Spółka zależna i spółka holdingowa w ramach NIS 2
Zakres oceniany jest dla każdego podmiotu prawnego zgodnie z Artykułem 2 NIS 2. Ale test wielkości, poprzez zalecenie Komisji 2003/361/WE, sumuje całą grupę razem.
Wersja skrócona
NIS 2 patrzy na każdy podmiot prawny z osobna. Twoja spółka zależna nie zostaje objęta zakresem tylko dlatego, że jest nim spółka matka. Dyrektywa stosuje się do podmiotów, które same wykonują coś wymienionego w Załączniku I lub II i które same przekraczają próg wielkości.
Haczyk tkwi w teście wielkości. Artykuł 6(2) NIS 2 odsyła do definicji MŚP w zaleceniu Komisji 2003/361/WE. Zalecenie to dodaje 100 procent liczby pracowników i danych finansowych każdej kontrolowanej większościowo jednostki powiązanej do jednej wartości.
Zatem właściwe pytanie nie brzmi "czy nasza spółka matka jest objęta zakresem". Składa się z dwóch części. Po pierwsze: czy ten konkretny podmiot sam wykonuje coś z Załącznika I lub II? Po drugie: czy po dodaniu danych z reszty grupy przekraczamy próg średniego przedsiębiorstwa?
Artykuł 2 NIS 2 (zakres)
Niniejsza dyrektywa ma zastosowanie do podmiotów publicznych lub prywatnych rodzaju, o którym mowa w Załączniku I lub II, które kwalifikują się jako średnie przedsiębiorstwa zgodnie z Artykułem 2 Załącznika do zalecenia 2003/361/WE lub przekraczają pułapy dla średnich przedsiębiorstw przewidziane w ustępie 1 tego Artykułu i które świadczą swoje usługi lub prowadzą swoją działalność na terenie Unii.
Zakres przypisany jest do podmiotu, który sam wykonuje działalność z Załącznika I lub II. Artykuł 2(2) i (3) dodają nadrzędne reguły 'niezależnie od wielkości' (DNS, rejestry TLD, kwalifikowani dostawcy usług zaufania, dostawcy publicznych sieci łączności elektronicznej, jedyni dostawcy usług kluczowych i inni), które obejmują poszczególne podmioty nawet poniżej pułapu MŚP.
Zalecenie Komisji 2003/361/WE, Załącznik Art. 3 (przedsiębiorstwa powiązane)
Przedsiębiorstwa powiązane to przedsiębiorstwa, które pozostają ze sobą w którymkolwiek z następujących stosunków: (a) przedsiębiorstwo posiada większość praw głosu udziałowców lub członków w innym przedsiębiorstwie; (b) przedsiębiorstwo ma prawo powoływać lub odwoływać większość członków organu administracyjnego, zarządzającego lub nadzorczego innego przedsiębiorstwa. Do danych danego przedsiębiorstwa dodaje się 100 procent danych każdego przedsiębiorstwa powiązanego z nim bezpośrednio lub pośrednio, jeżeli dane te nie zostały już uwzględnione w drodze konsolidacji w sprawozdaniach.
To jest reguła, którą importuje Artykuł 6(2) NIS 2. 30-osobowa spółka zależna należąca w większości do 400-osobowej spółki matki jest liczona jako część 430-osobowej grupy do testu wielkości. Motyw 16 pozwala państwom członkowskim uwzględnić niezależność operacyjną, ale punktem wyjścia jest: zsumuj dane.
§28 BSIG (Niemcy, przykład transpozycji)
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind Einrichtungen, die einer in Anlage 1 oder Anlage 2 aufgeführten Einrichtungsart angehören und die die in §28 BSIG genannten Schwellenwerte erreichen.
BSIG zachowuje logikę per podmiot. BSI odczytuje test wielkości przez zalecenie 2003/361/WE i dlatego sumuje dane przedsiębiorstw powiązanych. Inne państwa członkowskie stosują to samo zalecenie. Brzmienie transpozycji się różni. Mechanizm nie.
Czy ten podmiot mieści się w Załączniku I lub II?
Zapytaj, czy ta konkretna spółka zależna sama wykonuje coś wymienionego w Załączniku I (o wysokiej krytyczności) lub Załączniku II (inne sektory krytyczne) NIS 2. Czysty holding, który tylko posiada udziały i księguje dywidendy, zazwyczaj tego nie robi. Spółka operacyjna prowadząca oczyszczalnię ścieków, szpital, MSP lub linię produkcyjną zazwyczaj tak.
Czy sam podmiot jest wystarczająco duży?
Weź własną liczbę pracowników i dane finansowe podmiotu. Jeśli sam już spełnia próg średniego przedsiębiorstwa (50 lub więcej pracowników albo obrót powyżej 10 milionów euro przy sumie bilansowej powyżej 10 milionów euro), test wielkości jest zakończony. Nie musisz dodawać grupy.
Dodaj dane grupy
Jeśli podmiot sam jest poniżej progu, dodaj 100 procent liczby pracowników i danych finansowych każdej kontrolowanej większościowo jednostki powiązanej oraz kontrolującej spółki matki zgodnie z Załącznikiem Art. 3 2003/361/WE. Jeśli połączona wartość przekracza próg, podmiot spełnia test wielkości poprzez swoją grupę. Motyw 16 pozwala argumentować niezależność przed regulatorem. Ale jest to wyjątek, który musisz udowodnić, a nie plan, na którym możesz polegać.
Zakres jest per podmiot prawny (Artykuł 2 NIS 2)
Dyrektywa nie ma koncepcji 'grupy objętej zakresem'. Stosuje się do każdego podmiotu, który sam wykonuje objętą działalność. Status spółki matki, holdingu lub spółek siostrzanych nie przenosi się na Twój podmiot. Twój podmiot jest objęty zakresem tylko wtedy, gdy sam się kwalifikuje.
Wielkość jest sumowana zgodnie z 2003/361/WE
Test wielkości korzysta z zalecenia w sprawie MŚP. Liczy dane przedsiębiorstw powiązanych w 100 procentach. Mała spółka zależna w dużej grupie zazwyczaj będzie liczona jako średnie lub duże przedsiębiorstwo do testu wielkości, nawet jeśli jej własne zatrudnienie jest niewielkie. To jest mechanizm, który wciąga wiele małych spółek zależnych w zakres.
§28 BSIG i wytyczne BSI dotyczące zakresu
Niemcy dokonują transpozycji przez §28 BSIG. Opublikowane wytyczne BSI odczytują test wielkości przez zalecenie 2003/361/WE i sumują dane przedsiębiorstw powiązanych. Spółki zależne rejestrują się i zgłaszają samodzielnie, jeśli same przejdą test. Holding nie rejestruje się w ich imieniu.
ENISA i zalecenie w sprawie MŚP
Materiały ENISA dotyczące zakresu są zgodne z dyrektywą: zakres jest per podmiot, wielkość agreguje się zgodnie z 2003/361/WE. Nie ma skrótu 'rejestracja grupy'. Argument o niezależności z Motywu 16 istnieje. Ale jest to wyjątek, który musisz udowodnić, a nie droga planowania.
Przykłady transpozycji NL, AT, FR
Niderlandzka Cyberbeveiligingswet, austriacka NISG-Neufassung i francuska Ordonnance n. 2024-1233 wszystkie zachowują zakres per podmiot i importują zalecenie w sprawie MŚP. Brzmienie się różni. Reguła agregacji przedsiębiorstw powiązanych nie.
Nasza spółka matka jest objęta zakresem, więc my też.
Nie. Zakres jest per podmiot prawny zgodnie z Artykułem 2 NIS 2. Klasyfikacja spółki matki nie wiąże spółki zależnej. Twoja spółka zależna jest objęta zakresem tylko wtedy, gdy sama wykonuje działalność z Załącznika I lub II i sama spełnia próg wielkości (ewentualnie poprzez agregację przedsiębiorstw powiązanych).
Możemy pozostać poza zakresem, dzieląc się na mniejsze spółki zależne.
Nie. Zalecenie w sprawie MŚP dodaje 100 procent danych przedsiębiorstw powiązanych. Podział 200-osobowej firmy na cztery 50-osobowe spółki GmbH, które pozostają w większościowej własności tej samej spółki matki, nie obchodzi testu wielkości. Podział korporacyjny jest niewidoczny dla obliczenia 2003/361/WE.
Holding rejestruje się i zgłasza za całą grupę.
Nie. Każdy objęty zakresem podmiot prawny rejestruje się samodzielnie u właściwego organu (w Niemczech przez portal.bsi.bund.de) i składa własne zgłoszenia incydentów zgodnie z Artykułem 23 NIS 2. Holding może koordynować operacyjnie. Nie może zastąpić swoją rejestracją obowiązków spółek zależnych.
W grupach, które widzimy, pytanie niemal zawsze ląduje na kroku 3. Spółka operacyjna wykonuje coś z Załącznika I lub II. Sama jest mała. Wewnątrz grupy plasuje się powyżej 50 pracowników lub powyżej 10 milionów euro obrotu. Zgodnie z 2003/361/WE to ją wciąga.
Dźwignią jest argument o niezależności z Motywu 16. Jeśli spółka zależna jest naprawdę niezależna w sposobie działania (własny organ zarządzający, własne umowy z klientami, własne decyzje, brak alokacji kosztów grupowych decydującej o jej modelu biznesowym), krajowy organ może potraktować ją jako samodzielną do testu wielkości. Spisz niezależność, zanim na niej polegniesz. Nie zakładaj jej.
Sprawdzenie objęcia zakresem przeprowadza przez przynależność do sektorów z Załącznika I i II dla konkretnego podmiotu, a następnie test wielkości z wbudowaną agregacją przedsiębiorstw powiązanych. Wynikiem jest pisemna ocena objęcia zakresem z sektorem, danymi o wielkości, danymi wejściowymi przedsiębiorstw powiązanych i końcową klasyfikacją (kluczowy, ważny lub poza zakresem).
Dla grup z kilkoma spółkami operacyjnymi każdy podmiot przeprowadza własne sprawdzenie i, jeśli jest objęty zakresem, własny rejestr obowiązków. Platforma obsługuje osobną przestrzeń roboczą dla każdego podmiotu prawnego, dzięki czemu rejestracje, zgłoszenia incydentów i zatwierdzenia kierownictwa przypisane są do właściwego zarejestrowanego podmiotu.
- Dyrektywa NIS 2 (UE) 2022/2555, Art. 2 (zakres), Art. 6 (definicje), Motyw 16 (przedsiębiorstwa powiązane i niezależność) — EUR-Lex, eli/dir/2022/2555/oj
- Zalecenie Komisji 2003/361/WE z dnia 6 maja 2003 r., Załącznik Art. 2 (definicja MŚP) i Załącznik Art. 3 (przedsiębiorstwa powiązane, agregacja 100 procent) — EUR-Lex, CELEX 32003H0361
- BSIG (Niemcy), §28 (klasyfikacja podmiotów kluczowych i ważnych) — gesetze-im-internet.de
- FAQ BSI dotyczące zakresu dla podmiotów NIS 2 (specyficzne dla sektora) — bsi.bund.de, NIS-2-FAQ-sektorspezifisch
- Materiały referencyjne ENISA dotyczące zakresu NIS 2 i zalecenia w sprawie MŚP — enisa.europa.eu