L'exemption des micro et petites entreprises de NIS 2
Au titre de l'article 2, paragraphe 1, de NIS 2, la directive ne s'applique qu'aux entités moyennes et plus grandes. C'est le titre. La réalité est un test en trois étapes : la définition de la taille issue de la recommandation 2003/361/CE, la règle des entreprises liées, et les dérogations de l'article 2, paragraphe 2, qui ramènent les micro et petites entités dans le champ d'application.
En bref
NIS 2 fixe un plancher de taille. Par défaut, la directive ne s'applique qu'aux entités qui atteignent ou dépassent le seuil de l'entreprise moyenne au titre de la recommandation 2003/361/CE : 50 salariés ou plus, ou un chiffre d'affaires annuel supérieur à 10 millions d'euros, ou un total de bilan supérieur à 10 millions d'euros. Les micro et petites entités se situent en dessous de ce plancher.
Cela paraît simple. Ce ne l'est pas. La recommandation a ses propres règles de comptage. L'article 3, paragraphe 3, de son annexe dispose que si une entreprise mère détient plus de 50 pour cent des droits de vote dans une filiale, vous devez agréger leur effectif et leur chiffre d'affaires. Une petite filiale d'un grand groupe n'est pas une petite entité au sens de ce régime.
L'article 2, paragraphe 2, de NIS 2 nomme ensuite des catégories incluses indépendamment de la taille. Télécommunications, prestataires de services de confiance qualifiés, DNS, registres de noms de TLD, fournisseurs uniques d'un service essentiel dans un État membre, entités d'administration publique, et quelques autres. Si vous correspondez à l'une de celles-ci, le test de taille ne vous sauve pas. L'exemption est le début de l'analyse, non la fin.
Article 2, paragraphe 1, directive NIS 2 (2022/2555)
This Directive applies to public or private entities of a type referred to in Annex I or II which qualify as medium-sized enterprises under Article 2 of the Annex to Recommendation 2003/361/EC, or exceed the ceilings for medium-sized enterprises provided for in paragraph 1 of that Article, and which provide their services or carry out their activities within the Union.
C'est la règle de champ d'application par défaut. Deux filtres en une phrase : votre secteur doit figurer à l'annexe I ou II, et vous devez être au moins une entreprise moyenne au titre de la recommandation 2003/361/CE. En dessous de l'entreprise moyenne, la directive ne s'applique pas par défaut.
Article 2, paragraphes 2 et 3, annexe de la recommandation 2003/361/CE
The category of micro, small and medium-sized enterprises (SMEs) is made up of enterprises which employ fewer than 250 persons and which have an annual turnover not exceeding EUR 50 million, and/or an annual balance sheet total not exceeding EUR 43 million. Within the SME category, a small enterprise is defined as an enterprise which employs fewer than 50 persons and whose annual turnover and/or annual balance sheet total does not exceed EUR 10 million. Within the SME category, a microenterprise is defined as an enterprise which employs fewer than 10 persons and whose annual turnover and/or annual balance sheet total does not exceed EUR 2 million.
La recommandation vous donne les chiffres. Micro : moins de 10 salariés ET chiffre d'affaires ou bilan jusqu'à 2 millions d'euros. Petite : moins de 50 salariés ET chiffre d'affaires ou bilan jusqu'à 10 millions d'euros. Moyenne : à partir de 50 salariés jusqu'à 249 OU chiffre d'affaires supérieur à 10 millions d'euros. Pour rester en dessous d'une catégorie de taille, vous devez être en dessous sur l'effectif ET en dessous sur le chiffre d'affaires ou le bilan. Franchissez l'un des deux et vous montez d'un cran.
Article 2, paragraphe 2, NIS 2 (indépendamment de la taille)
Regardless of their size, this Directive applies to entities of a type referred to in Annex I or II, where: (a) services are provided by providers of public electronic communications networks or of publicly available electronic communications services; (b) services are provided by trust service providers; (c) top-level domain name registries and domain name system service providers; (d) the entity is the sole provider in a Member State of a service which is essential for the maintenance of critical societal or economic activities; (e) a disruption of the service provided by the entity could have a significant impact on public safety, public security or public health; (f) a disruption of the service provided by the entity could induce a significant systemic risk, in particular for sectors where such disruption could have a cross-border impact; (g) the entity is critical because of its specific importance at national or regional level for the particular sector or type of service, or for other interdependent sectors in the Member State; (h) the entity is a public administration entity.
Huit catégories qui ignorent la taille. Si vous relevez de l'une d'elles, le seuil de l'entreprise moyenne ne vous sauve pas. Les catégories (d) à (g) relèvent de l'appréciation des États membres : l'autorité nationale décide si vous êtes un fournisseur unique, d'importance systémique, ou critique au niveau national ou régional. En Allemagne, le BSI procède à cette détermination.
Appliquez la définition de la taille
Comptez votre effectif et additionnez votre chiffre d'affaires annuel et votre total de bilan. Pour rester micro, il vous faut moins de 10 salariés ET un chiffre d'affaires ou un bilan de 2 millions d'euros ou moins. Pour rester petite, il vous faut moins de 50 salariés ET un chiffre d'affaires ou un bilan de 10 millions d'euros ou moins. Franchissez le nombre de salariés, ou franchissez le seuil financier, et vous montez d'une catégorie.
Agrégez les entreprises liées
L'article 3, paragraphe 3, de l'annexe de la recommandation 2003/361/CE dispose que si une entreprise mère détient plus de 50 pour cent de vos droits de vote, vous devez agréger son effectif et son chiffre d'affaires aux vôtres. Une filiale de 30 personnes d'un groupe de 5 000 personnes est traitée comme une partie de ce groupe pour le test de taille. La plupart des filiales perdent l'exemption « petite » précisément ici.
Vérifiez les dérogations de l'article 2, paragraphe 2
Même si vous passez les étapes un et deux, l'article 2, paragraphe 2, de NIS 2 peut tout de même vous inclure. Télécommunications, services de confiance qualifiés, DNS, registres de TLD, fournisseurs uniques d'un service essentiel dans votre État membre, administration publique. Les autorités nationales peuvent aussi vous désigner comme critique au niveau national ou régional au titre de l'article 2, paragraphe 2, point g). Si l'une de celles-ci correspond, l'exemption de taille disparaît.
L'exemption de taille est le début de l'analyse, non la conclusion
L'article 2, paragraphe 1, ne vous fait franchir que le premier filtre. Secteur de l'annexe I ou II, puis entreprise moyenne ou plus grande. Même si vous passez l'étape de taille comme exempté, vous devez tout de même parcourir l'article 2, paragraphe 2. Une petite entreprise peut être incluse dans le champ d'application parce qu'elle est le fournisseur DNS unique, un prestataire de services de confiance qualifié, ou désignée comme critique au niveau national. Lire le paragraphe 1 sans le paragraphe 2 est l'erreur de cadrage la plus courante que nous voyons.
La règle des entreprises liées sort la plupart des filiales de l'exemption
L'article 3, paragraphe 3, de l'annexe de la recommandation est sans pitié. Si votre entreprise mère détient plus de 50 pour cent de vos droits de vote, son effectif et son chiffre d'affaires s'ajoutent aux vôtres. Une petite entité au sein d'un grand groupe n'est presque jamais petite au sens de ce régime. Les opérateurs du Mittelstand dotés d'une structure de holding découvrent régulièrement que la filiale qu'ils croyaient exemptée se situe fermement à l'intérieur de la directive.
Betroffenheitsprüfung du BSI
Le BSI propose une Betroffenheitsprüfung en ligne où vous parcourez votre secteur au titre de l'annexe I ou II, votre taille au titre de la recommandation 2003/361/CE, et les dérogations de l'article 2, paragraphe 2. Le §28 BSIG transpose l'article 2 et ajoute des spécificités nationales : la détermination des fournisseurs uniques et des entités critiques relève du BSI. Le résultat est une autoclassification contraignante que vous devez enregistrer au titre du §33 BSIG.
Cadrage de l'ENISA et orientations sur la recommandation
L'ENISA publie du matériel de cadrage qui parcourt les filtres sectoriels et de taille dans le même ordre que la directive. La Commission européenne publie aussi un guide de l'utilisateur relatif à la définition des PME expliquant la recommandation en détail, avec des exemples concrets pour les entreprises liées et partenaires. Les deux constituent du matériel de référence, et non du droit, mais les autorités nationales les citent.
Même directive, mécanismes d'auto-enregistrement différents
Chaque État membre transpose l'article 2 textuellement car les règles de taille et de dérogation sont fixées par le droit de l'Union. Les Pays-Bas appliquent la Cyberbeveiligingswet et une autoclassification en ligne par l'intermédiaire du NCSC. La Belgique utilise Safeonweb au CCB. L'Autriche dispose de la NISG avec un enregistrement par portail. La substance est identique. Ce qui diffère, c'est l'autorité nationale auprès de laquelle vous vous enregistrez et la langue du portail.
Nous sommes une microentreprise, donc NIS 2 ne s'applique pas à nous.
Première étape seulement. Vous devez tout de même passer l'article 2, paragraphe 2. Un fournisseur DNS de neuf personnes est inclus dans le champ d'application. Un prestataire de services de confiance qualifié de six personnes est inclus dans le champ d'application. Une petite entité désignée par le BSI comme fournisseur unique d'un service essentiel en Allemagne est incluse dans le champ d'application. La catégorie de taille est le premier filtre, non la réponse finale.
Nous avons moins de 50 salariés, donc nous comptons comme petite.
Lisez attentivement l'article 2, paragraphe 2, de l'annexe de la recommandation. Petite exige moins de 50 salariés ET un chiffre d'affaires ou un bilan de 10 millions d'euros ou moins. Franchissez l'un ou l'autre seuil et vous passez en moyenne. Un cabinet de conseil de 45 personnes avec 12 millions d'euros de chiffre d'affaires est une entreprise moyenne au titre de la recommandation, ce qui signifie que NIS 2 s'applique si le secteur correspond.
Notre société mère est grande, mais nous fonctionnons de façon indépendante, donc nous comptons par nous-mêmes.
L'article 3, paragraphe 3, de l'annexe de la recommandation est structurel, non comportemental. Si l'entreprise mère détient plus de 50 pour cent de vos droits de vote, vous agrégez. L'indépendance au quotidien n'a pas d'importance pour le test de taille. Le guide de l'utilisateur de la Commission européenne relatif à la définition des PME le précise avec des exemples concrets. La plupart des filiales perdent l'exemption de taille ici.
Ce que nous voyons en pratique : un échange de cadrage de 30 minutes parcourt l'annexe I ou II d'abord, puis l'effectif et les chiffres financiers, puis la question des entreprises liées, puis l'article 2, paragraphe 2. L'ordre importe. Sauter directement à la taille, comme la plupart des consultants présentent la question, masque un champ d'application que vous avez réellement.
Documentez le résultat. Une courte note de cadrage qui nomme le secteur au titre de l'annexe I ou II, énumère l'effectif et les chiffres de chiffre d'affaires, traite des entreprises liées et parcourt l'article 2, paragraphe 2, est l'élément que vous voulez si une autorité nationale demande plus tard pourquoi vous vous êtes autoclassé comme hors du champ d'application. Si vous êtes inclus dans le champ d'application, vous devez aussi vous enregistrer au titre de l'article 27 de NIS 2 et de la disposition nationale pertinente (en Allemagne : §33 BSIG).
Notre contrôle d'applicabilité gratuit parcourt les trois étapes dans le même ordre que la directive. Secteur au titre de l'annexe I ou II, puis le test de taille de la recommandation avec agrégation des entreprises liées, puis les dérogations de l'article 2, paragraphe 2. Vous obtenez un résultat de cadrage écrit que vous pouvez sauvegarder ou partager avec votre avocat.
Si le résultat est « inclus dans le champ d'application », la plateforme met en place votre registre d'obligations au regard des mesures de l'article 21 et des canaux de déclaration nationaux que vous devez respecter. Si vous êtes hors du champ d'application au titre de l'article 2, paragraphe 1, mais souhaitez une trace défendable de la raison, la page de résultat vous fournit une note avec les trois étapes documentées et des liens de sources de qualité citationnelle.
- Directive (UE) 2022/2555 (NIS 2), article 2 - eur-lex.europa.eu/eli/dir/2022/2555/oj
- Recommandation 2003/361/CE de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises, annexe articles 2 et 3 - eur-lex.europa.eu/eli/reco/2003/361/oj
- Commission européenne, Guide de l'utilisateur relatif à la définition des PME (Office des publications, dernière édition)
- Loi sur le BSI (BSIG), §28 tel que modifié par la loi de mise en œuvre de NIS2 et de renforcement de la cybersécurité
- Betroffenheitsprüfung du BSI et Infopakete NIS 2 - bsi.bund.de/dok/nis-2-infopakete
- Matériel de cadrage NIS 2 de l'ENISA et orientations techniques de mise en œuvre du CIR (UE) 2024/2690