Wyłączenie mikroprzedsiębiorstw i małych przedsiębiorstw w NIS 2
Na podstawie artykułu 2 ust. 1 NIS 2 dyrektywa ma zastosowanie tylko do podmiotów średnich i większych. To nagłówek. Rzeczywistość to trzystopniowy test: definicja wielkości z zalecenia 2003/361/WE, reguła przedsiębiorstw powiązanych oraz wyjątki z artykułu 2 ust. 2, które wciągają z powrotem mikroprzedsiębiorstwa i małe przedsiębiorstwa.
W skrócie
NIS 2 wyznacza dolny próg wielkości. Domyślnie dyrektywa ma zastosowanie tylko do podmiotów, które spełniają lub przekraczają próg średniego przedsiębiorstwa na podstawie zalecenia 2003/361/WE: 50 lub więcej pracowników, albo roczny obrót powyżej 10 milionów euro, albo suma bilansowa powyżej 10 milionów euro. Mikroprzedsiębiorstwa i małe przedsiębiorstwa mieszczą się poniżej tego progu.
Brzmi to prosto. Nie jest. Zalecenie ma własne reguły liczenia. Artykuł 3 ust. 3 jego załącznika mówi, że jeśli przedsiębiorstwo dominujące posiada ponad 50 procent praw głosu w spółce zależnej, musisz zsumować liczbę ich pracowników i obrót. Mała spółka zależna dużej grupy nie jest małym podmiotem w tym reżimie.
Artykuł 2 ust. 2 NIS 2 wymienia następnie kategorie, które są objęte niezależnie od wielkości. Telekomunikacja, kwalifikowani dostawcy usług zaufania, DNS, rejestry nazw TLD, jedyni dostawcy usługi kluczowej w państwie członkowskim, podmioty administracji publicznej i kilka innych. Jeśli pasujesz do jednej z nich, test wielkości Cię nie ratuje. Wyłączenie jest początkiem analizy, a nie jej końcem.
Artykuł 2 ust. 1 dyrektywy NIS 2 (2022/2555)
This Directive applies to public or private entities of a type referred to in Annex I or II which qualify as medium-sized enterprises under Article 2 of the Annex to Recommendation 2003/361/EC, or exceed the ceilings for medium-sized enterprises provided for in paragraph 1 of that Article, and which provide their services or carry out their activities within the Union.
To domyślna reguła zakresu. Dwa filtry w jednym zdaniu: Twój sektor musi być w załączniku I lub II, oraz musisz być co najmniej średnim przedsiębiorstwem na podstawie zalecenia 2003/361/WE. Poniżej średniego przedsiębiorstwa dyrektywa domyślnie nie ma zastosowania.
Artykuł 2 ust. 2 i 3 załącznika do zalecenia 2003/361/WE
The category of micro, small and medium-sized enterprises (SMEs) is made up of enterprises which employ fewer than 250 persons and which have an annual turnover not exceeding EUR 50 million, and/or an annual balance sheet total not exceeding EUR 43 million. Within the SME category, a small enterprise is defined as an enterprise which employs fewer than 50 persons and whose annual turnover and/or annual balance sheet total does not exceed EUR 10 million. Within the SME category, a microenterprise is defined as an enterprise which employs fewer than 10 persons and whose annual turnover and/or annual balance sheet total does not exceed EUR 2 million.
Zalecenie podaje Ci liczby. Mikro: mniej niż 10 pracowników ORAZ obrót lub suma bilansowa do 2 milionów euro. Małe: mniej niż 50 pracowników ORAZ obrót lub suma bilansowa do 10 milionów euro. Średnie: od 50 pracowników do 249 ALBO obrót powyżej 10 milionów euro. Aby pozostać poniżej pasma wielkości, musisz być poniżej pod względem pracowników ORAZ poniżej pod względem obrotu lub sumy bilansowej. Przekrocz którekolwiek, a przesuwasz się w górę.
Artykuł 2 ust. 2 NIS 2 (niezależnie od wielkości)
Regardless of their size, this Directive applies to entities of a type referred to in Annex I or II, where: (a) services are provided by providers of public electronic communications networks or of publicly available electronic communications services; (b) services are provided by trust service providers; (c) top-level domain name registries and domain name system service providers; (d) the entity is the sole provider in a Member State of a service which is essential for the maintenance of critical societal or economic activities; (e) a disruption of the service provided by the entity could have a significant impact on public safety, public security or public health; (f) a disruption of the service provided by the entity could induce a significant systemic risk, in particular for sectors where such disruption could have a cross-border impact; (g) the entity is critical because of its specific importance at national or regional level for the particular sector or type of service, or for other interdependent sectors in the Member State; (h) the entity is a public administration entity.
Osiem kategorii, które ignorują wielkość. Jeśli wpadasz do którejkolwiek z nich, próg średniego przedsiębiorstwa Cię nie ratuje. Kategorie (d) do (g) to decyzje państwa członkowskiego: organ krajowy rozstrzyga, czy jesteś jedynym dostawcą, istotnym systemowo lub krytycznym na poziomie krajowym lub regionalnym. W Niemczech tę decyzję prowadzi BSI.
Zastosuj definicję wielkości
Policz swoich pracowników i zsumuj roczny obrót oraz sumę bilansową. Aby pozostać mikro, potrzebujesz mniej niż 10 pracowników ORAZ obrotu lub sumy bilansowej na poziomie 2 milionów euro lub poniżej. Aby pozostać małym, potrzebujesz mniej niż 50 pracowników ORAZ obrotu lub sumy bilansowej na poziomie 10 milionów euro lub poniżej. Przekrocz liczbę pracowników albo przekrocz próg finansowy, a przesuwasz się o jedno pasmo w górę.
Zsumuj przedsiębiorstwa powiązane
Załącznik do zalecenia 2003/361/WE artykuł 3 ust. 3 mówi, że jeśli przedsiębiorstwo dominujące posiada ponad 50 procent Twoich praw głosu, musisz zsumować liczbę ich pracowników i obrót ze swoimi. 30-osobowa spółka zależna 5000-osobowej grupy jest traktowana jako część tej grupy na potrzeby testu wielkości. Większość spółek zależnych traci wyłączenie dla małych przedsiębiorstw właśnie tutaj.
Sprawdź wyjątki z artykułu 2 ust. 2
Nawet jeśli przejdziesz kroki pierwszy i drugi, artykuł 2 ust. 2 NIS 2 może Cię nadal wciągnąć. Telekomunikacja, kwalifikowane usługi zaufania, DNS, rejestry TLD, jedyni dostawcy usługi kluczowej w Twoim państwie członkowskim, administracja publiczna. Organy krajowe mogą również wyznaczyć Cię jako krytycznego na poziomie krajowym lub regionalnym na podstawie artykułu 2 ust. 2 lit. g). Jeśli którykolwiek z nich pasuje, wyłączenie ze względu na wielkość znika.
Wyłączenie ze względu na wielkość jest początkiem analizy, a nie jej konkluzją
Artykuł 2 ust. 1 przeprowadza Cię tylko przez filtr pierwszy. Sektor załącznika I lub II, następnie średni lub większy. Nawet jeśli przejdziesz krok wielkości jako wyłączony, nadal musisz przejść przez artykuł 2 ust. 2. Mała firma może być objęta zakresem, ponieważ jest jedynym dostawcą DNS, kwalifikowanym dostawcą usług zaufania lub wyznaczonym jako krytyczna na poziomie krajowym. Czytanie ust. 1 bez ust. 2 to najczęstszy błąd dotyczący zakresu, jaki widzimy.
Reguła przedsiębiorstw powiązanych wyciąga większość spółek zależnych z wyłączenia
Artykuł 3 ust. 3 załącznika do zalecenia jest bezlitosny. Jeśli Twoje przedsiębiorstwo dominujące posiada ponad 50 procent Twoich praw głosu, liczba ich pracowników i obrót dodaje się do Twoich. Mały podmiot w dużej grupie kapitałowej prawie nigdy nie jest mały w tym reżimie. Operatorzy z Mittelstandu o strukturze holdingowej rutynowo odkrywają, że spółka zależna, którą uważali za wyłączoną, mieści się solidnie wewnątrz dyrektywy.
BSI Betroffenheitsprüfung
BSI prowadzi internetowy Betroffenheitsprüfung, w którym przechodzisz swój sektor na podstawie załącznika I lub II, swoją wielkość na podstawie zalecenia 2003/361/WE oraz wyjątki z artykułu 2 ust. 2. §28 BSIG transponuje artykuł 2 i dodaje krajowe specyfiki: rozstrzygnięcie o jedynych dostawcach i podmiotach krytycznych leży w gestii BSI. Wynikiem jest wiążąca samoklasyfikacja, którą musisz zarejestrować na podstawie §33 BSIG.
Wytyczne ENISA dotyczące zakresu i zalecenia
ENISA publikuje materiały o zakresie, które przechodzą filtry sektorowe i wielkościowe w tej samej kolejności, w jakiej używa ich dyrektywa. Komisja Europejska wydaje również Przewodnik użytkownika dotyczący definicji MŚP, który szczegółowo wyjaśnia zalecenie, w tym przepracowane przykłady dla przedsiębiorstw powiązanych i partnerskich. Oba są materiałem referencyjnym, a nie prawem, ale organy krajowe je przywołują.
Ta sama dyrektywa, inna mechanika samorejestracji
Każde państwo członkowskie transponuje artykuł 2 dosłownie, ponieważ reguły wielkości i wyjątków są ustalone prawem UE. Niderlandy prowadzą Cyberbeveiligingswet oraz internetową samoklasyfikację przez NCSC. Belgia używa Safeonweb przy CCB. Austria ma NISG z rejestracją opartą na portalu. Treść jest identyczna. Różni się to, w którym organie krajowym się rejestrujesz i w jakim języku mówi portal.
Jesteśmy mikroprzedsiębiorstwem, więc NIS 2 nas nie dotyczy.
Tylko krok pierwszy. Nadal musisz przejść artykuł 2 ust. 2. Dziewięcioosobowy dostawca DNS jest objęty zakresem. Sześcioosobowy kwalifikowany dostawca usług zaufania jest objęty zakresem. Mały podmiot wyznaczony przez BSI jako jedyny dostawca usługi kluczowej w Niemczech jest objęty zakresem. Pasmo wielkości to pierwszy filtr, a nie ostateczna odpowiedź.
Mamy poniżej 50 pracowników, więc liczymy się jako mali.
Przeczytaj uważnie artykuł 2 ust. 2 załącznika do zalecenia. Małe wymaga mniej niż 50 pracowników ORAZ obrotu lub sumy bilansowej na poziomie 10 milionów euro lub poniżej. Przekrocz którykolwiek próg, a przesuwasz się do średniego. 45-osobowa firma doradcza z 12 milionami euro obrotu jest średnim przedsiębiorstwem na podstawie zalecenia, a to oznacza, że NIS 2 ma zastosowanie, jeśli sektor pasuje.
Nasze przedsiębiorstwo dominujące jest duże, ale działamy niezależnie, więc liczymy się samodzielnie.
Artykuł 3 ust. 3 załącznika do zalecenia jest strukturalny, a nie behawioralny. Jeśli przedsiębiorstwo dominujące posiada ponad 50 procent Twoich praw głosu, sumujesz. Codzienna niezależność nie ma znaczenia dla testu wielkości. Przewodnik użytkownika Komisji Europejskiej dotyczący definicji MŚP wyjaśnia to z przepracowanymi przykładami. Większość spółek zależnych traci tutaj wyłączenie ze względu na wielkość.
Co widzimy w praktyce: 30-minutowa rozmowa o zakresie przechodzi najpierw przez załącznik I lub II, następnie liczby pracowników i finansowe, następnie kwestię przedsiębiorstw powiązanych, następnie artykuł 2 ust. 2. Kolejność ma znaczenie. Przeskoczenie wprost do wielkości, w sposób, w jaki większość doradców przedstawia pytanie, ukrywa zakres, który faktycznie masz.
Udokumentuj wynik. Krótka notatka o zakresie, która nazywa sektor na podstawie załącznika I lub II, wymienia liczby pracowników i obrotu, odnosi się do przedsiębiorstw powiązanych i przechodzi przez artykuł 2 ust. 2, to artefakt, którego chcesz, jeśli organ krajowy później zapyta, dlaczego samoklasyfikowałeś się jako poza zakresem. Jeśli jesteś objęty zakresem, musisz również zarejestrować się na podstawie artykułu 27 NIS 2 oraz odpowiedniego przepisu krajowego (w Niemczech: §33 BSIG).
Nasza bezpłatna kontrola stosowalności przechodzi trzy kroki w tej samej kolejności co dyrektywa. Sektor na podstawie załącznika I lub II, następnie test wielkości z zalecenia z sumowaniem przedsiębiorstw powiązanych, następnie wyjątki z artykułu 2 ust. 2. Otrzymujesz pisemny wynik dotyczący zakresu, który możesz zapisać lub udostępnić swojemu prawnikowi.
Jeśli wynik wskazuje na objęcie zakresem, platforma ustawia Twój rejestr obowiązków względem środków z artykułu 21 oraz krajowych kanałów sprawozdawczych, które musisz spełnić. Jeśli jesteś poza zakresem na podstawie artykułu 2 ust. 1, ale chcesz mieć możliwy do obrony zapis powodu, strona wyniku daje Ci notatkę z udokumentowanymi wszystkimi trzema krokami oraz linkami do źródeł na poziomie cytowania.
- Dyrektywa (UE) 2022/2555 (NIS 2), artykuł 2 - eur-lex.europa.eu/eli/dir/2022/2555/oj
- Zalecenie Komisji 2003/361/WE z dnia 6 maja 2003 r. dotyczące definicji mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw, załącznik artykuły 2 i 3 - eur-lex.europa.eu/eli/reco/2003/361/oj
- Komisja Europejska, Przewodnik użytkownika dotyczący definicji MŚP (Urząd Publikacji, najnowsze wydanie)
- Ustawa o BSI (BSIG), §28 w brzmieniu zmienionym przez ustawę o wdrożeniu NIS2 i wzmocnieniu cyberbezpieczeństwa
- BSI Betroffenheitsprüfung oraz NIS 2 Infopakete - bsi.bund.de/dok/nis-2-infopakete
- Materiały ENISA dotyczące zakresu NIS 2 oraz CIR (UE) 2024/2690 Technical Implementation Guidance