La exención para microempresas y pequeñas empresas de NIS 2
Conforme al artículo 2, apartado 1, de NIS 2, la directiva solo se aplica a entidades medianas y mayores. Ese es el titular. La realidad es una prueba de tres pasos: la definición de tamaño de la Recomendación 2003/361/CE, la regla de empresas vinculadas y las excepciones del artículo 2, apartado 2, que vuelven a incluir a las microempresas y pequeñas empresas en el ámbito.
La versión breve
NIS 2 fija un umbral mínimo de tamaño. Por defecto, la directiva solo se aplica a las entidades que alcanzan o superan el umbral de mediana empresa conforme a la Recomendación 2003/361/CE: 50 o más empleados, o volumen de negocio anual superior a 10 millones de euros, o total del balance superior a 10 millones de euros. Las microempresas y pequeñas empresas se sitúan por debajo de ese umbral.
Eso suena sencillo. No lo es. La Recomendación tiene sus propias reglas para el cómputo. El artículo 3, apartado 3, de su anexo dice que si una matriz posee más del 50 por ciento de los derechos de voto en una filial, usted tiene que agregar el número de empleados y el volumen de negocio de ambas. Una pequeña filial de un gran grupo no es una pequeña entidad bajo este régimen.
El artículo 2, apartado 2, de NIS 2 nombra entonces categorías que entran con independencia del tamaño. Telecomunicaciones, prestadores cualificados de servicios de confianza, DNS, registros de nombres de dominio de primer nivel, prestadores únicos de un servicio esencial en un Estado miembro, entidades de la administración pública y algunas más. Si encaja en una de ellas, la prueba de tamaño no le salva. La exención es el principio del análisis, no el final.
Artículo 2, apartado 1, de la Directiva NIS 2 (2022/2555)
This Directive applies to public or private entities of a type referred to in Annex I or II which qualify as medium-sized enterprises under Article 2 of the Annex to Recommendation 2003/361/EC, or exceed the ceilings for medium-sized enterprises provided for in paragraph 1 of that Article, and which provide their services or carry out their activities within the Union.
Esta es la regla de ámbito por defecto. Dos filtros en una frase: su sector tiene que estar en el anexo I o II, y usted tiene que ser al menos mediano conforme a la Recomendación 2003/361/CE. Por debajo de mediano, la directiva no se aplica por defecto.
Artículo 2, apartados 2 y 3, del anexo de la Recomendación 2003/361/CE
The category of micro, small and medium-sized enterprises (SMEs) is made up of enterprises which employ fewer than 250 persons and which have an annual turnover not exceeding EUR 50 million, and/or an annual balance sheet total not exceeding EUR 43 million. Within the SME category, a small enterprise is defined as an enterprise which employs fewer than 50 persons and whose annual turnover and/or annual balance sheet total does not exceed EUR 10 million. Within the SME category, a microenterprise is defined as an enterprise which employs fewer than 10 persons and whose annual turnover and/or annual balance sheet total does not exceed EUR 2 million.
La Recomendación le da las cifras. Micro: menos de 10 empleados Y volumen de negocio o balance de hasta 2 millones de euros. Pequeña: menos de 50 empleados Y volumen de negocio o balance de hasta 10 millones de euros. Mediana: desde 50 empleados hasta 249 O volumen de negocio superior a 10 millones de euros. Para mantenerse por debajo de un tramo de tamaño tiene que estar por debajo en número de empleados Y por debajo en volumen de negocio o balance. Cruce cualquiera de los dos y habrá subido.
Artículo 2, apartado 2, de NIS 2 (con independencia del tamaño)
Regardless of their size, this Directive applies to entities of a type referred to in Annex I or II, where: (a) services are provided by providers of public electronic communications networks or of publicly available electronic communications services; (b) services are provided by trust service providers; (c) top-level domain name registries and domain name system service providers; (d) the entity is the sole provider in a Member State of a service which is essential for the maintenance of critical societal or economic activities; (e) a disruption of the service provided by the entity could have a significant impact on public safety, public security or public health; (f) a disruption of the service provided by the entity could induce a significant systemic risk, in particular for sectors where such disruption could have a cross-border impact; (g) the entity is critical because of its specific importance at national or regional level for the particular sector or type of service, or for other interdependent sectors in the Member State; (h) the entity is a public administration entity.
Ocho categorías que ignoran el tamaño. Si encaja en cualquiera de ellas, el umbral de mediana empresa no le salva. Las categorías (d) a (g) son decisiones del Estado miembro: la autoridad nacional decide si usted es un prestador único, sistémicamente importante o crítico a escala nacional o regional. En Alemania, el BSI ejecuta esa determinación.
Aplique la definición de tamaño
Cuente su personal y sume su volumen de negocio anual y su total del balance. Para seguir siendo micro necesita menos de 10 empleados Y volumen de negocio o balance de 2 millones de euros o menos. Para seguir siendo pequeña necesita menos de 50 empleados Y volumen de negocio o balance de 10 millones de euros o menos. Cruce el número de empleados, o cruce el umbral financiero, y subirá un tramo.
Agregue las empresas vinculadas
El artículo 3, apartado 3, del anexo de la Recomendación 2003/361/CE dice que si una empresa matriz posee más del 50 por ciento de sus derechos de voto, usted tiene que agregar su número de empleados y su volumen de negocio a los suyos. Una filial de 30 personas de un grupo de 5000 personas se trata como parte de ese grupo a efectos de la prueba de tamaño. La mayoría de las filiales pierden la exención de pequeña empresa justo aquí.
Compruebe las excepciones del artículo 2, apartado 2
Aunque supere los pasos uno y dos, el artículo 2, apartado 2, de NIS 2 puede aun así incluirle. Telecomunicaciones, servicios cualificados de confianza, DNS, registros de TLD, prestadores únicos de un servicio esencial en su Estado miembro, administración pública. Las autoridades nacionales también pueden designarle como crítico a escala nacional o regional conforme al artículo 2, apartado 2, letra g). Si encaja alguna de estas, la exención de tamaño desaparece.
La exención de tamaño es el principio del análisis, no la conclusión
El artículo 2, apartado 1, solo le hace pasar el primer filtro. Sector del anexo I o II, luego mediano o mayor. Aunque supere el paso de tamaño como exento, todavía tiene que recorrer el artículo 2, apartado 2. Una pequeña empresa puede estar sujeta al ámbito porque es el prestador único de DNS, un prestador cualificado de servicios de confianza, o está designada como crítica a escala nacional. Leer el apartado 1 sin el apartado 2 es el error de delimitación de ámbito más común que vemos.
La regla de empresas vinculadas saca a la mayoría de las filiales de la exención
El artículo 3, apartado 3, del anexo de la Recomendación es implacable. Si su matriz posee más del 50 por ciento de sus derechos de voto, su número de empleados y su volumen de negocio se suman a los suyos. Una pequeña entidad de un gran grupo empresarial casi nunca es pequeña bajo este régimen. Los operadores del Mittelstand con una estructura de holding descubren rutinariamente que la filial que creían exenta se sitúa firmemente dentro de la directiva.
Betroffenheitsprüfung del BSI
El BSI ejecuta una Betroffenheitsprüfung en línea donde usted recorre su sector conforme al anexo I o II, su tamaño conforme a la Recomendación 2003/361/CE y las excepciones del artículo 2, apartado 2. El §28 BSIG transpone el artículo 2 y añade especificidades nacionales: la determinación de prestadores únicos y entidades críticas recae en el BSI. El resultado es una autoclasificación vinculante que tiene que registrar conforme al §33 BSIG.
Material de delimitación de ámbito de ENISA y orientación sobre la Recomendación
ENISA publica material de delimitación de ámbito que recorre los filtros sectorial y de tamaño en el mismo orden que utiliza la directiva. La Comisión Europea también emite una Guía del usuario sobre la definición de pyme que explica la Recomendación en detalle, incluidos ejemplos resueltos de empresas vinculadas y asociadas. Ambos son material de referencia, no ley, pero los reguladores nacionales los citan.
Misma directiva, distinta mecánica de autorregistro
Cada Estado miembro transpone el artículo 2 textualmente porque las reglas de tamaño y de excepción las fija el derecho de la UE. Los Países Bajos operan la Cyberbeveiligingswet y una autoclasificación en línea a través del NCSC. Bélgica utiliza Safeonweb en el CCB. Austria tiene la NISG con registro a través de portal. El fondo es idéntico. Lo que difiere es la autoridad nacional ante la que se registra y el idioma que habla el portal.
Somos una microempresa, así que NIS 2 no se nos aplica.
Solo el paso uno. Todavía tiene que superar el artículo 2, apartado 2. Un prestador de DNS de nueve personas está sujeto al ámbito. Un prestador cualificado de servicios de confianza de seis personas está sujeto al ámbito. Una pequeña entidad designada por el BSI como prestador único de un servicio esencial en Alemania está sujeta al ámbito. El tramo de tamaño es el primer filtro, no la respuesta final.
Tenemos menos de 50 empleados, así que contamos como pequeña empresa.
Lea con atención el artículo 2, apartado 2, del anexo de la Recomendación. Pequeña requiere menos de 50 empleados Y volumen de negocio o balance de 10 millones de euros o menos. Cruce cualquiera de los umbrales y pasa a mediana. Una consultoría de 45 personas con 12 millones de euros de volumen de negocio es mediana conforme a la Recomendación, y eso significa que NIS 2 se aplica si el sector encaja.
Nuestra empresa matriz es grande, pero operamos de forma independiente, así que contamos por nuestra cuenta.
El artículo 3, apartado 3, del anexo de la Recomendación es estructural, no conductual. Si la matriz posee más del 50 por ciento de sus derechos de voto, usted agrega. La independencia del día a día no importa a efectos de la prueba de tamaño. La Guía del usuario sobre la definición de pyme de la Comisión Europea lo detalla con ejemplos resueltos. La mayoría de las filiales pierden la exención de tamaño aquí.
Lo que vemos en la práctica: una llamada de delimitación de ámbito de 30 minutos recorre primero el anexo I o II, luego las cifras de empleados y financieras, luego la cuestión de las empresas vinculadas, luego el artículo 2, apartado 2. El orden importa. Saltar directamente al tamaño, como la mayoría de los consultores plantean la cuestión, oculta un ámbito que usted realmente tiene.
Documente el resultado. Una breve nota de delimitación de ámbito que nombre el sector conforme al anexo I o II, enumere las cifras de empleados y volumen de negocio, aborde las empresas vinculadas y recorra el artículo 2, apartado 2, es el documento que querrá si una autoridad nacional pregunta más tarde por qué se autoclasificó fuera del ámbito. Si está sujeto al ámbito, también necesita registrarse conforme al artículo 27 de NIS 2 y a la disposición nacional pertinente (en Alemania: §33 BSIG).
Nuestra comprobación de aplicabilidad gratuita recorre los tres pasos en el mismo orden que la directiva. Sector conforme al anexo I o II, luego la prueba de tamaño de la Recomendación con agregación de empresas vinculadas, luego las excepciones del artículo 2, apartado 2. Obtiene un resultado de delimitación de ámbito por escrito que puede guardar o compartir con su abogado.
Si el resultado es que está sujeto al ámbito, la plataforma configura su registro de obligaciones frente a las medidas del artículo 21 y los canales nacionales de notificación que debe cumplir. Si está fuera del ámbito conforme al artículo 2, apartado 1, pero quiere un registro defendible de por qué, la página de resultados le da una nota con los tres pasos documentados y enlaces a fuentes con calidad de cita.
- Directiva (UE) 2022/2555 (NIS 2), artículo 2 - eur-lex.europa.eu/eli/dir/2022/2555/oj
- Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas, anexo artículos 2 y 3 - eur-lex.europa.eu/eli/reco/2003/361/oj
- Comisión Europea, Guía del usuario sobre la definición de pyme (Oficina de Publicaciones, última edición)
- Ley del BSI (BSIG), §28 en su versión modificada por la Ley de Aplicación de la NIS2 y de Refuerzo de la Ciberseguridad
- Betroffenheitsprüfung del BSI e Infopakete de NIS 2 - bsi.bund.de/dok/nis-2-infopakete
- Material de delimitación de ámbito de NIS 2 de ENISA y Guía técnica de implementación del CIR (UE) 2024/2690