Suntem un spital în temeiul NIS 2?
NIS 2 vă obligă dacă sunteți un Gesundheitsdienstleister în temeiul Directivei 2011/24/UE și depășiți pragul de dimensiune al întreprinderii mijlocii. Linia KRITIS de 30.000 vollstationäre Fälle este un regim german separat, mai strict. Două teste, două răspunsuri.
Pe scurt
Spitalele se află în anexa I sectorul 5 din NIS 2 (Gesundheitswesen). Directiva le include ca 'Gesundheitsdienstleister' în sensul articolului 3(g) din Directiva 2011/24/UE. Lista sectorului este mai largă decât spitalele singure: laboratoarele de referință ale UE, cercetarea și dezvoltarea de medicamente, producătorii de produse farmaceutice și producătorii de dispozitive medicale critice pentru situații de urgență în domeniul sănătății publice se află în aceeași categorie.
Dacă NIS 2 vă obligă depinde de articolul 2(1). Intrați în domeniul de aplicare dacă sunteți o întreprindere mijlocie în temeiul Recomandării 2003/361/CE a Comisiei, sau mai mare. Pragul de mijloc este de 50 de angajați sau 10 milioane EUR cifră de afaceri anuală sau total al bilanțului. O clinică regională cu 60 de angajați este inclusă. Un cabinet de specialitate cu 20 de angajați, în general, nu.
Germania are un al doilea regim care rulează în paralel: KRITIS. KRITIS-Verordnung stabilește un prag specific spitalelor de 30.000 vollstationäre Krankenhausfälle pe an. Spitalele cu statut KRITIS sunt în continuare entități NIS 2, dar poartă și obligații mai stricte în temeiul secțiunilor KRITIS din BSIG. KRITIS nu este pragul NIS 2. Două teste separate.
Anexa I sectorul 5 din Directiva NIS 2 (2022/2555)
Gesundheitsdienstleister im Sinne des Artikels 3 Buchstabe g der Richtlinie 2011/24/EU; EU-Referenzlaboratorien im Sinne des Artikels 15 der Verordnung (EU) 2022/2371; Einrichtungen, die Forschungs- und Entwicklungstätigkeiten in Bezug auf Arzneimittel im Sinne des Artikels 1 Nummer 2 der Richtlinie 2001/83/EG ausüben; Einrichtungen, die pharmazeutische Erzeugnisse im Sinne des Abschnitts C Abteilung 21 der Statistischen Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft (NACE Rev. 2) herstellen; Einrichtungen, die Medizinprodukte herstellen, die während einer Notlage im Bereich der öffentlichen Gesundheit als kritisch im Sinne des Artikels 22 der Verordnung (EU) 2022/123 eingestuft werden.
Textual din OJ L 333/145. Sectorul 5 cuprinde cinci categorii. Un spital este prima. Laboratoarele, cercetarea și dezvoltarea de medicamente, producția farmaceutică și producătorii de dispozitive critice sunt celelalte patru.
Articolul 2(1) NIS 2 + Recomandarea 2003/361/CE
Prezenta directivă se aplică entităților publice sau private de un tip menționat în anexa I sau II care se califică drept întreprinderi mijlocii în temeiul articolului 2 din anexa la Recomandarea 2003/361/CE sau care depășesc plafoanele pentru întreprinderile mijlocii prevăzute la alineatul (1) din articolul respectiv.
Articolul 2(1) este regula privind domeniul de aplicare. Definiția dimensiunii din 2003/361/CE spune că mijlociu înseamnă 50 sau mai mulți angajați sau 10 milioane EUR sau mai mult în cifră de afaceri anuală sau total al bilanțului. Depășiți oricare prag și sunteți inclus.
§28 BSIG plus KRITIS-Verordnung (Germania)
§28 BSIG transpune domeniul de aplicare al anexei I în legislația germană. BSI-Kritisverordnung definește, în scopuri KRITIS, pragul de 30.000 vollstationäre Krankenhausfälle pro Jahr pentru spitale.
Două reguli germane se suprapun. §28 BSIG pune în aplicare testul NIS 2 privind domeniul de aplicare (sector plus dimensiune). KRITIS-Verordnung adaugă un strat german separat, mai strict, pentru spitalele importante din punct de vedere sistemic. Mai întâi domeniul de aplicare NIS 2, apoi domeniul de aplicare KRITIS.
Testul de sector
Sunteți un Gesundheitsdienstleister în temeiul articolului 3(g) din Directiva 2011/24/UE? Acesta acoperă spitalele, clinicile, furnizorii de servicii ambulatorii, cabinetele stomatologice și orice profesionist din domeniul sănătății reglementat de un stat membru. Laboratoarele, dezvoltatorii de medicamente, producătorii de produse farmaceutice și producătorii de dispozitive medicale critice se află de asemenea în sectorul 5, în temeiul unor subcategorii separate.
Testul de dimensiune (articolul 2(1))
Aveți 50 sau mai mulți angajați sau 10 milioane EUR sau mai mult în cifră de afaceri anuală sau total al bilanțului? Oricare prag vă plasează în domeniul de aplicare. Sub ambele, rămâneți în afară, cu excepții restrânse la articolul 2(2) și (3) (derogări indiferent de dimensiune pentru furnizorii unici, administrația publică, serviciile de încredere calificate și câteva altele).
Suprapunerea KRITIS (numai Germania)
Atingeți 30.000 vollstationäre Krankenhausfälle pe an? Acesta este pragul din BSI-Kritisverordnung. Peste el, sunteți KRITIS și purtați obligațiile mai stricte din §31-32 BSIG, pe lângă obligațiile NIS 2 obișnuite. Sub el, sunteți doar NIS 2. KRITIS este specific Germaniei; NL, FR și AT folosesc propriile reguli de desemnare.
NIS 2 nu este KRITIS
Două regimuri, două legi, două praguri. NIS 2 folosește definiția UE a dimensiunii întreprinderii mijlocii (50 de angajați, 10 milioane EUR). KRITIS folosește praguri volumetrice specifice sectorului (pentru spitale: 30.000 vollstationäre Fälle). Majoritatea spitalelor care sunt în NIS 2 nu sunt în KRITIS. Inversul nu este posibil: fiecare spital KRITIS este și o entitate NIS 2.
Sectorul 5 este mai larg decât spitalele
Anexa I sectorul 5 cuprinde cinci categorii într-o singură categorie: furnizorii de servicii medicale, laboratoarele de referință ale UE, entitățile de cercetare și dezvoltare de medicamente, producătorii de produse farmaceutice și producătorii de dispozitive medicale critice. Un laborator de diagnostic cu 60 de persoane care deservește spitale se află în sectorul 5 în nume propriu, nu ca furnizor. Același test de dimensiune, aceleași obligații.
BSI / §28 BSIG plus KRITIS-Verordnung
BSI publică materiale de întrebări frecvente specifice sectorului pentru asistența medicală în temeiul NIS2-Umsetzungsgesetz și derulează separat procesul de desemnare KRITIS. §28 BSIG este punctul de ancorare pentru domeniul de aplicare NIS 2. BSI-Kritisverordnung stabilește pragul KRITIS de 30.000 Fälle. Ambele se pot aplica aceluiași spital.
Instrumentul ENISA de urmărire a transpunerii NIS 2
ENISA publică o pagină de urmărire a transpunerii NIS 2 care enumeră legile naționale și autoritățile competente per stat membru. Este cea mai clară sursă unică pentru grupurile de spitale transfrontaliere care stabilesc cu ce autoritate de reglementare depun în fiecare țară.
Legi naționale de transpunere
Anexa I sectorul 5 obligă furnizorii de servicii medicale din întreaga UE. NL o acoperă prin Cyberbeveiligingswet; FR prin Ordonnance n° 2024-1093; AT prin NISG. Testul de sector este același. Testul de dimensiune este același. Canalele de raportare și autoritățile competente diferă.
Suntem sub 30.000 de cazuri pe an, deci suntem în afară.
Acesta este pragul KRITIS, nu pragul NIS 2. NIS 2 folosește articolul 2(1): 50 de angajați sau 10 milioane EUR cifră de afaceri. O clinică regională cu 60 de angajați și 8.000 de cazuri pe an este în NIS 2 și în afara KRITIS. Ambele pot fi adevărate în același timp.
NIS 2 se aplică doar sistemelor IT, nu și restului spitalului.
Domeniul de aplicare funcționează la nivel de entitate, nu la nivel de sistem. Dacă spitalul dvs. este o entitate NIS 2, fiecare sistem care sprijină serviciul din anexa I (dosarele pacienților, sistemele de salon, dispozitivele medicale din rețea, sistemele orientate către furnizori) se află în cadrul obligațiilor din §30 BSIG. Nu există o excepție doar pentru sistemele clinice.
Farmacia din incintă este în afara domeniului de aplicare.
Depinde de entitatea juridică și de dimensiunea sa. Dacă farmacia este o entitate juridică separată, își rulează propriul test NIS 2. Dacă face parte din spital, moștenește domeniul de aplicare NIS 2 al spitalului. Producătorii de produse farmaceutice (o subcategorie separată a sectorului 5) își rulează propriul test de dimensiune.
Caz tipic: o clinică regională cu 50 de paturi, 60 de angajați și 12 milioane EUR cifră de afaceri anuală. Testul de sector trece (Gesundheitsdienstleister). Testul de dimensiune trece (peste ambele praguri ale întreprinderii mijlocii). Testul KRITIS nu trece (cu mult sub 30.000 vollstationäre Fälle). Rezultat: în NIS 2, în afara KRITIS. Se aplică toate măsurile din §30 BSIG, plus raportarea incidentelor din §32 BSIG. Niciun ciclu de audit KRITIS.
Ce fac efectiv practicienii: rulează mai întâi testul de sector, apoi testul de dimensiune, documentează ambele într-o Anwendbarkeitsprüfung scrisă, semnată de organul de conducere. Întrebarea KRITIS primește propriul document, deoarece declanșează un proces diferit la BSI. Separarea lor menține pista de audit curată.
Verificarea aplicabilității parcurge toate cele trei teste în ordine: clasificarea sectorului în temeiul anexei I, pragul de dimensiune în temeiul articolului 2(1) și suprapunerea germană KRITIS în temeiul BSI-Kritisverordnung. Răspundeți la șase întrebări și obțineți o Anwendbarkeitsprüfung scrisă pe care o puteți preda auditorului dvs.
Rezultatul nu este un da/nu. Este o justificare: în ce sector și în ce subcategorie vă încadrați, ce test de dimensiune ați trecut și dacă pragul KRITIS este în joc. Semnată de organul de conducere, stocată cu pistă de audit, fixată pe versiunea textului UE și BSIG pe care îl cităm.
- Directiva (UE) 2022/2555 (NIS 2), anexa I sectorul 5 și articolul 2(1). eur-lex.europa.eu/eli/dir/2022/2555/oj
- Directiva 2011/24/UE, articolul 3(g) (definiția Gesundheitsdienstleister). eur-lex.europa.eu/eli/dir/2011/24/oj
- Recomandarea 2003/361/CE a Comisiei, anexa articolul 2 (definiția întreprinderii mijlocii)
- Legea BSI (BSIG), §28, astfel cum a fost modificată prin NIS2-Umsetzungsgesetz
- BSI-Kritisverordnung, pragul pentru sectorul spitalelor (30.000 vollstationäre Krankenhausfälle pro Jahr)
- Instrumentul ENISA de urmărire a transpunerii NIS 2. enisa.europa.eu/topics/nis-directive