Kto podlega zakresowi NIS 2: pełny test z artykułu 2
Artykuł 2 NIS 2 ustanawia jeden test stosowalności obowiązujący w całej UE. Trzy części: sektor (załącznik I lub II), wielkość (średnie lub większe wedle zalecenia 2003/361/WE) oraz przesłanki obejmujące niezależnie od wielkości. Ta strona przeprowadza przez całość w kolejności, tak jak musi to odczytać test stosowalności.
Wersja skrócona
Istnieje jeden obowiązujący w całej UE test tego, czy NIS 2 cię wiąże. Mieści się on w artykule 2 dyrektywy. Ma trzy ruchome części. Sektor. Wielkość. Przesłanka obejmująca. Większość objaśnień omawia pierwsze dwie i się zatrzymuje. Trzecia jest miejscem, gdzie wciągane są małe podmioty i gdzie zdarza się najwięcej niespodzianek.
Artykuł 2 ust. 1 to przypadek podstawowy. Podlegasz, jeżeli mieścisz się w sektorze wymienionym w załączniku I (sektory kluczowe) lub załączniku II (inne sektory krytyczne) i jesteś co najmniej średnim przedsiębiorstwem wedle zalecenia 2003/361/WE. Artykuł 2 ust. 2 wymienia następnie przypadki, w których podlegasz niezależnie od wielkości. Telekomunikacja, dostawcy usług zaufania, DNS, rejestry TLD, jedyni dostawcy usług kluczowych, podmioty administracji publicznej i kilka innych. Poniżej progu wielkości nie oznacza poza zakresem.
Niemcy wprowadzają ten sam test do prawa krajowego poprzez §28 BSIG. Treść jest identyczna. Mechanika (który organ, który formularz, który termin) jest krajowa. Przeprowadź test raz, zapisz wynik, zachowaj go w aktach. Ten dokument jest twoją oceną stosowalności.
Artykuł 2 ust. 1 dyrektywy NIS 2 (2022/2555)
Niniejsza dyrektywa ma zastosowanie do podmiotów publicznych lub prywatnych rodzaju, o którym mowa w załączniku I lub II, które kwalifikują się jako średnie przedsiębiorstwa na mocy art. 2 załącznika do zalecenia 2003/361/WE lub przekraczają pułapy dla średnich przedsiębiorstw przewidziane w ust. 1 tego artykułu i które świadczą swoje usługi lub prowadzą swoją działalność na terytorium Unii.
Test podstawowy. Sektor (załącznik I lub II), wielkość (średnie lub większe), usługa świadczona w Unii. Artykuł 2 ust. 2 dodaje następnie listę przypadków obejmujących niezależnie od wielkości. Artykuł 2 ust. 3 wciąga podmioty krytyczne z CER. Artykuły 2 ust. 5 do 2 ust. 11 wyłączają bezpieczeństwo narodowe, obronę, parlamenty, banki centralne i sektor finansowy (DORA, lex specialis na mocy artykułu 4).
Zalecenie 2003/361/WE, załącznik artykuł 2
Do kategorii mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw (MŚP) należą przedsiębiorstwa, które zatrudniają mniej niż 250 pracowników i których roczny obrót nie przekracza 50 milionów EUR lub roczna suma bilansowa nie przekracza 43 milionów EUR.
Oficjalna unijna definicja wielkości. Średnie zaczyna się od 50 pracowników oraz co najmniej 10 milionów EUR obrotu i 10 milionów EUR sumy bilansowej. NIS 2 obejmuje cię od średniego wzwyż. 'Przekracza pułapy dla średnich' w artykule 2 ust. 1 oznacza duże przedsiębiorstwo wedle tego samego zalecenia. Przedsiębiorstwa powiązane i partnerskie sumuje się, więc mała spółka zależna dużej spółki dominującej często liczy się jako duża.
§28 BSIG (Niemcy)
Besonders wichtige Einrichtungen sind Einrichtungen einer in Anlage 1 genannten Art und Größe; wichtige Einrichtungen sind Einrichtungen einer in Anlage 2 genannten Art und Größe.
Niemcy dzielą dwie unijne kategorie na 'besonders wichtige' (kluczowe) i 'wichtige' (ważne) Einrichtungen przy użyciu Anlagen 1 i 2 BSIG, które odzwierciedlają załączniki I i II dyrektywy. Progi wielkości i przypadki obejmujące niezależnie od wielkości wynikają z tekstu unijnego. Inne państwa członkowskie mają własne ustawy transponujące (NL Cyberbeveiligingswet, AT NISG, FR ordonnance n° 2024-1184), korzystające z tego samego unijnego progu minimalnego.
Załącznik I czy załącznik II?
Załącznik I (sektory kluczowe, 11 sektorów): energetyka, transport, bankowość, infrastruktura rynków finansowych, ochrona zdrowia, woda pitna, ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT (B2B, MSP i MSSP), administracja publiczna, przestrzeń kosmiczna. Załącznik II (inne sektory krytyczne, 7 sektorów): usługi pocztowe i kurierskie, gospodarowanie odpadami, chemikalia, żywność, produkcja (wyroby medyczne, elektronika, sprzęt elektryczny, maszyny, pojazdy), dostawcy cyfrowi (internetowe platformy handlowe, wyszukiwarki, sieci społecznościowe), badania naukowe. Jeżeli twoja usługa lub działalność mieści się w którymkolwiek z załączników, przejdź do testu wielkości.
Średnie przedsiębiorstwo lub większe?
Zalecenie 2003/361/WE definiuje średnie jako 50 pracowników lub więcej ALBO obrót na poziomie co najmniej 10 milionów EUR ORAZ sumę bilansową na poziomie co najmniej 10 milionów EUR. Artykuł 2 ust. 1 obejmuje cię od średniego wzwyż. Stosuje się sumowanie przedsiębiorstw powiązanych: jeżeli spółka dominująca kontroluje ponad 50 procent głosów, liczbę zatrudnionych i obrót łączy się. Spółka zależna licząca 30 osób, należąca do grupy liczącej 5000 osób, liczy się jako część danych tej grupy.
Czy artykuł 2 ust. 2 lub 2 ust. 3 wciąga cię niezależnie od wielkości?
Artykuł 2 ust. 2 uchyla test wielkości dla: dostawców publicznych sieci lub usług łączności elektronicznej; dostawców usług zaufania (eIDAS); rejestrów nazw TLD i dostawców usług DNS (z wyłączeniem operatorów głównych serwerów nazw); jedynych dostawców w państwie członkowskim usługi kluczowej dla krytycznej działalności społecznej lub gospodarczej; podmiotów, których zakłócenie mogłoby znacząco wpłynąć na bezpieczeństwo publiczne, porządek publiczny lub zdrowie publiczne, lub wywołać ryzyko systemowe, albo które są krytyczne dla sektora lub sektorów współzależnych; podmiotów administracji publicznej. Artykuł 2 ust. 3 wciąga podmioty wskazane jako krytyczne na mocy dyrektywy CER (odporność podmiotów krytycznych). Artykuł 2 ust. 4 pozwala państwom członkowskim wciągnąć regionalną administrację publiczną.
Test przeprowadza się per podmiot prawny, a nie per grupa
Artykuł 2 ust. 1 wiąże obowiązki z podmiotem, a nie z grupą kapitałową. Struktura holdingowa z pięcioma podmiotami prawnymi przeprowadza test pięć razy. Stosowalność i obowiązki spoczywają na podmiocie prawnym objętym zakresem. Usługi grupowe mogą wdrażać środki centralnie, lecz adresatem prawnym jest podmiot. Tam, gdzie dane przedsiębiorstw powiązanych zmieniają wielkość spółki zależnej, zmienia to jedynie dane wejściowe do testu wielkości, a nie to, kto dźwiga obowiązek. Zobacz także stronę o zakresie spółek zależnych i holdingów.
Poniżej progu wielkości nie oznacza poza zakresem
Artykuł 2 ust. 2 to pułapka, w którą wchodzą małe podmioty. Dostawcy telekomunikacji, dostawcy usług zaufania, dostawcy DNS, rejestry TLD, jedyni dostawcy usług kluczowych i niektóre podmioty administracji publicznej są objęci niezależnie od wielkości. Pięcioosobowy dostawca usług zaufania eIDAS podlega zakresowi. Dwudziestoosobowy dostawca DNS podlega zakresowi. Test wielkości dotyczy wyłącznie przypadku podstawowego; sprawdź listę przesłanek obejmujących, zanim napiszesz 'poza zakresem'.
BSI / §28 BSIG i narzędzie stosowalności
BSI publikuje na swojej stronie narzędzie 'Betroffenheitsprüfung', które przeprowadza przez Anlage 1 i Anlage 2 BSIG. Podmioty klasyfikują się same i rejestrują przez portal rejestracyjny BSI. §28 BSIG dzieli zakres na 'besonders wichtige' (kluczowe, głównie załącznik I) i 'wichtige' (ważne, głównie załącznik II) Einrichtungen, z różnymi pułapami kar na podstawie §65 BSIG.
Tracker transpozycji ENISA
ENISA, unijna agencja ds. cyberbezpieczeństwa, publikuje tracker transpozycji pokazujący, na jakim etapie wdrażania NIS 2 do prawa krajowego znajduje się każde państwo członkowskie. Według stanu na maj 2026 kilka państw zostało skierowanych do TSUE z powodu opóźnionej transpozycji. Sama dyrektywa obowiązuje od 18 października 2024 niezależnie od tego; prawo krajowe dodaje jedynie lokalną infrastrukturę egzekwowania.
Krajowe ustawy transponujące
Niderlandy: Cyberbeveiligingswet (NCSC jako organ właściwy). Austria: NISG (BMI). Francja: ordonnance n° 2024-1184 (ANSSI). Belgia: NIS2-Wet (CCB). Test zakresu jest identyczny, ponieważ załączniki I i II mają charakter unijny. Różni się: portale rejestracyjne, terminy zgłaszania na podstawie krajowego prawa proceduralnego, z którym organem rozmawiasz najpierw.
Mamy poniżej 50 pracowników, więc NIS 2 nas nie dotyczy.
Niekoniecznie. Artykuł 2 ust. 2 wciąga dostawców telekomunikacji, usług zaufania, DNS, rejestrów TLD, jedynych dostawców usług kluczowych i niektóre podmioty administracji publicznej niezależnie od wielkości. Czteroosobowy dostawca usług zaufania eIDAS podlega zakresowi. Przeprowadź sprawdzenie przesłanek obejmujących, zanim zatrzymasz się na progu wielkości.
Jesteśmy podmiotem sektora publicznego, więc jesteśmy poza zakresem.
To zależy. Artykuł 2 ust. 2 lit. i obejmuje podmioty administracji publicznej na szczeblu centralnym oraz (gdy państwo członkowskie tak postanowi) regionalnym. Artykuły 2 ust. 5 do 2 ust. 11 wyłączają bezpieczeństwo narodowe, obronę, ściganie przestępstw, sądownictwo, parlamenty i banki centralne, lecz większość pozostałych podmiotów administracji publicznej podlega zakresowi. §28 BSIG w Niemczech i narzędzie stosowalności BSI pokazują lokalny przekrój.
Nasza spółka zależna jest mała, więc jest poza zakresem.
Sumowanie przedsiębiorstw powiązanych na mocy zalecenia 2003/361/WE dodaje liczbę zatrudnionych i obrót spółki dominującej do danych spółki zależnej, gdy spółka dominująca kontroluje ponad 50 procent głosów. Spółka zależna licząca 30 osób, należąca do grupy liczącej 5000 osób, przeprowadza test wielkości na danych łącznych, a nie lokalnych. Zobacz stronę o zakresie spółek zależnych i holdingów po pełną zasadę.
Pełny test z artykułu 2 zajmuje około dziesięciu minut, jeżeli przeprowadzisz go w kolejności. Najpierw sektor (jedno spojrzenie na załączniki I i II). Następnie wielkość (twoje najnowsze dane roczne wraz z sumowaniem przedsiębiorstw powiązanych, jeżeli masz spółkę dominującą). Potem przesłanki obejmujące (artykuł 2 ust. 2, 2 ust. 3, 2 ust. 4 i wyłączenia 2 ust. 5 do 2 ust. 11). Następnie wynik. Trzy strony notatek wystarczą.
Zapisz to. Opatrz datą. Podpisz. Ten dokument jest twoją Anwendbarkeitsprüfung. Krajowe organy oczekują, że będziesz w stanie wykazać, jak doszedłeś do 'w zakresie' lub 'poza zakresem', a nie tylko sam wniosek. Jeżeli dane się zmienią (fuzja, nowa linia biznesowa, przekroczenie progu), przeprowadź test ponownie i zachowaj poprzednią wersję. Ścieżka audytowa decyzji ma takie samo znaczenie jak sama decyzja.
Test stosowalności na nisd2.eu przeprowadza przez całe drzewo artykułu 2, w kolejności. Wybór sektora z załączników I i II. Wielkość z sumowaniem przedsiębiorstw powiązanych. Lista przesłanek obejmujących z artykułu 2 ust. 2 i 2 ust. 3. Wyłączenia z artykułu 2 ust. 5 do 2 ust. 11. Wynikiem jest pisemna Anwendbarkeitsprüfung z twoim sektorem, liczbą zatrudnionych i danymi o obrocie, statusem przesłanki obejmującej oraz klasyfikacją (besonders wichtig, wichtig lub poza zakresem).
Test jest bezpłatny. Otrzymujesz dokument jako PDF oraz jako wersjonowany rekord wewnątrz platformy. Przeprowadzaj go ponownie, ilekroć zmieniają się twoje dane. Każda wersja jest opatrzona znacznikiem czasu i podpisana przez użytkownika, który ją przeprowadził, dzięki czemu ścieżka audytowa jest wbudowana.
- Dyrektywa (UE) 2022/2555 (NIS 2), artykuł 2 oraz załączniki I i II — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Zalecenie Komisji 2003/361/WE, definicja mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw — eur-lex.europa.eu/eli/reco/2003/361/oj
- Dyrektywa (UE) 2022/2557 (CER), odporność podmiotów krytycznych — eur-lex.europa.eu/eli/dir/2022/2557/oj
- Ustawa o BSI (BSIG), §28 w brzmieniu nadanym ustawą NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz
- BSI Betroffenheitsprüfung — bsi.bund.de/dok/nis-2-betroffenheitspruefung
- Tracker transpozycji NIS 2 ENISA (według stanu na maj 2026)