NIS 2 și organizațiile de cercetare
Anexa II sectorul 10 acoperă organizațiile de cercetare care lucrează la cercetare aplicată sau dezvoltare experimentală în scop comercial. Universitățile sunt excluse în mod implicit. Statele membre pot extinde domeniul de aplicare.
De ce există acest articol
Anexa II din Directiva NIS 2 ((UE) 2022/2555) enumeră organizațiile de cercetare ca sectorul 10. Categoria se află în Anexa II, așa că entitățile care se califică sunt clasificate ca entități importante (wichtige Einrichtungen).
Domeniul de aplicare este mai îngust decât sensul cotidian al cercetării. NIS 2 vizează un tip specific de activitate: cercetare aplicată sau dezvoltare experimentală menită să producă rezultate care sunt apoi exploatate comercial. Cercetarea fundamentală, munca pur academică și activitățile educaționale nu intră în domeniu în mod implicit.
Pagina prezintă întâi stratul UE (Anexa II, Articolul 6(41), Considerentul 39, testul de mărime din Articolul 2(1)), apoi implementarea germană din §28 BSIG și capcanele practice pe care le vedem cel mai des când organismele de cercetare rulează o verificare de aplicabilitate.
Anexa II, Sectorul 10 (Directiva (UE) 2022/2555)
Organizații de cercetare
Anexa II punctul 10 enumeră sectorul cu unicul tip de entitate "organizații de cercetare". Definiția de fond se află în Articolul 6(41) și este consolidată de Considerentul 39.
Articolul 6(41), Considerentul 39 (Directiva (UE) 2022/2555)
"Organizație de cercetare" înseamnă o entitate al cărei obiectiv principal este de a desfășura cercetare aplicată sau dezvoltare experimentală în vederea exploatării rezultatelor cercetării respective în scopuri comerciale și care nu include instituțiile de învățământ.
Considerentul 39 adaugă că prezenta directivă nu ar trebui să se aplice instituțiilor de învățământ, în special universităților sau centrelor de cercetare care desfășoară activități de cercetare pe bază necomercială. Statele membre pot decide ca instituțiile de învățământ să intre în domeniul de aplicare al prezentei directive pe baza politicilor și abordărilor lor naționale.
§28 BSIG (NIS2UmsuCG, Germania)
Forschungseinrichtungen mit Sitz in Deutschland, die die in §28 Absatz 1 BSIG genannten Schwellenwerte erreichen oder überschreiten, gelten als wichtige Einrichtungen.
Germania transpune Anexa II sectorul 10 în §28 BSIG. Entitatea rămâne o entitate importantă (wichtige Einrichtung) și intră în banda de sancțiuni din §65 BSIG, de până la 7 milioane de euro sau 1,4 procente din cifra de afaceri anuală globală, care este mai mare.
Cercetare aplicată cu scop comercial
Activitatea principală este cercetarea aplicată sau dezvoltarea experimentală, cu intenția ca rezultatele să fie exploatate comercial. Licențierea, spin-off-urile, cercetarea contractuală pentru industrie sau vânzarea de prototipuri sunt semnale tipice. Cercetarea pură, condusă de curiozitate, predarea și activitatea de informare a publicului nu sunt.
Dimensiune medie sau peste
Articolul 2(1) NIS 2 aplică pragul din Recomandarea UE 2003/361/CE. Entitatea îl atinge cu cel puțin 50 de angajați sau cifră de afaceri anuală și bilanț total peste 10 milioane de euro. Sub prag, entitatea nu intră în domeniu, cu excepția cazului în care un stat membru aplică o derogare indiferent de mărime.
Extindere națională la universități
Statele membre pot decide să aducă instituțiile de învățământ, inclusiv universitățile, în domeniul de aplicare prin legislație națională. Fără o astfel de extindere, universitățile sunt excluse, chiar dacă administrează unități mari de cercetare aplicată. Dacă țara a extins sau nu este o întrebare pentru actul de transpunere națională.
Instituțiile de învățământ sunt excluse în mod implicit
Considerentul 39 este explicit: NIS 2 nu se aplică instituțiilor de învățământ, în special universităților sau centrelor de cercetare care desfășoară activități de cercetare pe bază necomercială. O unitate universitară de cercetare care face muncă contractuală pentru industrie nu este atrasă automat în domeniu. Excluderea este la nivelul instituției, nu al proiectului.
Sursa de finanțare nu decide domeniul
Definiția se bazează pe activitate (cercetare aplicată, exploatare comercială), nu pe cine plătește. Un GmbH de cercetare finanțat privat și un institut Fraunhofer finanțat public sunt amândouă în domeniu dacă îndeplinesc definiția și testul de mărime. Un institut de cercetare fundamentală finanțat pur public nu este în domeniu fiindcă activitatea este greșită, nu fiindcă finanțarea este publică.
BSI ca autoritate competentă
Bundesamt für Sicherheit in der Informationstechnik (BSI) este autoritatea competentă pentru organizațiile de cercetare conform §28 BSIG. Înregistrarea se face prin portalul BSI; obligațiile sunt identice cu cele ale altor entități importante conform §§30-32 BSIG.
Ghidul ENISA
Ghidul tehnic de implementare ENISA (v1.2, august 2025) tratează organizațiile de cercetare la fel ca alte entități din Anexa II pentru măsurile de management al riscului din Articolul 21. Nu există nicio excepție specifică cercetării în regulamentul de punere în aplicare. Specificitățile sectoriale apar doar în pragurile de raportare a incidentelor, prin practica de supraveghere națională.
Nicio extindere generală la universități în §28 BSIG
Germania nu a făcut, prin NIS2UmsuCG, o extindere generală a NIS 2 la universități. Hochschulen și centrele universitare de cercetare rămân, prin urmare, în afara domeniului NIS 2 la nivel federal, deși alte legi federale sau de land (de exemplu legile de securitate IT ale fiecărui Land) pot fi totuși aplicabile.
Și universitățile fac cercetare, deci trebuie să fie în domeniu.
În mod implicit, nu. Considerentul 39 exclude instituțiile de învățământ, în special universitățile și centrele de cercetare necomerciale. Acestea intră în domeniu doar dacă statul membru a extins în mod expres NIS 2 la ele prin legislație națională. În Germania, această extindere nu a fost făcută.
Doar institutele de cercetare finanțate public sunt în domeniu.
Direcție greșită. Definiția se uită la activitate și la intenția de exploatare comercială, nu la sursa de finanțare. O companie privată de cercetare contractuală poate fi pe deplin în domeniu. Un organism de cercetare fundamentală finanțat pur public este exclus fiindcă activitatea este necomercială, nu fiindcă fondurile sunt publice.
Suntem o organizație nonprofit, deci NIS 2 nu se aplică.
Forma juridică nu decide domeniul. Un gemeinnützige GmbH sau e.V. care desfășoară cercetare aplicată în scop de exploatare comercială poate îndeplini definiția. Testul este activitatea și pragul de mărime, nu statutul fiscal.
În verificările de aplicabilitate pe care le rulăm, cazul limită este aproape întotdeauna un braț de cercetare contractuală al unei universități sau un institut finanțat public cu o conductă puternică de transfer tehnologic. Întrebarea corectă nu este dacă entitatea face cercetare, ci dacă scopul ei principal este cercetarea aplicată sau dezvoltarea experimentală cu o cale de exploatare comercială.
Dacă răspunsul este da și entitatea îndeplinește pragul de mărime din Articolul 2(1), intră în NIS 2 ca entitate importantă, indiferent dacă se vede ca parte a peisajului de cercetare publică. Verificarea de aplicabilitate de pe platformă parcurge explicit Articolul 6(41) și Articolul 2(1), așa că acest lucru nu este lăsat la interpretare.
Entitățile din sectorul 10 rulează același registru de obligații NIS 2 ca orice altă entitate importantă: înregistrare conform Articolului 27, guvernanță conform Articolului 20, cele zece domenii de management al riscului din Articolul 21(2) și raportarea incidentelor conform Articolului 23. Platforma le structurează pe toate ca obligații continue, nu ca un proiect unic.
Acolo unde o organizație de cercetare are un tipar specific de probe (de exemplu, contracte de transfer tehnologic care trebuie să satisfacă clauzele de lanț de aprovizionare din Articolul 21(2)(d)), acesta se află în modulele de furnizori și contracte. Nu există un modul separat de cercetare fiindcă măsurile din Articolul 21 sunt neutre din punct de vedere sectorial.
- Directiva (UE) 2022/2555 (NIS 2), Anexa II punctul 10 (Cercetare)
- Directiva (UE) 2022/2555 (NIS 2), Articolul 6(41), definiția organizației de cercetare
- Directiva (UE) 2022/2555 (NIS 2), Considerentul 39, excluderea instituțiilor de învățământ și extinderea opțională de către statele membre
- Directiva (UE) 2022/2555 (NIS 2), Articolul 2(1), domeniul de aplicare și pragul de mărime prin Recomandarea 2003/361/CE
- BSIG (Gesetz zur Umsetzung der NIS-2-Richtlinie, NIS2UmsuCG), §28, domeniul sectorial inclusiv organizațiile de cercetare
- BSIG §65, banda de sancțiuni pentru entitățile importante (până la 7 milioane de euro sau 1,4 procente din cifra de afaceri anuală globală)
- Ghidul tehnic de implementare ENISA pentru Articolul 21 NIS 2, v1.2 (august 2025)