médico ao abrigo do MDR. A mesma subcategoria apanha-o.
Caso típico: um fabricante de implantes ortopédicos com 90 colaboradores e 25 milhões de euros de volume de negócios anual. O Teste 1 falha (não está na lista de dispositivos críticos da EMA). O Teste 2 passa (fabricante MDR ao abrigo do artigo 2.o, n.o 1). O Teste 3 passa (bem acima do limiar de média empresa). Resultado: setor 5 do Anexo II, entidade importante. As medidas do §30 BSIG aplicam-se. A notificação do §32 BSIG aplica-se. A avaliação da conformidade MDR continua no organismo notificado, sem alterações.
O que os profissionais fazem na prática: manter o ficheiro NIS 2 separado da documentação técnica do MDR. Dois reguladores, dois processos. As provas do Anexo I, 17.2, do MDR (modelação de ameaças, ciclo de vida de desenvolvimento seguro, segurança pós-comercialização) alimentam os deveres de cadeia de abastecimento do artigo 21.o, n.o 2, alínea e), da NIS 2, mas não os substituem. Assinar a Anwendbarkeitsprüfung ao nível do órgão de gestão e guardar ambos os ficheiros sob o mesmo rasto de auditoria.
A verificação de aplicabilidade percorre os três testes por ordem: a lista de dispositivos críticos da EMA ao abrigo da subcategoria 5 do Anexo I, o teste genérico de fabricante MDR ou IVDR ao abrigo do setor 5 do Anexo II e o limiar de dimensão do artigo 2.o, n.o 1. O resultado designa a subcategoria, o anexo, a faixa de coima e o regulador. Entrega-o ao seu auditor.
O resultado não é um sim ou não. É uma justificação: que anexo, que subcategoria, que teste de dimensão foi ultrapassado e onde os deveres do MDR e do IVDR ficam ao lado. Assinado pelo órgão de gestão, com versão fixada ao texto da UE e à transposição do §28 BSIG que citamos. Volta a correr de forma limpa se a lista de dispositivos críticos da EMA for atualizada numa futura emergência de saúde pública.
- Diretiva (UE) 2022/2555 (NIS 2), Anexo I, setor 5, quinto travessão, e Anexo II, setor 5. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Regulamento (UE) 2022/123 sobre um papel reforçado da EMA, artigo 22.o (lista de medicamentos e dispositivos médicos críticos). eur-lex.europa.eu/eli/reg/2022/123/oj
- Regulamento (UE) 2017/745 (MDR), artigo 2.o, n.o 1 (definição de fabricante) e Anexo I, requisito 17.2 (cibersegurança). eur-lex.europa.eu/eli/reg/2017/745/oj
- Regulamento (UE) 2017/746 (IVDR), artigo 2.o, n.o 2 (definição de fabricante). eur-lex.europa.eu/eli/reg/2017/746/oj
- Recomendação 2003/361/CE da Comissão, anexo, artigo 2.o (definição de média empresa)
- Lei do BSI (BSIG), §28, com a redação dada pela NIS2-Umsetzungsgesetz
- Medizinprodukte-Durchführungsgesetz (MPDG). gesetze-im-internet.de/mpdg
- Rastreador de transposição da NIS 2 da ENISA. enisa.europa.eu/topics/nis-directive