NIS 2 Art. 2 + Rec. 2003/361/EC

Filial y sociedad holding bajo NIS 2

El ámbito de aplicación se juzga por entidad jurídica conforme al artículo 2 NIS 2. Pero la prueba de tamaño, a través de la Recomendación 2003/361/CE de la Comisión, suma todo el grupo.

Simon OrzelSimon Orzel·

La versión corta

NIS 2 examina cada entidad jurídica por sí sola. Su filial no queda incluida solo porque lo esté la matriz. La Directiva se aplica a las entidades que por sí mismas realizan alguna actividad enumerada en el anexo I o II y que por sí mismas superan el umbral de tamaño.

La trampa está en la prueba de tamaño. El artículo 6(2) NIS 2 remite a la definición de pyme de la Recomendación 2003/361/CE de la Comisión. Esa recomendación suma el 100 por ciento de la plantilla y de los datos financieros de cada empresa asociada controlada mayoritariamente en una sola cifra.

Por tanto, la pregunta correcta no es «¿está nuestra matriz dentro del ámbito de aplicación?». Tiene dos partes. Primera: ¿realiza esta entidad concreta por sí misma alguna actividad del anexo I o II? Segunda: una vez sumadas las cifras del resto del grupo, ¿superamos el umbral de mediana empresa?

La fuente jurídica
Tres capas apiladas: la regla de ámbito de aplicación de la Directiva, la definición de pyme a la que remite y un ejemplo de transposición alemana.

Artículo 2 NIS 2 (ámbito de aplicación)

La presente Directiva se aplica a las entidades públicas o privadas de un tipo de los mencionados en el anexo I o II que tengan la consideración de medianas empresas en virtud del artículo 2 del anexo de la Recomendación 2003/361/CE, o que superen los límites máximos para las medianas empresas previstos en el apartado 1 de dicho artículo, y que presten sus servicios o lleven a cabo sus actividades dentro de la Unión.

El ámbito de aplicación recae sobre la entidad que por sí misma realiza la actividad del anexo I o II. El artículo 2(2) y (3) añaden excepciones de «con independencia del tamaño» (DNS, registros de nombres de dominio de primer nivel, prestadores cualificados de servicios de confianza, proveedores de redes públicas de comunicaciones electrónicas, proveedores únicos de servicios esenciales y otros) que incluyen entidades concretas incluso por debajo del límite de pyme.

Recomendación 2003/361/CE de la Comisión, anexo art. 3 (empresas vinculadas)

Son empresas vinculadas las empresas que mantengan entre sí alguna de las siguientes relaciones: a) una empresa posee la mayoría de los derechos de voto de los accionistas o socios de otra empresa; b) una empresa tiene derecho a nombrar o destituir a la mayoría de los miembros del órgano de administración, dirección o control de otra empresa. A los datos de la empresa de que se trate se les añade el 100 por ciento de los datos de cualquier empresa vinculada directa o indirectamente a ella, salvo que esos datos ya estuvieran incluidos por consolidación en las cuentas.

Esta es la regla que importa el artículo 6(2) NIS 2. Una filial de 30 personas que es propiedad mayoritaria de una matriz de 400 personas se cuenta como parte de un grupo de 430 personas a efectos de la prueba de tamaño. El considerando 16 permite a los Estados miembros tener en cuenta la independencia operativa, pero el punto de partida es: sumar las cifras.

§28 BSIG (Alemania, ejemplo de transposición)

Besonders wichtige Einrichtungen und wichtige Einrichtungen sind Einrichtungen, die einer in Anlage 1 oder Anlage 2 aufgeführten Einrichtungsart angehören und die die in §28 BSIG genannten Schwellenwerte erreichen.

El BSIG mantiene la lógica por entidad. El BSI interpreta la prueba de tamaño a través de la Recomendación 2003/361/CE y, por tanto, suma las cifras de las empresas vinculadas. Otros Estados miembros siguen la misma Recomendación. La redacción de la transposición difiere. El mecanismo no.

Tres pasos para comprobar una filial
Siga estos pasos en orden, una entidad jurídica cada vez. No evalúe el grupo en su conjunto.
Paso 1

¿Está esta entidad en el anexo I o II?

Pregúntese si esta filial concreta realiza por sí misma alguna actividad enumerada en el anexo I (alta criticidad) o en el anexo II (otros sectores críticos) de NIS 2. Un holding puro que solo posee participaciones y contabiliza dividendos por lo general no lo hace. Una filial operativa que gestiona una depuradora, un hospital, un MSP o una línea de fabricación por lo general sí.

Paso 2

¿Es la propia entidad suficientemente grande?

Tome la plantilla y los datos financieros propios de la entidad. Si ya alcanza por sí sola el umbral de mediana empresa (50 o más empleados, o un volumen de negocio superior a 10 millones de euros con un balance superior a 10 millones de euros), la prueba de tamaño está hecha. No necesita sumar el grupo.

Paso 3

Sume las cifras del grupo

Si la entidad está por debajo del umbral por sí sola, sume el 100 por ciento de la plantilla y de los datos financieros de cada empresa asociada controlada mayoritariamente y de la matriz controladora conforme al anexo art. 3 de la 2003/361/CE. Si la cifra combinada supera el umbral, la entidad cumple la prueba de tamaño a través de su grupo. El considerando 16 le permite alegar independencia ante el regulador. Pero es una excepción que tiene que demostrar, no un plan en el que pueda confiar.

Dos reglas que responden a cualquier pregunta sobre estructura de grupo
Lea estas dos reglas juntas. El resto de la página es detalle.

El ámbito de aplicación es por entidad jurídica (artículo 2 NIS 2)

La Directiva no tiene un concepto de «grupo dentro del ámbito de aplicación». Se aplica a cada entidad que por sí misma realiza una actividad cubierta. El estatus de la matriz, del holding o de las filiales hermanas no se transfiere a su entidad. Su entidad está dentro del ámbito de aplicación solo si por sí misma cumple los requisitos.

El tamaño se suma conforme a la 2003/361/CE

La prueba de tamaño utiliza la Recomendación sobre pymes. Cuenta los datos de las empresas vinculadas al 100 por ciento. Una filial pequeña dentro de un grupo grande normalmente contará como mediana o gran empresa a efectos de la prueba de tamaño, aunque su propia plantilla sea diminuta. Este es el mecanismo que incluye en el ámbito de aplicación a muchas filiales pequeñas.

Cómo lo tratan los reguladores nacionales
Misma Directiva, misma Recomendación sobre pymes, redacción nacional ligeramente distinta. El mecanismo es idéntico.
Alemania

§28 BSIG y orientación del BSI sobre el ámbito de aplicación

Alemania transpone a través del §28 BSIG. La orientación publicada por el BSI interpreta la prueba de tamaño a través de la Recomendación 2003/361/CE y suma las cifras de las empresas vinculadas. Las filiales se registran y notifican por sí mismas si por sí mismas superan la prueba. El holding no se registra en su nombre.

UE

ENISA y la Recomendación sobre pymes

Los materiales de ENISA sobre el ámbito de aplicación siguen la Directiva: el ámbito es por entidad, el tamaño se agrega conforme a la 2003/361/CE. No hay atajo de «registro de grupo». El argumento de independencia del considerando 16 existe. Pero es una excepción que tiene que demostrar, no una vía de planificación.

Otros Estados miembros

Ejemplos de transposición de NL, AT, FR

La Cyberbeveiligingswet neerlandesa, la NISG-Neufassung austriaca y la Ordonnance n. 2024-1233 francesa mantienen todas el ámbito por entidad e importan la Recomendación sobre pymes. La redacción difiere. La regla de agregación de empresas vinculadas no.

Tres trampas que vemos constantemente
Surgen en casi todas las consultas de aplicabilidad. Las tres son erróneas.

  • Nuestra matriz está dentro del ámbito de aplicación, así que nosotros también.

    No. El ámbito de aplicación es por entidad jurídica conforme al artículo 2 NIS 2. La clasificación de la matriz no vincula a la filial. Su filial está dentro del ámbito de aplicación solo si por sí misma realiza una actividad del anexo I o II y por sí misma alcanza el umbral de tamaño (posiblemente mediante la agregación de empresas vinculadas).

  • Podemos quedar fuera dividiéndonos en filiales más pequeñas.

    No. La Recomendación sobre pymes suma el 100 por ciento de las cifras de las empresas vinculadas. Dividir un negocio de 200 personas en cuatro GmbH de 50 personas que siguen siendo propiedad mayoritaria de la misma matriz no rompe la prueba de tamaño. La escisión societaria es invisible para el cálculo de la 2003/361/CE.

  • El holding se registra y notifica por todo el grupo.

    No. Cada entidad jurídica dentro del ámbito de aplicación se registra por sí misma ante la autoridad competente (en Alemania a través de portal.bsi.bund.de) y presenta sus propias notificaciones de incidentes conforme al artículo 23 NIS 2. El holding puede coordinar operativamente. No puede sustituir su registro por las obligaciones de las filiales.

Cómo se desarrolla esto en grupos reales del Mittelstand

En los grupos que vemos, la cuestión casi siempre acaba en el paso 3. La filial operativa realiza alguna actividad del anexo I o II. Por sí sola es pequeña. Dentro del grupo se sitúa por encima de 50 empleados o por encima de 10 millones de euros de volumen de negocio. Conforme a la 2003/361/CE, eso la incluye.

La palanca es el argumento de independencia del considerando 16. Si una filial es genuinamente independiente en cómo se gestiona (órgano de dirección propio, contratos con clientes propios, decisiones propias, sin una asignación de costes de grupo que determine su modelo de negocio), la autoridad nacional puede tratarla como autónoma a efectos de la prueba de tamaño. Ponga la independencia por escrito antes de confiar en ella. No la dé por supuesta.

Cómo gestionamos las estructuras de grupo en la plataforma

La comprobación de aplicabilidad recorre la pertenencia a los sectores del anexo I y II para la entidad concreta y, a continuación, la prueba de tamaño con la agregación de empresas vinculadas incorporada. El resultado es una evaluación de aplicabilidad por escrito con el sector, las cifras de tamaño, los datos de las empresas vinculadas y la clasificación final (esencial, importante o fuera del ámbito de aplicación).

Para grupos con varias filiales operativas, cada entidad ejecuta su propia comprobación y, si está dentro del ámbito de aplicación, su propio registro de obligaciones. La plataforma admite un espacio de trabajo independiente por entidad jurídica, de modo que los registros, las notificaciones de incidentes y las aprobaciones de la dirección quedan asociados a la entidad registrada correcta.

Fuentes
  • Directiva NIS 2 (UE) 2022/2555, art. 2 (ámbito de aplicación), art. 6 (definiciones), considerando 16 (empresas vinculadas e independencia) — EUR-Lex, eli/dir/2022/2555/oj
  • Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, anexo art. 2 (definición de pyme) y anexo art. 3 (empresas vinculadas, agregación al 100 por ciento) — EUR-Lex, CELEX 32003H0361
  • BSIG (Alemania), §28 (clasificación de entidades esenciales e importantes) — gesetze-im-internet.de
  • Preguntas frecuentes del BSI sobre el ámbito de aplicación para entidades NIS 2 (específicas por sector) — bsi.bund.de, NIS-2-FAQ-sektorspezifisch
  • Materiales de referencia de ENISA sobre el ámbito de aplicación de NIS 2 y la Recomendación sobre pymes — enisa.europa.eu
Ejecute la comprobación de aplicabilidad en cada entidad
Un espacio de trabajo por entidad jurídica. Comprobación de sector, comprobación de tamaño, agregación de empresas vinculadas, resultado por escrito. Gratuito, open source, sin lock-in.
Inicie la comprobación de aplicabilidad