L'esenzione NIS2 per le microimprese e le piccole imprese
Ai sensi dell'articolo 2, paragrafo 1, di NIS2, la direttiva si applica solo alle entità di medie e maggiori dimensioni. Questo è il titolo. La realtà è una verifica in tre fasi: la definizione di dimensione tratta dalla raccomandazione 2003/361/CE, la regola dell'impresa collegata e le deroghe dell'articolo 2, paragrafo 2, che reinseriscono nell'ambito di applicazione le microimprese e le piccole imprese.
In breve
NIS2 fissa una soglia dimensionale minima. Per impostazione predefinita la direttiva si applica solo alle entità che raggiungono o superano la soglia di media impresa ai sensi della raccomandazione 2003/361/CE: 50 o più dipendenti, o un fatturato annuo superiore a 10 milioni di euro, o un totale di bilancio superiore a 10 milioni di euro. Le microimprese e le piccole imprese si collocano al di sotto di tale soglia.
Sembra semplice. Non lo è. La raccomandazione ha proprie regole di conteggio. L'articolo 3, paragrafo 3, del suo allegato stabilisce che se una società madre detiene più del 50 percento dei diritti di voto in una società figlia, dovete aggregare il loro numero di dipendenti e il loro fatturato. Una piccola società figlia di un grande gruppo non è una piccola entità sotto questo regime.
L'articolo 2, paragrafo 2, di NIS2 nomina poi le categorie che rientrano indipendentemente dalla dimensione. Telecomunicazioni, prestatori di servizi fiduciari qualificati, DNS, registri dei nomi TLD, fornitori unici di un servizio essenziale in uno Stato membro, entità della pubblica amministrazione e alcune altre. Se rientrate in una di queste, la verifica dimensionale non vi salva. L'esenzione è l'inizio dell'analisi, non la fine.
Articolo 2, paragrafo 1, della direttiva NIS2 (2022/2555)
This Directive applies to public or private entities of a type referred to in Annex I or II which qualify as medium-sized enterprises under Article 2 of the Annex to Recommendation 2003/361/EC, or exceed the ceilings for medium-sized enterprises provided for in paragraph 1 of that Article, and which provide their services or carry out their activities within the Union.
Questa è la regola predefinita sull'ambito di applicazione. Due filtri in una frase: il vostro settore deve essere nell'Allegato I o II, e dovete essere almeno di medie dimensioni ai sensi della raccomandazione 2003/361/CE. Al di sotto delle medie dimensioni, la direttiva non si applica per impostazione predefinita.
Articolo 2, paragrafi 2 e 3, dell'allegato alla raccomandazione 2003/361/CE
The category of micro, small and medium-sized enterprises (SMEs) is made up of enterprises which employ fewer than 250 persons and which have an annual turnover not exceeding EUR 50 million, and/or an annual balance sheet total not exceeding EUR 43 million. Within the SME category, a small enterprise is defined as an enterprise which employs fewer than 50 persons and whose annual turnover and/or annual balance sheet total does not exceed EUR 10 million. Within the SME category, a microenterprise is defined as an enterprise which employs fewer than 10 persons and whose annual turnover and/or annual balance sheet total does not exceed EUR 2 million.
La raccomandazione vi fornisce i numeri. Micro: meno di 10 dipendenti E fatturato o totale di bilancio fino a 2 milioni di euro. Piccola: meno di 50 dipendenti E fatturato o totale di bilancio fino a 10 milioni di euro. Media: da 50 dipendenti fino a 249 OPPURE fatturato superiore a 10 milioni di euro. Per restare al di sotto di una fascia dimensionale dovete essere al di sotto sia sul numero di dipendenti SIA sul fatturato o sul totale di bilancio. Superate anche uno solo dei due e siete saliti di fascia.
Articolo 2, paragrafo 2, di NIS2 (indipendentemente dalla dimensione)
Regardless of their size, this Directive applies to entities of a type referred to in Annex I or II, where: (a) services are provided by providers of public electronic communications networks or of publicly available electronic communications services; (b) services are provided by trust service providers; (c) top-level domain name registries and domain name system service providers; (d) the entity is the sole provider in a Member State of a service which is essential for the maintenance of critical societal or economic activities; (e) a disruption of the service provided by the entity could have a significant impact on public safety, public security or public health; (f) a disruption of the service provided by the entity could induce a significant systemic risk, in particular for sectors where such disruption could have a cross-border impact; (g) the entity is critical because of its specific importance at national or regional level for the particular sector or type of service, or for other interdependent sectors in the Member State; (h) the entity is a public administration entity.
Otto categorie che ignorano la dimensione. Se rientrate in una qualsiasi di esse, la soglia di media impresa non vi salva. Le categorie da (d) a (g) sono decisioni dello Stato membro: l'autorità nazionale decide se siete un fornitore unico, sistemicamente importante o critico a livello nazionale o regionale. In Germania il BSI effettua tale determinazione.
Applicate la definizione di dimensione
Contate i vostri dipendenti e sommate il vostro fatturato annuo e il totale di bilancio. Per restare micro vi servono meno di 10 dipendenti E un fatturato o totale di bilancio pari o inferiore a 2 milioni di euro. Per restare piccola vi servono meno di 50 dipendenti E un fatturato o totale di bilancio pari o inferiore a 10 milioni di euro. Superate il numero di dipendenti, o superate la soglia finanziaria, e salite di fascia.
Aggregate le imprese collegate
L'articolo 3, paragrafo 3, dell'allegato alla raccomandazione 2003/361/CE stabilisce che se un'impresa madre detiene più del 50 percento dei vostri diritti di voto, dovete aggregare il loro numero di dipendenti e il loro fatturato ai vostri. Una società figlia di 30 persone di un gruppo di 5.000 persone è trattata come parte di quel gruppo ai fini della verifica dimensionale. La maggior parte delle società figlie perde qui l'esenzione per le piccole imprese.
Verificate le deroghe dell'articolo 2, paragrafo 2
Anche se superate le fasi uno e due, l'articolo 2, paragrafo 2, di NIS2 può comunque includervi. Telecomunicazioni, servizi fiduciari qualificati, DNS, registri TLD, fornitori unici di un servizio essenziale nel vostro Stato membro, pubblica amministrazione. Le autorità nazionali possono inoltre designarvi come critici a livello nazionale o regionale ai sensi dell'articolo 2, paragrafo 2, lettera g). Se una qualsiasi di queste si applica, l'esenzione dimensionale viene meno.
L'esenzione dimensionale è l'inizio dell'analisi, non la conclusione
L'articolo 2, paragrafo 1, vi fa superare solo il primo filtro. Settore dell'Allegato I o II, poi medie dimensioni o più grandi. Anche se superate la fase dimensionale come esenti, dovete comunque percorrere l'articolo 2, paragrafo 2. Una piccola azienda può rientrare nell'ambito di applicazione perché è l'unico fornitore di DNS, un prestatore di servizi fiduciari qualificato, o designata come critica a livello nazionale. Leggere il paragrafo 1 senza il paragrafo 2 è l'errore di scoping più comune che vediamo.
La regola dell'impresa collegata fa uscire dall'esenzione la maggior parte delle società figlie
L'articolo 3, paragrafo 3, dell'allegato alla raccomandazione è inflessibile. Se la vostra società madre possiede più del 50 percento dei vostri diritti di voto, il loro numero di dipendenti e il loro fatturato vengono aggiunti ai vostri. Una piccola entità in un grande gruppo societario non è quasi mai piccola sotto questo regime. Gli operatori Mittelstand con una struttura di holding scoprono abitualmente che la società figlia che credevano esente si colloca saldamente all'interno della direttiva.
BSI Betroffenheitsprüfung
Il BSI gestisce una Betroffenheitsprüfung online in cui percorrete il vostro settore ai sensi dell'Allegato I o II, la vostra dimensione ai sensi della raccomandazione 2003/361/CE e le deroghe dell'articolo 2, paragrafo 2. Il §28 BSIG traspone l'articolo 2 e aggiunge specificità nazionali: la determinazione dei fornitori unici e dei soggetti critici spetta al BSI. Il risultato è un'autoclassificazione vincolante che dovete registrare ai sensi del §33 BSIG.
ENISA scoping e orientamenti sulla raccomandazione
L'ENISA pubblica materiale di scoping che percorre i filtri settoriale e dimensionale nello stesso ordine usato dalla direttiva. La Commissione europea pubblica inoltre una Guida dell'utente alla definizione di PMI che spiega la raccomandazione in dettaglio, compresi esempi pratici per le imprese collegate e associate. Entrambi sono materiale di riferimento, non legge, ma le autorità nazionali li citano.
Stessa direttiva, diversi meccanismi di autoregistrazione
Ogni Stato membro traspone l'articolo 2 testualmente perché le regole sulla dimensione e sulle deroghe sono fissate dal diritto UE. I Paesi Bassi gestiscono la Cyberbeveiligingswet e un'autoclassificazione online attraverso l'NCSC. Il Belgio utilizza Safeonweb presso il CCB. L'Austria ha la NISG con registrazione basata su portale. La sostanza è identica. Ciò che differisce è presso quale autorità nazionale vi registrate e in quale lingua parla il portale.
Siamo una microimpresa, quindi NIS2 non si applica a noi.
Solo la fase uno. Dovete comunque superare l'articolo 2, paragrafo 2. Un fornitore di DNS di nove persone rientra nell'ambito di applicazione. Un prestatore di servizi fiduciari qualificato di sei persone rientra nell'ambito di applicazione. Una piccola entità designata dal BSI come fornitore unico di un servizio essenziale in Germania rientra nell'ambito di applicazione. La fascia dimensionale è il primo filtro, non la risposta finale.
Abbiamo meno di 50 dipendenti, quindi contiamo come piccola.
Leggete con attenzione l'articolo 2, paragrafo 2, dell'allegato alla raccomandazione. Piccola richiede meno di 50 dipendenti E un fatturato o totale di bilancio pari o inferiore a 10 milioni di euro. Superate una delle due soglie e passate a media. Una società di consulenza di 45 persone con 12 milioni di euro di fatturato è di medie dimensioni ai sensi della raccomandazione, e ciò significa che NIS2 si applica se il settore corrisponde.
La nostra società madre è grande, ma operiamo in modo indipendente, quindi contiamo per conto nostro.
L'articolo 3, paragrafo 3, dell'allegato alla raccomandazione è strutturale, non comportamentale. Se la società madre detiene più del 50 percento dei vostri diritti di voto, dovete aggregare. L'indipendenza operativa quotidiana non conta ai fini della verifica dimensionale. La Guida dell'utente alla definizione di PMI della Commissione europea lo chiarisce con esempi pratici. La maggior parte delle società figlie perde qui l'esenzione dimensionale.
Ciò che vediamo nella pratica: una chiamata di scoping di 30 minuti percorre prima l'Allegato I o II, poi i numeri dei dipendenti e finanziari, poi la questione dell'impresa collegata, poi l'articolo 2, paragrafo 2. L'ordine conta. Saltare direttamente alla dimensione, come la maggior parte dei consulenti imposta la questione, nasconde un ambito di applicazione che avete effettivamente.
Documentate il risultato. Un breve memorandum di scoping che nomini il settore ai sensi dell'Allegato I o II, elenchi i numeri dei dipendenti e del fatturato, affronti le imprese collegate e percorra l'articolo 2, paragrafo 2, è l'artefatto che desiderate se un'autorità nazionale chiede in seguito perché vi siete autoclassificati fuori dall'ambito di applicazione. Se siete inclusi nell'ambito di applicazione, dovete inoltre registrarvi ai sensi dell'articolo 27 di NIS2 e della pertinente disposizione nazionale (in Germania: §33 BSIG).
La nostra verifica di applicabilità gratuita percorre le tre fasi nello stesso ordine della direttiva. Settore ai sensi dell'Allegato I o II, poi la verifica dimensionale della raccomandazione con l'aggregazione delle imprese collegate, poi le deroghe dell'articolo 2, paragrafo 2. Ottenete un risultato di scoping scritto che potete salvare o condividere con il vostro avvocato.
Se il risultato è dentro l'ambito di applicazione, la piattaforma imposta il vostro registro degli obblighi rispetto alle misure dell'articolo 21 e ai canali di segnalazione nazionali che dovete raggiungere. Se siete fuori dall'ambito di applicazione ai sensi dell'articolo 2, paragrafo 1, ma volete una documentazione difendibile del perché, la pagina dei risultati vi fornisce un memorandum con tutte e tre le fasi documentate e link alle fonti di livello citabile.
- Direttiva (UE) 2022/2555 (NIS2), articolo 2 - eur-lex.europa.eu/eli/dir/2022/2555/oj
- Raccomandazione 2003/361/CE della Commissione del 6 maggio 2003 relativa alla definizione delle microimprese, piccole e medie imprese, allegato articoli 2 e 3 - eur-lex.europa.eu/eli/reco/2003/361/oj
- Commissione europea, Guida dell'utente alla definizione di PMI (Ufficio delle pubblicazioni, ultima edizione)
- Legge sul BSI (BSIG), §28 come modificata dalla legge di attuazione di NIS2 e di rafforzamento della sicurezza informatica
- BSI Betroffenheitsprüfung e NIS2 Infopakete - bsi.bund.de/dok/nis-2-infopakete
- Materiale di scoping NIS2 dell'ENISA e Technical Implementation Guidance del CIR (UE) 2024/2690