NIS 2 Art. 2 + Rec. 2003/361/EC

Filiale et société holding sous NIS 2

Le périmètre s'apprécie par entité juridique au titre de l'article 2 NIS 2. Mais le test de taille, via la recommandation 2003/361/CE de la Commission, additionne l'ensemble du groupe.

Simon OrzelSimon Orzel·

En bref

NIS 2 examine chaque entité juridique individuellement. Votre filiale n'est pas concernée simplement parce que la société mère l'est. La directive s'applique aux entités qui exercent elles-mêmes une activité listée à l'annexe I ou II et qui franchissent elles-mêmes le seuil de taille.

Le piège se situe dans le test de taille. L'article 6(2) NIS 2 renvoie à la définition des PME figurant dans la recommandation 2003/361/CE de la Commission. Cette recommandation additionne 100 pour cent de l'effectif et des données financières de chaque entreprise liée détenue majoritairement en un seul chiffre.

La bonne question n'est donc pas « notre société mère est-elle dans le périmètre ». Elle comporte deux volets. Premièrement : cette entité spécifique exerce-t-elle elle-même une activité de l'annexe I ou II ? Deuxièmement : une fois additionnés les chiffres du reste du groupe, franchissons-nous le seuil de l'entreprise moyenne ?

La source juridique
Trois couches superposées : la règle de périmètre de la directive, la définition des PME à laquelle elle renvoie, et un exemple de transposition allemande.

Article 2 NIS 2 (périmètre)

This Directive applies to public or private entities of a type referred to in Annex I or II which qualify as medium-sized enterprises under Article 2 of the Annex to Recommendation 2003/361/EC, or exceed the ceilings for medium-sized enterprises provided for in paragraph 1 of that Article, and which provide their services or carry out their activities within the Union.

Le périmètre s'attache à l'entité qui exerce elle-même l'activité de l'annexe I ou II. L'article 2(2) et (3) ajoutent des dérogations « quelle que soit la taille » (DNS, registres TLD, prestataires de services de confiance qualifiés, fournisseurs de réseaux de communications électroniques publics, prestataires uniques de services essentiels, et d'autres) qui font entrer des entités individuelles même en dessous du plafond PME.

Recommandation 2003/361/CE de la Commission, annexe art. 3 (entreprises liées)

Linked enterprises are enterprises which have any of the following relationships with each other: (a) an enterprise has a majority of the shareholders' or members' voting rights in another enterprise; (b) an enterprise has the right to appoint or remove a majority of the members of the administrative, management or supervisory body of another enterprise. To the data of the enterprise in question is added 100 percent of the data of any enterprise which is linked directly or indirectly to it, where the data were not already included through consolidation in the accounts.

C'est la règle que l'article 6(2) NIS 2 importe. Une filiale de 30 personnes détenue majoritairement par une société mère de 400 personnes est comptabilisée comme faisant partie d'un groupe de 430 personnes pour le test de taille. Le considérant 16 permet aux États membres de tenir compte de l'indépendance opérationnelle, mais le point de départ est : additionner les chiffres.

§28 BSIG (Allemagne, exemple de transposition)

Besonders wichtige Einrichtungen und wichtige Einrichtungen sind Einrichtungen, die einer in Anlage 1 oder Anlage 2 aufgeführten Einrichtungsart angehören und die die in §28 BSIG genannten Schwellenwerte erreichen.

Le BSIG conserve la logique par entité. Le BSI lit le test de taille à travers la recommandation 2003/361/CE et additionne donc les chiffres des entreprises liées. D'autres États membres suivent la même recommandation. La formulation de la transposition diffère. Le mécanisme, non.

Trois étapes pour vérifier une filiale
Exécutez ces étapes dans l'ordre, une entité juridique à la fois. N'évaluez pas le groupe dans son ensemble.
Étape 1

Cette entité relève-t-elle de l'annexe I ou II ?

Demandez-vous si cette filiale spécifique exerce elle-même une activité listée à l'annexe I (haute criticité) ou à l'annexe II (autres secteurs critiques) de NIS 2. Une holding pure qui se contente de détenir des parts et de comptabiliser des dividendes n'en relève généralement pas. Une filiale opérationnelle qui exploite une station d'épuration, un hôpital, un MSP ou une ligne de production en relève généralement.

Étape 2

L'entité est-elle elle-même suffisamment grande ?

Prenez l'effectif et les données financières propres à l'entité. Si elle atteint déjà à elle seule le seuil de l'entreprise moyenne (50 salariés ou plus, ou un chiffre d'affaires supérieur à 10 millions d'euros avec un bilan supérieur à 10 millions d'euros), le test de taille est terminé. Vous n'avez pas besoin d'additionner le groupe.

Étape 3

Additionner les chiffres du groupe

Si l'entité est en dessous du seuil à elle seule, additionnez 100 pour cent de l'effectif et des données financières de chaque entreprise liée détenue majoritairement et de la société mère contrôlante au titre de l'annexe art. 3 de la 2003/361/CE. Si le chiffre combiné franchit le seuil, l'entité satisfait au test de taille par l'intermédiaire de son groupe. Le considérant 16 vous permet de faire valoir l'indépendance devant le régulateur. Mais c'est une exception que vous devez prouver, pas un plan sur lequel vous pouvez compter.

Deux règles qui répondent à toute question de structure de groupe
Lisez ces deux règles ensemble. Le reste de la page n'est que détail.

Le périmètre s'apprécie par entité juridique (article 2 NIS 2)

La directive n'a aucune notion de « groupe dans le périmètre ». Elle s'applique à chaque entité qui exerce elle-même une activité couverte. Le statut de la société mère, de la holding ou des filiales soeurs ne se transfère pas à votre entité. Votre entité n'est dans le périmètre que si elle remplit elle-même les conditions.

La taille est additionnée au titre de la 2003/361/CE

Le test de taille utilise la recommandation PME. Il comptabilise les données des entreprises liées à 100 pour cent. Une petite filiale au sein d'un grand groupe comptera généralement comme une entreprise moyenne ou grande pour le test de taille, même si sa propre masse salariale est minime. C'est le mécanisme qui fait entrer beaucoup de petites filiales dans le périmètre.

Comment les régulateurs nationaux traitent cela
Même directive, même recommandation PME, formulation nationale légèrement différente. Le mécanisme est identique.
Allemagne

§28 BSIG et orientations du BSI sur le périmètre

L'Allemagne transpose via le §28 BSIG. Les orientations publiées par le BSI lisent le test de taille à travers la recommandation 2003/361/CE et additionnent les chiffres des entreprises liées. Les filiales s'enregistrent et notifient pour leur propre compte si elles satisfont elles-mêmes au test. La holding ne s'enregistre pas en leur nom.

UE

ENISA et la recommandation PME

Les supports d'ENISA sur le périmètre suivent la directive : le périmètre s'apprécie par entité, la taille s'agrège au titre de la 2003/361/CE. Il n'existe aucun raccourci d'« enregistrement de groupe ». L'argument d'indépendance du considérant 16 existe. Mais c'est une exception que vous devez prouver, pas une voie de planification.

Autres États membres

Exemples de transposition NL, AT, FR

Le Cyberbeveiligingswet néerlandais, la nouvelle version autrichienne de la NISG et l'Ordonnance n° 2024-1233 française conservent tous le périmètre par entité et importent la recommandation PME. La formulation diffère. La règle d'agrégation des entreprises liées, non.

Trois pièges que nous voyons tout le temps
Ils reviennent dans presque chaque entretien sur l'applicabilité. Les trois sont faux.

  • Notre société mère est dans le périmètre, donc nous le sommes aussi.

    Non. Le périmètre s'apprécie par entité juridique au titre de l'article 2 NIS 2. La classification de la société mère ne lie pas la filiale. Votre filiale n'est dans le périmètre que si elle exerce elle-même une activité de l'annexe I ou II et atteint elle-même le seuil de taille (le cas échéant via l'agrégation des entreprises liées).

  • Nous pouvons rester hors périmètre en nous scindant en filiales plus petites.

    Non. La recommandation PME additionne 100 pour cent des chiffres des entreprises liées. Scinder une activité de 200 personnes en quatre GmbH de 50 personnes qui restent détenues majoritairement par la même société mère ne casse pas le test de taille. La scission de la structure est invisible au calcul de la 2003/361/CE.

  • La holding s'enregistre et notifie pour l'ensemble du groupe.

    Non. Chaque entité juridique dans le périmètre s'enregistre elle-même auprès de l'autorité compétente (en Allemagne via portal.bsi.bund.de) et dépose ses propres notifications d'incidents au titre de l'article 23 NIS 2. La holding peut coordonner sur le plan opérationnel. Elle ne peut pas substituer son enregistrement aux obligations des filiales.

Comment cela se traduit dans les vrais groupes du Mittelstand

Dans les groupes que nous voyons, la question aboutit presque toujours à l'étape 3. La filiale opérationnelle exerce une activité de l'annexe I ou II. Seule, elle est petite. Au sein du groupe, elle dépasse 50 salariés ou 10 millions d'euros de chiffre d'affaires. Au titre de la 2003/361/CE, cela la fait entrer.

Le levier est l'argument d'indépendance du considérant 16. Si une filiale est réellement indépendante dans sa gestion (organe de direction propre, contrats clients propres, décisions propres, aucune répartition des coûts de groupe qui détermine son modèle économique), l'autorité nationale peut la traiter comme autonome pour le test de taille. Consignez l'indépendance par écrit avant de vous y fier. Ne la présumez pas.

Comment nous traitons les structures de groupe sur la plateforme

La vérification d'applicabilité parcourt l'appartenance sectorielle aux annexes I et II pour l'entité spécifique, puis le test de taille avec l'agrégation des entreprises liées intégrée. Le résultat est une évaluation d'applicabilité écrite indiquant le secteur, les chiffres de taille, les données des entreprises liées et la classification finale (essentielle, importante ou hors périmètre).

Pour les groupes comptant plusieurs filiales opérationnelles, chaque entité exécute sa propre vérification et, si elle est dans le périmètre, son propre registre d'obligations. La plateforme prend en charge un espace de travail distinct par entité juridique, de sorte que les enregistrements, les notifications d'incidents et les validations de la direction soient rattachés à la bonne entité enregistrée.

Sources
  • Directive NIS 2 (UE) 2022/2555, art. 2 (périmètre), art. 6 (définitions), considérant 16 (entreprises liées et indépendance) — EUR-Lex, eli/dir/2022/2555/oj
  • Recommandation 2003/361/CE de la Commission du 6 mai 2003, annexe art. 2 (définition des PME) et annexe art. 3 (entreprises liées, agrégation à 100 pour cent) — EUR-Lex, CELEX 32003H0361
  • BSIG (Allemagne), §28 (classification des entités essentielles et importantes) — gesetze-im-internet.de
  • FAQ du BSI sur le périmètre pour les entités NIS 2 (spécifique par secteur) — bsi.bund.de, NIS-2-FAQ-sektorspezifisch
  • Supports de référence d'ENISA sur le périmètre NIS 2 et la recommandation PME — enisa.europa.eu
Exécutez la vérification d'applicabilité sur chaque entité
Un espace de travail par entité juridique. Vérification du secteur, vérification de la taille, agrégation des entreprises liées, résultat écrit. Gratuit, open source, sans verrouillage.
Démarrer la vérification d'applicabilité