A isenção de micro e pequena empresa na NIS 2
Ao abrigo do Artigo 2(1) da NIS 2, a diretiva aplica-se apenas a entidades médias e maiores. Esse é o título. A realidade é um teste em três passos: a definição de dimensão da Recomendação 2003/361/CE, a regra das empresas associadas, e as exceções do Artigo 2(2) que voltam a trazer micro e pequenas entidades para o âmbito.
A versão curta
A NIS 2 fixa um piso de dimensão. Por defeito, a diretiva aplica-se apenas a entidades que atingem ou ultrapassam o limiar de média empresa ao abrigo da Recomendação 2003/361/CE: 50 trabalhadores ou mais, ou volume de negócios anual acima de 10 milhões de euros, ou total do balanço acima de 10 milhões de euros. As micro e pequenas entidades situam-se abaixo desse piso.
Isto parece simples. Não é. A Recomendação tem as suas próprias regras de cálculo. O Artigo 3(3) do seu Anexo diz que, se uma empresa-mãe detém mais de 50 por cento dos direitos de voto numa filial, tem de agregar os efetivos e o volume de negócios. Uma pequena filial de um grande grupo não é uma pequena entidade ao abrigo deste regime.
O Artigo 2(2) da NIS 2 nomeia depois categorias que entram independentemente da dimensão. Telecomunicações, prestadores qualificados de serviços de confiança, DNS, registos de nomes de TLD, único prestador de um serviço essencial num Estado-Membro, entidades da administração pública, e mais algumas. Se se enquadrar numa dessas, o teste de dimensão não o salva. A isenção é o início da análise, não o fim.
Artigo 2(1) Diretiva NIS 2 (2022/2555)
This Directive applies to public or private entities of a type referred to in Annex I or II which qualify as medium-sized enterprises under Article 2 of the Annex to Recommendation 2003/361/EC, or exceed the ceilings for medium-sized enterprises provided for in paragraph 1 of that Article, and which provide their services or carry out their activities within the Union.
Esta é a regra de âmbito por defeito. Dois filtros numa frase: o seu setor tem de estar no Anexo I ou II, e tem de ser pelo menos médio ao abrigo da Recomendação 2003/361/CE. Abaixo de médio, a diretiva não se aplica por defeito.
Artigo 2(2) e (3), Anexo à Recomendação 2003/361/CE
The category of micro, small and medium-sized enterprises (SMEs) is made up of enterprises which employ fewer than 250 persons and which have an annual turnover not exceeding EUR 50 million, and/or an annual balance sheet total not exceeding EUR 43 million. Within the SME category, a small enterprise is defined as an enterprise which employs fewer than 50 persons and whose annual turnover and/or annual balance sheet total does not exceed EUR 10 million. Within the SME category, a microenterprise is defined as an enterprise which employs fewer than 10 persons and whose annual turnover and/or annual balance sheet total does not exceed EUR 2 million.
A Recomendação dá-lhe os números. Micro: menos de 10 trabalhadores E volume de negócios ou balanço até 2 milhões de euros. Pequena: menos de 50 trabalhadores E volume de negócios ou balanço até 10 milhões de euros. Média: a partir de 50 trabalhadores até 249 OU volume de negócios acima de 10 milhões de euros. Para se manter abaixo de um escalão de dimensão tem de estar abaixo em efetivos E abaixo em volume de negócios ou balanço. Ultrapasse qualquer um e subiu de escalão.
Artigo 2(2) NIS 2 (independentemente da dimensão)
Regardless of their size, this Directive applies to entities of a type referred to in Annex I or II, where: (a) services are provided by providers of public electronic communications networks or of publicly available electronic communications services; (b) services are provided by trust service providers; (c) top-level domain name registries and domain name system service providers; (d) the entity is the sole provider in a Member State of a service which is essential for the maintenance of critical societal or economic activities; (e) a disruption of the service provided by the entity could have a significant impact on public safety, public security or public health; (f) a disruption of the service provided by the entity could induce a significant systemic risk, in particular for sectors where such disruption could have a cross-border impact; (g) the entity is critical because of its specific importance at national or regional level for the particular sector or type of service, or for other interdependent sectors in the Member State; (h) the entity is a public administration entity.
Oito categorias que ignoram a dimensão. Se se enquadrar em qualquer uma delas, o limiar de média empresa não o salva. As categorias (d) a (g) são decisões do Estado-Membro: a autoridade nacional decide se é um único prestador, sistemicamente importante, ou crítico a nível nacional ou regional. Na Alemanha, é o BSI que faz essa determinação.
Aplique a definição de dimensão
Conte os seus efetivos e some o volume de negócios anual e o total do balanço. Para se manter micro, precisa de menos de 10 trabalhadores E volume de negócios ou balanço igual ou inferior a 2 milhões de euros. Para se manter pequeno, precisa de menos de 50 trabalhadores E volume de negócios ou balanço igual ou inferior a 10 milhões de euros. Ultrapasse o número de efetivos, ou ultrapasse o limiar financeiro, e sobe de escalão.
Agregue as empresas associadas
O Artigo 3(3) do Anexo à Recomendação 2003/361/CE diz que, se uma empresa-mãe detém mais de 50 por cento dos seus direitos de voto, tem de agregar os efetivos e o volume de negócios dela com os seus. Uma filial de 30 pessoas de um grupo de 5 000 pessoas é tratada como parte desse grupo para o teste de dimensão. A maioria das filiais perde a isenção de pequena empresa precisamente aqui.
Verifique as exceções do Artigo 2(2)
Mesmo que passe os passos um e dois, o Artigo 2(2) da NIS 2 pode ainda assim incluí-lo. Telecomunicações, serviços de confiança qualificados, DNS, registos de TLD, único prestador de um serviço essencial no seu Estado-Membro, administração pública. As autoridades nacionais também o podem designar como crítico a nível nacional ou regional ao abrigo do Artigo 2(2)(g). Se alguma destas se aplicar, a isenção de dimensão desaparece.
A isenção de dimensão é o início da análise, não a conclusão
O Artigo 2(1) só o faz passar pelo primeiro filtro. Setor do Anexo I ou II, depois médio ou maior. Mesmo que passe o passo da dimensão como isento, tem ainda de percorrer o Artigo 2(2). Uma pequena empresa pode estar no âmbito por ser o único prestador de DNS, um prestador qualificado de serviços de confiança, ou por ser designada como crítica a nível nacional. Ler o 2(1) sem o 2(2) é o erro de âmbito mais comum que vemos.
A regra das empresas associadas retira a maioria das filiais da isenção
O Artigo 3(3) do Anexo à Recomendação é implacável. Se a sua empresa-mãe detém mais de 50 por cento dos seus direitos de voto, os efetivos e o volume de negócios dela são somados aos seus. Uma pequena entidade num grande grupo empresarial quase nunca é pequena ao abrigo deste regime. Operadores de Mittelstand com uma estrutura de holding descobrem rotineiramente que a filial que julgavam isenta se situa firmemente dentro da diretiva.
BSI Betroffenheitsprüfung
O BSI gere uma Betroffenheitsprüfung online onde percorre o seu setor ao abrigo do Anexo I ou II, a sua dimensão ao abrigo da Recomendação 2003/361/CE, e as exceções do Artigo 2(2). O §28 BSIG transpõe o Artigo 2 e acrescenta especificidades nacionais: a determinação de únicos prestadores e entidades críticas cabe ao BSI. O resultado é uma autoclassificação vinculativa que tem de registar ao abrigo do §33 BSIG.
ENISA: orientações de âmbito e da Recomendação
A ENISA publica material de definição de âmbito que percorre os filtros setorial e de dimensão pela mesma ordem que a diretiva usa. A Comissão Europeia também emite um Guia do Utilizador da Definição de PME que explica a Recomendação em detalhe, incluindo exemplos resolvidos para empresas associadas e parceiras. Ambos são material de referência, não lei, mas os reguladores nacionais citam-nos.
Mesma diretiva, diferente mecânica de autorregisto
Cada Estado-Membro transpõe o Artigo 2 textualmente porque as regras de dimensão e de exceção são fixadas por direito da UE. Os Países Baixos gerem a Cyberbeveiligingswet e uma autoclassificação online através do NCSC. A Bélgica usa o Safeonweb no CCB. A Áustria tem a NISG com registo baseado em portal. A substância é idêntica. O que difere é a autoridade nacional onde se regista e a língua que o portal fala.
Somos uma microempresa, por isso a NIS 2 não se aplica a nós.
Só o primeiro passo. Tem ainda de passar pelo Artigo 2(2). Um prestador de DNS de nove pessoas está no âmbito. Um prestador qualificado de serviços de confiança de seis pessoas está no âmbito. Uma pequena entidade designada pelo BSI como o único prestador de um serviço essencial na Alemanha está no âmbito. O escalão de dimensão é o primeiro filtro, não a resposta final.
Temos menos de 50 trabalhadores, por isso contamos como pequenos.
Leia o Artigo 2(2) do Anexo à Recomendação com atenção. Pequena exige menos de 50 trabalhadores E volume de negócios ou balanço igual ou inferior a 10 milhões de euros. Ultrapasse qualquer dos limiares e passa a média. Uma consultora de 45 pessoas com 12 milhões de euros de volume de negócios é média ao abrigo da Recomendação, e isso significa que a NIS 2 se aplica se o setor encaixar.
A nossa empresa-mãe é grande, mas funcionamos de forma independente, por isso contamos por nós próprios.
O Artigo 3(3) do Anexo à Recomendação é estrutural, não comportamental. Se a empresa-mãe detém mais de 50 por cento dos seus direitos de voto, agrega. A independência do dia a dia não conta para o teste de dimensão. O Guia do Utilizador da Definição de PME da Comissão Europeia explica isto com exemplos resolvidos. A maioria das filiais perde aqui a isenção de dimensão.
O que vemos na prática: uma chamada de definição de âmbito de 30 minutos percorre primeiro o Anexo I ou II, depois os números de efetivos e financeiros, depois a questão das empresas associadas, depois o Artigo 2(2). A ordem importa. Saltar diretamente para a dimensão, como a maioria dos consultores apresenta a questão, esconde âmbito que de facto tem.
Documente o resultado. Um memorando de âmbito curto que nomeia o setor ao abrigo do Anexo I ou II, lista os números de efetivos e de volume de negócios, aborda as empresas associadas e percorre o Artigo 2(2) é o artefacto que vai querer se uma autoridade nacional perguntar mais tarde por que se autoclassificou como fora do âmbito. Se estiver no âmbito, precisa também de se registar ao abrigo do Artigo 27 da NIS 2 e da disposição nacional aplicável (na Alemanha: §33 BSIG).
A nossa verificação de aplicabilidade gratuita percorre os três passos pela mesma ordem que a diretiva. Setor ao abrigo do Anexo I ou II, depois o teste de dimensão da Recomendação com agregação de empresas associadas, depois as exceções do Artigo 2(2). Obtém um resultado de âmbito escrito que pode guardar ou partilhar com o seu advogado.
Se o resultado for dentro do âmbito, a plataforma configura o seu registo de obrigações contra as medidas do Artigo 21 e os canais nacionais de notificação que tem de cumprir. Se estiver fora do âmbito pelo Artigo 2(1) mas quiser um registo defensável do porquê, a página de resultado dá-lhe um memorando com os três passos documentados e ligações às fontes com qualidade de citação.
- Diretiva (UE) 2022/2555 (NIS 2), Artigo 2. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Recomendação 2003/361/CE da Comissão, de 6 de maio de 2003, relativa à definição de micro, pequenas e médias empresas, Anexo Artigos 2 e 3. eur-lex.europa.eu/eli/reco/2003/361/oj
- Comissão Europeia, Guia do Utilizador da Definição de PME (Serviço das Publicações, edição mais recente)
- Lei do BSI (BSIG), §28 na redação dada pela Lei de Implementação da NIS2 e de Reforço da Cibersegurança
- BSI Betroffenheitsprüfung e NIS 2 Infopakete. bsi.bund.de/dok/nis-2-infopakete
- Material de definição de âmbito da NIS 2 da ENISA e Technical Implementation Guidance do CIR (UE) 2024/2690