Controllata e holding ai sensi di NIS 2
L'ambito è valutato per singolo soggetto giuridico ai sensi dell'articolo 2 NIS 2. Ma il test dimensionale, tramite la Raccomandazione della Commissione 2003/361/CE, somma l'intero gruppo.
La versione breve
NIS 2 considera ogni soggetto giuridico in sé. La tua controllata non viene trascinata dentro solo perché la capogruppo vi rientra. La direttiva si applica ai soggetti che essi stessi svolgono un'attività elencata nell'allegato I o II e che essi stessi superano la soglia dimensionale.
L'insidia sta nel test dimensionale. L'articolo 6(2) NIS 2 rinvia alla definizione di PMI nella Raccomandazione della Commissione 2003/361/CE. Quella raccomandazione somma il 100 per cento dell'organico e dei dati finanziari di ogni impresa collegata controllata a maggioranza in un'unica cifra.
Quindi la domanda giusta non è "la nostra capogruppo rientra nell'ambito". È duplice. Primo: questo specifico soggetto svolge esso stesso un'attività dell'allegato I o II? Secondo: una volta sommate le cifre del resto del gruppo, superiamo la soglia della media impresa?
Articolo 2 NIS 2 (ambito)
This Directive applies to public or private entities of a type referred to in Annex I or II which qualify as medium-sized enterprises under Article 2 of the Annex to Recommendation 2003/361/EC, or exceed the ceilings for medium-sized enterprises provided for in paragraph 1 of that Article, and which provide their services or carry out their activities within the Union.
L'ambito si attacca al soggetto che svolge esso stesso l'attività dell'allegato I o II. L'articolo 2(2) e (3) aggiungono deroghe 'indipendentemente dalle dimensioni' (DNS, registri di TLD, prestatori di servizi fiduciari qualificati, fornitori di reti pubbliche di comunicazione elettronica, fornitori unici di servizi essenziali e altri) che fanno rientrare singoli soggetti anche al di sotto della soglia PMI.
Raccomandazione della Commissione 2003/361/CE, Allegato Art. 3 (imprese collegate)
Linked enterprises are enterprises which have any of the following relationships with each other: (a) an enterprise has a majority of the shareholders' or members' voting rights in another enterprise; (b) an enterprise has the right to appoint or remove a majority of the members of the administrative, management or supervisory body of another enterprise. To the data of the enterprise in question is added 100 percent of the data of any enterprise which is linked directly or indirectly to it, where the data were not already included through consolidation in the accounts.
Questa è la regola che l'articolo 6(2) NIS 2 importa. Una controllata di 30 persone posseduta a maggioranza da una capogruppo di 400 persone viene conteggiata come parte di un gruppo di 430 persone ai fini del test dimensionale. Il considerando 16 consente agli Stati membri di considerare l'indipendenza operativa, ma il punto di partenza è: somma le cifre.
§28 BSIG (Germania, esempio di recepimento)
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind Einrichtungen, die einer in Anlage 1 oder Anlage 2 aufgeführten Einrichtungsart angehören und die die in §28 BSIG genannten Schwellenwerte erreichen.
Il BSIG mantiene la logica per singolo soggetto. Il BSI legge il test dimensionale attraverso la Raccomandazione 2003/361/CE e quindi somma le cifre delle imprese collegate. Altri Stati membri seguono la stessa Raccomandazione. La formulazione del recepimento differisce. Il meccanismo no.
Questo soggetto rientra nell'allegato I o II?
Chiediti se questa specifica controllata svolge essa stessa un'attività elencata nell'allegato I (alta criticità) o nell'allegato II (altri settori critici) di NIS 2. Una holding pura che si limita a detenere quote e contabilizzare dividendi di norma no. Una controllata operativa che gestisce un impianto di trattamento delle acque reflue, un ospedale, un MSP o una linea di produzione di norma sì.
Il soggetto è abbastanza grande di per sé?
Prendi l'organico e i dati finanziari propri del soggetto. Se soddisfa già da solo la soglia della media impresa (50 o più dipendenti, oppure fatturato superiore a 10 milioni di euro con totale di bilancio superiore a 10 milioni di euro), il test dimensionale è concluso. Non occorre sommare il gruppo.
Somma le cifre del gruppo
Se il soggetto è al di sotto della soglia da solo, somma il 100 per cento dell'organico e dei dati finanziari di ogni impresa collegata controllata a maggioranza e della capogruppo controllante ai sensi dell'Allegato Art. 3 della 2003/361/CE. Se la cifra combinata supera la soglia, il soggetto soddisfa il test dimensionale tramite il suo gruppo. Il considerando 16 ti consente di argomentare l'indipendenza davanti al regolatore. Ma è un'eccezione che devi dimostrare, non un piano su cui puoi fare affidamento.
L'ambito è per singolo soggetto giuridico (articolo 2 NIS 2)
La direttiva non ha alcun concetto di 'gruppo nell'ambito'. Si applica a ciascun soggetto che svolge esso stesso un'attività coperta. Lo status della capogruppo, della holding o delle controllate sorelle non si trasferisce al tuo soggetto. Il tuo soggetto rientra nell'ambito solo se vi qualifica esso stesso.
Le dimensioni si sommano ai sensi della 2003/361/CE
Il test dimensionale usa la Raccomandazione PMI. Conteggia i dati delle imprese collegate al 100 per cento. Una piccola controllata all'interno di un grande gruppo conterà di norma come media o grande impresa ai fini del test dimensionale, anche se il suo organico è minimo. È questo il meccanismo che fa rientrare nell'ambito molte piccole controllate.
§28 BSIG e orientamenti del BSI sull'ambito
La Germania recepisce tramite il §28 BSIG. Gli orientamenti pubblicati dal BSI leggono il test dimensionale attraverso la Raccomandazione 2003/361/CE e sommano le cifre delle imprese collegate. Le controllate si registrano e notificano in proprio se superano esse stesse il test. La holding non si registra per loro conto.
ENISA e la Raccomandazione PMI
I materiali di ENISA sull'ambito seguono la direttiva: l'ambito è per soggetto, le dimensioni si aggregano ai sensi della 2003/361/CE. Non esiste alcuna scorciatoia di 'registrazione di gruppo'. L'argomento di indipendenza del considerando 16 esiste. Ma è un'eccezione che devi dimostrare, non una via di pianificazione.
Esempi di recepimento NL, AT, FR
La Cyberbeveiligingswet olandese, la NISG-Neufassung austriaca e l'Ordonnance n. 2024-1233 francese mantengono tutte l'ambito per soggetto e importano la Raccomandazione PMI. La formulazione differisce. La regola di aggregazione delle imprese collegate no.
La nostra capogruppo rientra nell'ambito, quindi vi rientriamo anche noi.
No. L'ambito è per singolo soggetto giuridico ai sensi dell'articolo 2 NIS 2. La classificazione della capogruppo non vincola la controllata. La tua controllata rientra nell'ambito solo se svolge essa stessa un'attività dell'allegato I o II e soddisfa essa stessa la soglia dimensionale (eventualmente tramite l'aggregazione delle imprese collegate).
Possiamo restarne fuori dividendoci in controllate più piccole.
No. La Raccomandazione PMI somma il 100 per cento delle cifre delle imprese collegate. Suddividere un'azienda di 200 persone in quattro GmbH da 50 persone che restano controllate a maggioranza dalla stessa capogruppo non aggira il test dimensionale. La scissione societaria è invisibile al calcolo della 2003/361/CE.
La holding si registra e notifica per l'intero gruppo.
No. Ogni soggetto giuridico rientrante nell'ambito si registra presso l'autorità competente (in Germania tramite portal.bsi.bund.de) e presenta le proprie notifiche di incidente ai sensi dell'articolo 23 NIS 2. La holding può coordinarsi sul piano operativo. Non può sostituire la propria registrazione agli obblighi delle controllate.
Nei gruppi che vediamo, la questione si concentra quasi sempre sul passo 3. La controllata operativa svolge un'attività dell'allegato I o II. Da sola è piccola. All'interno del gruppo supera i 50 dipendenti o i 10 milioni di euro di fatturato. Ai sensi della 2003/361/CE, ciò la fa rientrare.
La leva è l'argomento di indipendenza del considerando 16. Se una controllata è genuinamente indipendente nel modo in cui opera (organo di gestione proprio, contratti propri con i clienti, decisioni proprie, nessuna ripartizione dei costi di gruppo che ne determini il modello di business), l'autorità nazionale può trattarla come autonoma ai fini del test dimensionale. Metti per iscritto l'indipendenza prima di farci affidamento. Non darla per scontata.
La verifica di applicabilità ripercorre l'appartenenza settoriale all'allegato I e II per lo specifico soggetto, poi il test dimensionale con l'aggregazione delle imprese collegate già integrata. Il risultato è una valutazione di applicabilità scritta con settore, cifre dimensionali, gli input delle imprese collegate e la classificazione finale (essenziale, importante o fuori ambito).
Per i gruppi con più controllate operative, ogni soggetto esegue la propria verifica e, se rientra nell'ambito, il proprio registro degli obblighi. La piattaforma supporta uno spazio di lavoro separato per ogni soggetto giuridico, così che registrazioni, notifiche di incidente e approvazioni della dirigenza siano riferite al soggetto registrato corretto.
- Direttiva NIS 2 (UE) 2022/2555, Art. 2 (ambito), Art. 6 (definizioni), considerando 16 (imprese collegate e indipendenza) — EUR-Lex, eli/dir/2022/2555/oj
- Raccomandazione della Commissione 2003/361/CE del 6 maggio 2003, Allegato Art. 2 (definizione di PMI) e Allegato Art. 3 (imprese collegate, aggregazione al 100 per cento) — EUR-Lex, CELEX 32003H0361
- BSIG (Germania), §28 (classificazione dei soggetti essenziali e importanti) — gesetze-im-internet.de
- FAQ del BSI sull'ambito per i soggetti NIS 2 (specifiche per settore) — bsi.bund.de, NIS-2-FAQ-sektorspezifisch
- Materiali di riferimento ENISA sull'ambito NIS 2 e sulla Raccomandazione PMI — enisa.europa.eu