Suntem un producător de dispozitive medicale conform NIS 2?
Producătorii de dispozitive de pe lista de dispozitive critice EMA sunt entități esențiale conform Anexei I subcat. 5. Orice alt producător de dispozitive medicale sau DIV este o entitate importantă conform Anexei II sectorul 5, atât timp cât se atinge pragul de mărime din articolul 2(1). MDR și IVDR funcționează în paralel. Nicio excepție lex specialis.
Pe scurt
Producătorii de dispozitive medicale apar în două anexe NIS 2 în același timp. Anexa I sectorul 5 îi enumeră în cadrul celei de-a cincea subcategorii ca producători de dispozitive considerate critice în timpul unei urgențe de sănătate publică în temeiul articolului 22 din Regulamentul (UE) 2022/123. Aceasta este lista de dispozitive critice EMA. Societățile de pe ea sunt entități esențiale și se află în banda superioară de sancțiuni.
Anexa II sectorul 5 prinde restul industriei. Subcategoriile sunt producătorii de dispozitive medicale în temeiul articolului 2(1) din Regulamentul (UE) 2017/745 (MDR) și producătorii de dispozitive medicale pentru diagnostic in vitro în temeiul articolului 2(2) din Regulamentul (UE) 2017/746 (IVDR). Acestea sunt entități importante. Același test de mărime din articolul 2(1) ca toți ceilalți: 50 de angajați sau 10 milioane de euro cifră de afaceri sau total al bilanțului.
MDR și IVDR funcționează în paralel, nu înlocuiesc NIS 2. MDR acoperă dispozitivul, NIS 2 acoperă societatea. Obligațiile de securitate cibernetică din MDR Anexa I 17.2 se află la nivelul produsului. Obligațiile NIS 2 din articolul 21 se află la nivelul entității. Ambele se aplică. Nu există nicio excepție lex specialis de tip DORA pentru producătorii de dispozitive medicale.
Anexa I sectorul 5, a cincea liniuță Directiva NIS 2 (2022/2555)
Entitățile care fabrică dispozitive medicale considerate critice în timpul unei urgențe de sănătate publică (lista dispozitivelor critice în caz de urgență de sănătate publică) în sensul articolului 22 din Regulamentul (UE) 2022/123.
Textual din JO L 333/145, Anexa I sectorul 5, a cincea liniuță. Referința este lista de dispozitive critice EMA în temeiul Regulamentului (UE) 2022/123. Dacă produsul dumneavoastră este pe acea listă, sunteți o entitate esențială. Banda de sancțiuni: până la 10 milioane de euro sau 2 la sută din cifra de afaceri mondială, oricare este mai mare.
Anexa II sectorul 5 Directiva NIS 2 (2022/2555)
Fabricarea de dispozitive medicale și de dispozitive medicale pentru diagnostic in vitro: entitățile care fabrică dispozitive medicale în sensul articolului 2 punctul 1 din Regulamentul (UE) 2017/745 al Parlamentului European și al Consiliului, cu excepția entităților care fabrică dispozitivele medicale menționate în Anexa I punctul 5 a cincea liniuță din prezenta directivă; entitățile care fabrică dispozitive medicale pentru diagnostic in vitro în sensul articolului 2 punctul 2 din Regulamentul (UE) 2017/746 al Parlamentului European și al Consiliului.
Textual din JO L 333/146, Anexa II sectorul 5. Două subcategorii: producătorii MDR (minus producătorii de dispozitive critice EMA, care merg la Anexa I) și producătorii IVDR. NACE C32.5 acoperă clasificarea fabricării. Entitate importantă, banda de sancțiuni până la 7 milioane de euro sau 1,4 la sută din cifra de afaceri mondială.
§28 BSIG și Articolul 2(1) NIS 2 (testul de mărime)
§28 BSIG transpune domeniul de aplicare al Anexei I și Anexei II în dreptul german. Articolul 2(1) NIS 2 plus Recomandarea 2003/361/CE stabilesc pragul de mărime: 50 de angajați sau mai mulți, sau 10 milioane de euro sau mai mult cifră de afaceri anuală sau total al bilanțului.
Două praguri, oricare dintre ele este suficient. Regula de mărime este identică pentru entitățile din Anexa I și Anexa II. Singurul lucru care se schimbă între cele două este banda de sancțiuni și regimul de supraveghere. BfArM rămâne autoritatea de reglementare pentru MDR și IVDR; BSI este autoritatea de reglementare pentru NIS 2. Două autorități diferite, o singură societate.
Lista de dispozitive critice EMA
Este produsul dumneavoastră pe lista de dispozitive critice EMA în temeiul articolului 22 din Regulamentul (UE) 2022/123? Acea listă numește dispozitive considerate critice în timpul unei urgențe de sănătate publică declarate. Ventilatoare, concentratoare de oxigen, anumite dispozitive de diagnostic, anumite dispozitive de perfuzie. Dacă da, se aplică Anexa I subcat. 5 și sunteți o entitate esențială.
Producător generic de dispozitive sau de DIV
Sunteți un producător în temeiul articolului 2(1) MDR sau articolului 2(2) IVDR? Asta cuprinde întreaga industrie: orice parte care dezvoltă, fabrică, recondiționează sau introduce pe piață un dispozitiv medical sau DIV sub propriul nume. Clasificarea NACE C32.5. Dacă da și nu treceți Testul 1, se aplică Anexa II sectorul 5 și sunteți o entitate importantă.
Testul de mărime (Articolul 2(1))
Aveți 50 de angajați sau mai mulți, sau 10 milioane de euro sau mai mult cifră de afaceri anuală sau total al bilanțului? Oricare prag vă pune în domeniul de aplicare. Sub ambele, rămâneți în afară, cu excepțiile înguste indiferent de mărime din articolul 2(2) și (3) (furnizori unici, administrație publică, servicii de încredere calificate, câteva altele).
Anexa I subcat. 5 și Anexa II sectorul 5 se exclud reciproc
Citiți Anexa II sectorul 5 cu atenție: acoperă producătorii MDR cu excepția celor deja numiți în Anexa I subcat. 5. O singură societate este fie esențială (pe lista de dispozitive critice EMA), fie importantă (toți ceilalți). Același sector, două anexe, benzi diferite de sancțiuni. Nu vă aflați în ambele deodată.
MDR și IVDR acoperă dispozitivul, NIS 2 acoperă societatea
Cerința 17.2 din Anexa I MDR mandatează deja securitatea IT la nivelul produsului: dispozitivul trebuie proiectat și fabricat pentru a asigura o funcționare repetabilă, fiabilă și performantă împotriva riscurilor de securitate cibernetică previzibile în mod rezonabil. Articolul 21 NIS 2 se află cu un nivel mai sus: guvernanță, gestionarea riscurilor, lanțul de aprovizionare, gestionarea incidentelor la nivelul societății. Ambele se aplică. Niciuna nu o absoarbe pe cealaltă.
BSI / §28 BSIG (autoritatea de securitate cibernetică NIS 2)
BSI este autoritatea de securitate cibernetică conform NIS 2. §28 BSIG operaționalizează domeniul de aplicare al Anexei I și Anexei II. §30 BSIG stabilește măsurile de gestionare a riscurilor, iar §32 BSIG stabilește obligațiile de raportare. BSI nu reglementează dispozitivul în sine, ci doar postura de securitate cibernetică a societății.
BfArM / MPDG (dispozitive medicale și DIV)
BfArM este autoritatea germană competentă pentru MDR și IVDR în temeiul Medizinprodukte-Durchführungsgesetz (MPDG). Supraveghează dispozitivul în sine: evaluarea conformității, supravegherea după introducerea pe piață, raportarea de vigilență. Obligația de securitate cibernetică din MDR Anexa I 17.2 se află aici, distinctă de obligațiile NIS 2 de la BSI.
Instrumentul ENISA de urmărire a transpunerii NIS 2
ENISA publică o pagină de transpunere NIS 2 care enumeră legile naționale și autoritățile competente per stat membru. Pentru producătorii de dispozitive medicale care vând în toată UE, aceasta este cea mai curată sursă unică pentru autoritatea de securitate cibernetică din fiecare țară. Peisajul organismelor notificate MDR este separat și urmărit prin baza de date EUDAMED.
MDR Anexa I 17.2 acoperă deja securitatea cibernetică, deci NIS 2 nu se aplică pe deasupra.
MDR 17.2 acoperă securitatea cibernetică a produsului pentru dispozitiv. Articolul 21 NIS 2 acoperă securitatea cibernetică a societății pentru producător: guvernanță, gestionarea riscurilor, lanțul de aprovizionare, gestionarea incidentelor, continuitatea activității. Două niveluri diferite. NIS 2 nu are nicio excepție lex specialis pentru producătorii de dispozitive medicale. Ambele se aplică în întregime.
Producem doar dispozitive din clasa I, deci suntem sub linia NIS 2.
Clasa de risc MDR nu este testul NIS 2. Testul NIS 2 este sectorul din Anexa I sau Anexa II plus mărimea din articolul 2(1). Un producător de bandaje din clasa I cu 80 de angajați este în Anexa II sectorul 5 ca entitate importantă. Clasa de risc clinic a produsului este irelevantă pentru domeniul de aplicare NIS 2.
Suntem o societate de software ca dispozitiv medical, asta înseamnă doar MDR.
Producătorii de SaMD sunt producători de dispozitive medicale în temeiul articolului 2(1) MDR. Anexa II sectorul 5 îi prinde. Dacă depășiți pragul de mărime, se aplică NIS 2. Software-ul nu schimbă anexa; societatea fabrică în continuare un dispozitiv medical conform MDR. Aceeași subcategorie vă prinde.
Caz tipic: un producător de implanturi ortopedice cu 90 de angajați și 25 de milioane de euro cifră de afaceri anuală. Testul 1 nu trece (nu este pe lista de dispozitive critice EMA). Testul 2 trece (producător MDR în temeiul articolului 2(1)). Testul 3 trece (cu mult peste pragul de întreprindere mijlocie). Rezultat: Anexa II sectorul 5, entitate importantă. Se aplică măsurile din §30 BSIG. Se aplică raportarea din §32 BSIG. Evaluarea conformității MDR continuă la organismul notificat, neschimbată.
Ce fac practicienii de fapt: păstrează dosarul NIS 2 separat de documentația tehnică MDR. Două autorități de reglementare, două depuneri. Dovezile din MDR Anexa I 17.2 (modelarea amenințărilor, ciclul de viață al dezvoltării securizate, securitatea după introducerea pe piață) alimentează obligațiile lanțului de aprovizionare din articolul 21(2)(e) NIS 2, dar nu le înlocuiesc. Semnați Anwendbarkeitsprüfung-ul la nivelul organului de conducere și stocați ambele dosare sub aceeași pistă de audit.
Verificarea de aplicabilitate parcurge toate trei testele în ordine: lista de dispozitive critice EMA din Anexa I subcat. 5, testul generic de producător MDR sau IVDR din Anexa II sectorul 5 și pragul de mărime din articolul 2(1). Rezultatul numește subcategoria, anexa, banda de sancțiuni și autoritatea de reglementare. Îl predați auditorului dumneavoastră.
Rezultatul nu este un da/nu. Este o justificare: care anexă, care subcategorie, care test de mărime a fost trecut și unde se află obligațiile MDR și IVDR în paralel. Semnat de organul de conducere, fixat pe versiunea textului UE și a transpunerii §28 BSIG pe care o cităm. Se reia curat dacă lista de dispozitive critice EMA este actualizată în timpul unei viitoare urgențe de sănătate publică.
- Directiva (UE) 2022/2555 (NIS 2), Anexa I sectorul 5 a cincea liniuță și Anexa II sectorul 5. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Regulamentul (UE) 2022/123 privind un rol consolidat al EMA, Articolul 22 (lista de medicamente și dispozitive medicale critice). eur-lex.europa.eu/eli/reg/2022/123/oj
- Regulamentul (UE) 2017/745 (MDR), Articolul 2(1) (definiția producătorului) și Anexa I cerința 17.2 (securitate cibernetică). eur-lex.europa.eu/eli/reg/2017/745/oj
- Regulamentul (UE) 2017/746 (IVDR), Articolul 2(2) (definiția producătorului). eur-lex.europa.eu/eli/reg/2017/746/oj
- Recomandarea 2003/361/CE a Comisiei, anexă Articolul 2 (definiția întreprinderii mijlocii)
- Legea BSI (BSIG), §28 astfel cum a fost modificat prin NIS2-Umsetzungsgesetz
- Medizinprodukte-Durchführungsgesetz (MPDG). gesetze-im-internet.de/mpdg
- Instrumentul ENISA de urmărire a transpunerii NIS 2. enisa.europa.eu/topics/nis-directive