Anhang I + II Sektor 5 NIS 2

Sind wir Medizinproduktehersteller nach NIS 2?

Hersteller von Produkten auf der EMA-Liste kritischer Medizinprodukte sind wesentliche Einrichtungen nach Anhang I Unterkategorie 5. Alle übrigen Hersteller von Medizinprodukten oder In-vitro-Diagnostika sind wichtige Einrichtungen nach Anhang II Sektor 5, sofern die Schwelle aus Artikel 2(1) erreicht ist. MDR und IVDR laufen parallel. Keine Lex-specialis-Ausnahme.

Simon OrzelSimon Orzel·

Die Kurzfassung

Hersteller von Medizinprodukten stehen gleichzeitig in zwei Anhängen der NIS 2. Anhang I Sektor 5 erfasst sie über den fünften Gedankenstrich als Hersteller von Medizinprodukten, die während einer Notlage im Bereich der öffentlichen Gesundheit als kritisch im Sinne des Artikels 22 der Verordnung (EU) 2022/123 eingestuft sind. Das ist die EMA-Liste kritischer Medizinprodukte. Unternehmen auf dieser Liste sind wesentliche Einrichtungen und stehen im höheren Bußgeldrahmen.

Anhang II Sektor 5 erfasst den Rest der Branche. Die Unterkategorien sind Hersteller von Medizinprodukten im Sinne des Artikels 2 Nummer 1 der Verordnung (EU) 2017/745 (MDR) und Hersteller von In-vitro-Diagnostika im Sinne des Artikels 2 Nummer 2 der Verordnung (EU) 2017/746 (IVDR). Das sind wichtige Einrichtungen. Gleiche Größenschwelle wie alle anderen: 50 Beschäftigte oder 10 Millionen Euro Jahresumsatz oder Jahresbilanzsumme.

MDR und IVDR laufen parallel, sie ersetzen NIS 2 nicht. MDR betrifft das Produkt, NIS 2 betrifft das Unternehmen. Die Cybersicherheitsanforderung aus Anhang I Nummer 17.2 MDR liegt auf Produktebene. Die Pflichten aus Artikel 21 NIS 2 liegen auf Unternehmensebene. Beides gilt. Es gibt keine Lex-specialis-Ausnahme im Stil von DORA für Medizinproduktehersteller.

Die Rechtsgrundlage
Drei Schichten. Anhang I Unterkategorie 5 hebt die Hersteller von Produkten auf der EMA-Liste in die wesentliche Kategorie. Anhang II Sektor 5 hebt alle übrigen Medizinprodukte- und IVD-Hersteller in die wichtige Kategorie. Das deutsche BSIG setzt beides über §28 um.

Anhang I Sektor 5, fünfter Gedankenstrich NIS 2 Richtlinie (2022/2555)

Einrichtungen, die Medizinprodukte herstellen, die während einer Notlage im Bereich der öffentlichen Gesundheit als kritisch im Sinne des Artikels 22 der Verordnung (EU) 2022/123 eingestuft werden.

Wortlaut aus ABl. L 333/145, Anhang I Sektor 5, fünfter Gedankenstrich. Bezugspunkt ist die EMA-Liste kritischer Medizinprodukte nach Verordnung (EU) 2022/123. Steht Ihr Produkt auf dieser Liste, sind Sie wesentliche Einrichtung. Bußgeldrahmen: bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

Anhang II Sektor 5 NIS 2 Richtlinie (2022/2555)

Herstellung von Medizinprodukten und In-vitro-Diagnostika: Einrichtungen, die Medizinprodukte im Sinne von Artikel 2 Nummer 1 der Verordnung (EU) 2017/745 herstellen, mit Ausnahme der in Anhang I Nummer 5 fünfter Gedankenstrich dieser Richtlinie genannten Einrichtungen; Einrichtungen, die In-vitro-Diagnostika im Sinne von Artikel 2 Nummer 2 der Verordnung (EU) 2017/746 herstellen.

Wortlaut aus ABl. L 333/146, Anhang II Sektor 5. Zwei Unterkategorien: MDR-Hersteller (ohne die EMA-Liste, die in Anhang I sitzt) und IVDR-Hersteller. Die NACE-Klassifikation ist C32.5. Wichtige Einrichtung, Bußgeldrahmen bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes.

§28 BSIG und Artikel 2(1) NIS 2 (Größenschwelle)

§28 BSIG setzt den Anwendungsbereich nach Anhang I und Anhang II in deutsches Recht um. Artikel 2(1) NIS 2 und Empfehlung 2003/361/EG legen die Größenschwelle fest: 50 Beschäftigte oder mehr, oder 10 Millionen Euro Jahresumsatz oder Jahresbilanzsumme oder mehr.

Zwei Schwellen, eine reicht. Die Größenregel ist für Anhang I und Anhang II identisch. Was sich zwischen beiden ändert, ist der Bußgeldrahmen und das Aufsichtsregime. Das BfArM bleibt zuständig für MDR und IVDR; das BSI ist zuständig für NIS 2. Zwei Behörden, ein Unternehmen.

Drei Prüfungen, die Ihre Antwort entscheiden
In dieser Reihenfolge. Die ersten beiden klären, ob Sie im Anwendungsbereich sind. Die dritte klärt, in welchem Anhang Sie sitzen, und damit den Bußgeldrahmen.
Prüfung 1

EMA-Liste kritischer Medizinprodukte

Steht Ihr Produkt auf der EMA-Liste kritischer Medizinprodukte nach Artikel 22 der Verordnung (EU) 2022/123? Diese Liste benennt Produkte, die während einer ausgerufenen Notlage im Bereich der öffentlichen Gesundheit als kritisch gelten. Beatmungsgeräte, Sauerstoffkonzentratoren, bestimmte Diagnostika, bestimmte Infusionsgeräte. Wenn ja, gilt Anhang I Unterkategorie 5 und Sie sind wesentliche Einrichtung.

Prüfung 2

Hersteller von Medizinprodukten oder IVD

Sind Sie Hersteller im Sinne des Artikels 2 Nummer 1 MDR oder des Artikels 2 Nummer 2 IVDR? Das erfasst die gesamte Branche: jede Partei, die ein Medizinprodukt oder ein In-vitro-Diagnostikum entwickelt, herstellt, aufbereitet oder unter eigenem Namen in Verkehr bringt. NACE-Klassifikation C32.5. Wenn ja und Prüfung 1 nicht bestanden, gilt Anhang II Sektor 5 und Sie sind wichtige Einrichtung.

Prüfung 3

Größenprüfung (Art. 2(1))

Haben Sie 50 Beschäftigte oder mehr, oder 10 Millionen Euro Jahresumsatz oder Jahresbilanzsumme oder mehr? Eine der beiden Schwellen reicht. Darunter sind Sie draußen, mit den engen Ausnahmen aus Art. 2(2) und (3) (Anwendung unabhängig von der Größe für Alleinanbieter, öffentliche Verwaltung, qualifizierte Vertrauensdiensteanbieter und einige weitere).

Zwei Regeln, an denen die meisten scheitern
Zwei strukturelle Punkte, die beim ersten Lesen übersehen werden. Beide tauchen in fast jedem Anwendbarkeitsgespräch mit Regulatory Affairs in Medizintechnikunternehmen auf.

Anhang I Unterkategorie 5 und Anhang II Sektor 5 schließen sich aus

Anhang II Sektor 5 lesen: dort werden MDR-Hersteller erfasst, mit Ausnahme der bereits in Anhang I Nummer 5 fünfter Gedankenstrich genannten Hersteller. Ein Unternehmen ist entweder wesentlich (auf der EMA-Liste) oder wichtig (alle übrigen). Gleicher Sektor, zwei Anhänge, unterschiedlicher Bußgeldrahmen. Sie sitzen nicht in beiden gleichzeitig.

MDR und IVDR betreffen das Produkt, NIS 2 das Unternehmen

Anhang I Nummer 17.2 MDR fordert bereits IT-Sicherheit auf Produktebene: das Produkt muss so konstruiert und hergestellt sein, dass es gegen vernünftigerweise vorhersehbare Cybersicherheitsrisiken eine wiederholbare, zuverlässige und leistungsfähige Funktion erbringt. Artikel 21 NIS 2 sitzt eine Ebene höher: Governance, Risikomanagement, Lieferkette, Vorfallbehandlung auf Unternehmensebene. Beides gilt. Keines absorbiert das andere.

Wie nationale Behörden das wirklich umsetzen
Die EU setzt eine Anwendungsregel und einen Pflichtenkatalog. Medizinproduktehersteller tragen darauf zwei Behörden: eine Benannte Stelle und die nationale Medizinprodukte-Behörde für MDR und IVDR, dazu die nationale NIS 2 Cybersicherheitsbehörde.
Deutschland

BSI / §28 BSIG (NIS 2 Cybersicherheitsbehörde)

Das BSI ist die Cybersicherheitsbehörde nach NIS 2. §28 BSIG operationalisiert den Anwendungsbereich aus Anhang I und Anhang II. §30 BSIG legt die Risikomanagementmaßnahmen fest, §32 BSIG die Meldepflichten. Das BSI reguliert nicht das Produkt, sondern die Cybersicherheitslage des Unternehmens.

Deutschland

BfArM / MPDG (Medizinprodukte und IVD)

Das BfArM ist die zuständige deutsche Behörde für MDR und IVDR nach dem Medizinprodukte-Durchführungsgesetz (MPDG). Es beaufsichtigt das Produkt selbst: Konformitätsbewertung, Marktüberwachung, Vigilanz. Die MDR-Cybersicherheitspflicht aus Anhang I Nummer 17.2 sitzt hier, getrennt von den NIS 2 Pflichten beim BSI.

EU-weit

ENISA NIS 2 Transpositionsübersicht

ENISA veröffentlicht eine NIS 2 Transpositionsseite mit den nationalen Gesetzen und zuständigen Behörden pro Mitgliedstaat. Für Medizinproduktehersteller, die EU-weit vertreiben, ist das die sauberste Einzelquelle für die Cybersicherheitsbehörde in jedem Land. Die Landschaft der Benannten Stellen nach MDR ist separat und wird über die EUDAMED-Datenbank geführt.

Drei Lesefehler bei Herstellern
Drei Lesarten, die in fast jedem Anwendbarkeitsgespräch mit Regulatory Affairs oder Quality Management in Medizintechnikunternehmen auftauchen. Alle drei führen zu falschen Scoping-Entscheidungen.

  • Anhang I Nummer 17.2 MDR deckt Cybersicherheit bereits ab, NIS 2 gilt also nicht zusätzlich.

    Anhang I Nummer 17.2 MDR betrifft Produkt-Cybersicherheit für das Produkt. Artikel 21 NIS 2 betrifft Unternehmens-Cybersicherheit für den Hersteller: Governance, Risikomanagement, Lieferkette, Vorfallbehandlung, Geschäftsfortführung. Zwei Ebenen. NIS 2 kennt keine Lex-specialis-Ausnahme für Medizinproduktehersteller. Beides gilt vollumfänglich.

  • Wir stellen nur Klasse-I-Produkte her, also sind wir unter der NIS 2 Schwelle.

    Die MDR-Risikoklasse ist nicht der NIS 2 Maßstab. Der NIS 2 Maßstab ist Anhang I oder Anhang II Sektor plus Größenschwelle aus Artikel 2(1). Ein Hersteller von Klasse-I-Verbandmaterial mit 80 Beschäftigten ist in Anhang II Sektor 5 als wichtige Einrichtung. Die klinische Risikoklasse des Produkts spielt für den NIS 2 Anwendungsbereich keine Rolle.

  • Wir machen Software als Medizinprodukt, das ist reine MDR-Sache.

    SaMD-Hersteller sind Hersteller von Medizinprodukten im Sinne des Artikels 2 Nummer 1 MDR. Anhang II Sektor 5 erfasst sie. Wer die Größenschwelle erreicht, fällt unter NIS 2. Software ändert den Anhang nicht; das Unternehmen stellt weiterhin ein Medizinprodukt nach MDR her. Dieselbe Unterkategorie greift.

Wie das in der Praxis bei Herstellern aussieht

Typischer Fall: Hersteller orthopädischer Implantate mit 90 Beschäftigten und 25 Millionen Euro Jahresumsatz. Prüfung 1 nicht bestanden (nicht auf der EMA-Liste). Prüfung 2 bestanden (MDR-Hersteller nach Artikel 2 Nummer 1). Prüfung 3 bestanden (deutlich über der Schwelle für mittlere Unternehmen). Ergebnis: Anhang II Sektor 5, wichtige Einrichtung. §30 BSIG Maßnahmen gelten. §32 BSIG Meldepflichten gelten. Die MDR-Konformitätsbewertung bei der Benannten Stelle läuft unverändert weiter.

Was Praktiker tatsächlich tun: NIS 2 Akte und MDR-Technische-Dokumentation getrennt führen. Zwei Behörden, zwei Vorgänge. Die Nachweise zu Anhang I Nummer 17.2 MDR (Threat Modeling, sichere Entwicklungsphase, Post-Market-Security) speisen die Anforderungen aus Artikel 21 Absatz 2 Buchstabe e NIS 2 (Lieferkette), ersetzen sie aber nicht. Die Anwendbarkeitsprüfung wird vom Leitungsorgan unterzeichnet und beide Akten laufen in derselben Prüfspur.

Wie wir das in der Plattform abbilden

Die Anwendbarkeitsprüfung läuft alle drei Tests in der richtigen Reihenfolge: EMA-Liste kritischer Medizinprodukte nach Anhang I Unterkategorie 5, generischer MDR- oder IVDR-Hersteller nach Anhang II Sektor 5, Größenschwelle nach Artikel 2(1). Das Ergebnis benennt die Unterkategorie, den Anhang, den Bußgeldrahmen und die zuständige Behörde. Sie geben es Ihrem Auditor.

Das Ergebnis ist kein Ja/Nein. Es ist eine Begründung: welcher Anhang, welche Unterkategorie, welche Größenschwelle erreicht ist, und wo die MDR- und IVDR-Pflichten daneben liegen. Vom Leitungsorgan unterzeichnet, versionsgebunden an den EU-Wortlaut und die §28 BSIG Umsetzung, die wir zitieren. Lässt sich sauber neu laufen, wenn die EMA-Liste kritischer Medizinprodukte in einer künftigen Notlage aktualisiert wird.

Quellen
  • Richtlinie (EU) 2022/2555 (NIS 2), Anhang I Sektor 5 fünfter Gedankenstrich und Anhang II Sektor 5 — eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Verordnung (EU) 2022/123 über eine verstärkte Rolle der EMA, Artikel 22 (Liste kritischer Arzneimittel und Medizinprodukte) — eur-lex.europa.eu/eli/reg/2022/123/oj
  • Verordnung (EU) 2017/745 (MDR), Artikel 2 Nummer 1 (Definition Hersteller) und Anhang I Nummer 17.2 (Cybersicherheit) — eur-lex.europa.eu/eli/reg/2017/745/oj
  • Verordnung (EU) 2017/746 (IVDR), Artikel 2 Nummer 2 (Definition Hersteller) — eur-lex.europa.eu/eli/reg/2017/746/oj
  • Empfehlung 2003/361/EG, Anhang Artikel 2 (Definition mittleres Unternehmen)
  • BSI-Gesetz (BSIG), §28 in der Fassung des NIS2-Umsetzungsgesetzes
  • Medizinprodukte-Durchführungsgesetz (MPDG) — gesetze-im-internet.de/mpdg
  • ENISA NIS 2 Transpositionsübersicht — enisa.europa.eu/topics/nis-directive
Anwendbarkeitsprüfung für Ihr Medizintechnikunternehmen starten
EMA-Listen-Prüfung, MDR- oder IVDR-Herstellerprüfung und Größenprüfung nach Artikel 2(1) in einem Durchlauf. Ergebnis ist eine unterzeichnete Anwendbarkeitsprüfung, die Sie neben der MDR-Technischen-Dokumentation ablegen können. Kostenlos, Open Source, kein Lock-in.
Anwendbarkeitsprüfung starten