Výjimka pro mikropodniky a malé podniky v NIS 2
Podle čl. 2 odst. 1 NIS 2 se směrnice vztahuje pouze na střední a větší subjekty. To je titulek. Realitou je třístupňový test: definice velikosti z doporučení 2003/361/ES, pravidlo propojených podniků a výjimky podle čl. 2 odst. 2, které mikropodniky a malé podniky vracejí do působnosti.
Stručná verze
NIS 2 stanoví velikostní dno. Ve výchozím nastavení se směrnice vztahuje pouze na subjekty, které dosahují nebo překračují práh středního podniku podle doporučení 2003/361/ES: 50 nebo více zaměstnanců, nebo roční obrat nad 10 milionů eur, nebo bilanční suma nad 10 milionů eur. Mikropodniky a malé podniky sedí pod tímto dnem.
Zní to jednoduše. Není. Doporučení má vlastní pravidla pro počítání. Čl. 3 odst. 3 jeho přílohy říká, že pokud mateřský podnik drží více než 50 procent hlasovacích práv v dceřiné společnosti, musíte sečíst jejich počet zaměstnanců a obrat. Malá dceřiná společnost velké skupiny není podle tohoto režimu malým subjektem.
Čl. 2 odst. 2 NIS 2 pak jmenuje kategorie, které spadají dovnitř bez ohledu na velikost. Telekomunikace, kvalifikovaní poskytovatelé služeb vytvářejících důvěru, DNS, registry názvů TLD, jediní poskytovatelé základní služby v členském státě, subjekty veřejné správy a několik dalších. Pokud do některé z nich zapadáte, velikostní test vás nezachrání. Výjimka je začátkem analýzy, ne jejím koncem.
Čl. 2 odst. 1 směrnice NIS 2 (2022/2555)
This Directive applies to public or private entities of a type referred to in Annex I or II which qualify as medium-sized enterprises under Article 2 of the Annex to Recommendation 2003/361/EC, or exceed the ceilings for medium-sized enterprises provided for in paragraph 1 of that Article, and which provide their services or carry out their activities within the Union.
Toto je výchozí pravidlo působnosti. Dva filtry v jedné větě: váš sektor musí být v příloze I nebo II a musíte být alespoň střední podnik podle doporučení 2003/361/ES. Pod úrovní středního podniku se směrnice ve výchozím nastavení neuplatní.
Čl. 2 odst. 2 a 3 přílohy doporučení 2003/361/ES
The category of micro, small and medium-sized enterprises (SMEs) is made up of enterprises which employ fewer than 250 persons and which have an annual turnover not exceeding EUR 50 million, and/or an annual balance sheet total not exceeding EUR 43 million. Within the SME category, a small enterprise is defined as an enterprise which employs fewer than 50 persons and whose annual turnover and/or annual balance sheet total does not exceed EUR 10 million. Within the SME category, a microenterprise is defined as an enterprise which employs fewer than 10 persons and whose annual turnover and/or annual balance sheet total does not exceed EUR 2 million.
Doporučení vám dává čísla. Mikro: méně než 10 zaměstnanců A obrat nebo bilanční suma do 2 milionů eur. Malý: méně než 50 zaměstnanců A obrat nebo bilanční suma do 10 milionů eur. Střední: od 50 zaměstnanců do 249, NEBO obrat nad 10 milionů eur. Abyste zůstali pod velikostním pásmem, musíte být pod ním u zaměstnanců A pod ním u obratu nebo bilanční sumy. Překročte kterékoli a posunuli jste se nahoru.
Čl. 2 odst. 2 NIS 2 (bez ohledu na velikost)
Regardless of their size, this Directive applies to entities of a type referred to in Annex I or II, where: (a) services are provided by providers of public electronic communications networks or of publicly available electronic communications services; (b) services are provided by trust service providers; (c) top-level domain name registries and domain name system service providers; (d) the entity is the sole provider in a Member State of a service which is essential for the maintenance of critical societal or economic activities; (e) a disruption of the service provided by the entity could have a significant impact on public safety, public security or public health; (f) a disruption of the service provided by the entity could induce a significant systemic risk, in particular for sectors where such disruption could have a cross-border impact; (g) the entity is critical because of its specific importance at national or regional level for the particular sector or type of service, or for other interdependent sectors in the Member State; (h) the entity is a public administration entity.
Osm kategorií, které velikost ignorují. Pokud spadáte do kterékoli z nich, práh středního podniku vás nezachrání. Kategorie (d) až (g) jsou na rozhodnutí členského státu: vnitrostátní orgán rozhoduje, zda jste jediným poskytovatelem, systémově významní, nebo kritičtí na národní či regionální úrovni. V Německu toto určení provádí BSI.
Aplikujte definici velikosti
Spočítejte zaměstnance a sečtěte roční obrat a bilanční sumu. Abyste zůstali mikro, potřebujete méně než 10 zaměstnanců A obrat nebo bilanční sumu 2 miliony eur nebo méně. Abyste zůstali malí, potřebujete méně než 50 zaměstnanců A obrat nebo bilanční sumu 10 milionů eur nebo méně. Překročte počet zaměstnanců, nebo překročte finanční práh, a posunete se o pásmo výš.
Sečtěte propojené podniky
Čl. 3 odst. 3 přílohy doporučení 2003/361/ES říká, že pokud mateřský podnik drží více než 50 procent vašich hlasovacích práv, musíte sečíst jejich počet zaměstnanců a obrat s vaším. Třicetičlenná dceřiná společnost pětitisícové skupiny se pro velikostní test posuzuje jako součást této skupiny. Většina dceřiných společností ztrácí výjimku pro malé podniky právě zde.
Zkontrolujte výjimky podle čl. 2 odst. 2
I když projdete kroky jedna a dva, čl. 2 odst. 2 NIS 2 vás přesto může vtáhnout dovnitř. Telekomunikace, kvalifikované služby vytvářející důvěru, DNS, registry TLD, jediní poskytovatelé základní služby ve vašem členském státě, veřejná správa. Vnitrostátní orgány vás také mohou označit za kritické na národní nebo regionální úrovni podle čl. 2 odst. 2 písm. g). Pokud cokoli z toho sedí, výjimka pro velikost je pryč.
Výjimka pro velikost je začátkem analýzy, ne závěrem
Čl. 2 odst. 1 vás provede pouze filtrem jedna. Sektor přílohy I nebo II, pak střední podnik nebo větší. I když velikostní krok projdete jako vyňatí, musíte stále projít čl. 2 odst. 2. Malá společnost může být v působnosti, protože je jediným poskytovatelem DNS, kvalifikovaným poskytovatelem služeb vytvářejících důvěru, nebo je označena za kritickou na národní úrovni. Čtení odst. 1 bez odst. 2 je nejčastější chybou v určování působnosti, kterou vídáme.
Pravidlo propojených podniků zvedá většinu dceřiných společností z výjimky
Čl. 3 odst. 3 přílohy doporučení je neúprosný. Pokud váš mateřský podnik vlastní více než 50 procent vašich hlasovacích práv, jejich počet zaměstnanců a obrat se přičtou k vašim. Malý subjekt ve velké korporátní skupině je podle tohoto režimu téměř nikdy malý. Provozovatelé z řad Mittelstandu s holdingovou strukturou pravidelně zjišťují, že dceřiná společnost, kterou považovali za vyňatou, sedí pevně uvnitř směrnice.
BSI Betroffenheitsprüfung
BSI provozuje online Betroffenheitsprüfung, kde projdete svým sektorem podle přílohy I nebo II, svou velikostí podle doporučení 2003/361/ES a výjimkami podle čl. 2 odst. 2. §28 BSIG provádí článek 2 a přidává vnitrostátní specifika: určení jediných poskytovatelů a kritických subjektů sedí u BSI. Výsledkem je závazná samoklasifikace, kterou musíte zaregistrovat podle §33 BSIG.
Vodítka ENISA k působnosti a doporučení
ENISA vydává materiály k působnosti, které procházejí sektorové a velikostní filtry ve stejném pořadí, jaké používá směrnice. Evropská komise rovněž vydává Uživatelskou příručku k definici malých a středních podniků, která doporučení podrobně vysvětluje, včetně rozpracovaných příkladů pro propojené a partnerské podniky. Oba jsou referenčním materiálem, ne zákonem, ale vnitrostátní regulátoři je citují.
Stejná směrnice, jiná mechanika samoregistrace
Každý členský stát provádí článek 2 doslovně, protože pravidla velikosti a výjimek stanoví právo EU. Nizozemsko provozuje Cyberbeveiligingswet a online samoklasifikaci přes NCSC. Belgie používá Safeonweb při CCB. Rakousko má NISG s registrací založenou na portálu. Podstata je totožná. Liší se, u kterého vnitrostátního orgánu se registrujete a jakým jazykem portál mluví.
Jsme mikropodnik, takže se na nás NIS 2 nevztahuje.
Pouze krok jedna. Stále musíte projít čl. 2 odst. 2. Devítičlenný poskytovatel DNS je v působnosti. Šestičlenný kvalifikovaný poskytovatel služeb vytvářejících důvěru je v působnosti. Malý subjekt označený BSI za jediného poskytovatele základní služby v Německu je v působnosti. Velikostní pásmo je prvním filtrem, ne konečnou odpovědí.
Máme pod 50 zaměstnanců, takže se počítáme jako malí.
Čtěte čl. 2 odst. 2 přílohy doporučení pozorně. Malý vyžaduje méně než 50 zaměstnanců A obrat nebo bilanční sumu 10 milionů eur nebo méně. Překročte kterýkoli práh a posunete se do středního. Pětačtyřicetičlenná poradenská firma s 12 miliony eur obratu je podle doporučení středním podnikem, a to znamená, že se NIS 2 uplatní, pokud sektor sedí.
Naše mateřská společnost je velká, ale my fungujeme samostatně, takže se počítáme sami za sebe.
Čl. 3 odst. 3 přílohy doporučení je strukturální, ne behaviorální. Pokud mateřský podnik drží více než 50 procent vašich hlasovacích práv, sčítáte. Každodenní samostatnost pro velikostní test nehraje roli. Uživatelská příručka Evropské komise k definici malých a středních podniků to rozepisuje s rozpracovanými příklady. Většina dceřiných společností ztrácí výjimku pro velikost zde.
Co vídáme v praxi: třicetiminutový hovor o působnosti prochází nejprve přílohou I nebo II, pak počty zaměstnanců a finanční čísla, pak otázku propojených podniků, pak čl. 2 odst. 2. Pořadí je důležité. Skok rovnou k velikosti, jak otázku většina konzultantů prezentuje, skrývá působnost, kterou skutečně máte.
Výsledek zdokumentujte. Krátké memo o působnosti, které jmenuje sektor podle přílohy I nebo II, uvádí počty zaměstnanců a obratu, řeší propojené podniky a prochází čl. 2 odst. 2, je artefaktem, který chcete mít, pokud se vnitrostátní orgán později zeptá, proč jste se samoklasifikovali jako mimo působnost. Pokud jste v působnosti, musíte se také registrovat podle článku 27 NIS 2 a příslušného vnitrostátního ustanovení (v Německu: §33 BSIG).
Naše bezplatná kontrola použitelnosti prochází tři kroky ve stejném pořadí jako směrnice. Sektor podle přílohy I nebo II, pak velikostní test podle doporučení s agregací propojených podniků, pak výjimky podle čl. 2 odst. 2. Dostanete písemný výsledek působnosti, který můžete uložit nebo sdílet se svým právníkem.
Pokud je výsledkem působnost, platforma vám nastaví registr povinností vůči opatřením podle článku 21 a vnitrostátní kanály hlášení, které musíte zasáhnout. Pokud jste mimo působnost podle čl. 2 odst. 1, ale chcete obhajitelný záznam o tom proč, výsledková stránka vám dá memo se všemi třemi kroky zdokumentovanými a odkazy na zdroje v citační kvalitě.
- Směrnice (EU) 2022/2555 (NIS 2), článek 2 - eur-lex.europa.eu/eli/dir/2022/2555/oj
- Doporučení Komise 2003/361/ES ze dne 6. května 2003 o definici mikropodniků, malých a středních podniků, příloha články 2 a 3 - eur-lex.europa.eu/eli/reco/2003/361/oj
- Evropská komise, Uživatelská příručka k definici malých a středních podniků (Úřad pro publikace, nejnovější vydání)
- Zákon o BSI (BSIG), §28 ve znění zákona o provedení NIS2 a posílení kyberbezpečnosti
- BSI Betroffenheitsprüfung a informační balíčky k NIS 2 - bsi.bund.de/dok/nis-2-infopakete
- Materiály ENISA k působnosti NIS 2 a technická implementační vodítka k CIR (EU) 2024/2690