Filial e holding ao abrigo da NIS 2
O âmbito é avaliado por entidade jurídica nos termos do artigo 2.o da NIS 2. Mas o teste de dimensão, através da Recomendação 2003/361/CE da Comissão, soma todo o grupo.
A versão curta
A NIS 2 olha para cada entidade jurídica por si. A sua filial não é abrangida só porque a empresa-mãe está. A diretiva aplica-se às entidades que elas próprias fazem algo listado no anexo I ou II e que elas próprias ultrapassam o limiar de dimensão.
O problema está no teste de dimensão. O artigo 6.o, n.o 2, da NIS 2 remete para a definição de PME na Recomendação 2003/361/CE da Comissão. Essa recomendação soma 100 por cento do número de pessoas e das finanças de cada filial controlada maioritariamente num único valor.
Por isso a pergunta certa não é "a nossa empresa-mãe está abrangida." São duas partes. Primeira: esta entidade específica faz, ela própria, algo do anexo I ou II? Segunda: depois de somarmos os valores do resto do grupo, ultrapassamos o limiar de média empresa?
Artigo 2.o da NIS 2 (âmbito)
A presente diretiva aplica-se às entidades públicas ou privadas de um tipo referido no anexo I ou II que sejam consideradas médias empresas nos termos do artigo 2.o do anexo da Recomendação 2003/361/CE, ou que excedam os limiares para médias empresas previstos no n.o 1 desse artigo, e que prestem os seus serviços ou desenvolvam as suas atividades na União.
O âmbito liga-se à entidade que ela própria desenvolve a atividade do anexo I ou II. O artigo 2.o, n.os 2 e 3, acrescenta exceções 'independentemente da dimensão' (DNS, registos de TLD, prestadores qualificados de serviços de confiança, fornecedores de comunicações eletrónicas públicas, fornecedores únicos de serviços essenciais e outros) que abrangem entidades individuais mesmo abaixo do limiar de PME.
Recomendação 2003/361/CE da Comissão, anexo art. 3.o (empresas associadas)
Empresas associadas são as empresas que mantêm entre si qualquer das seguintes relações: a) uma empresa detém a maioria dos direitos de voto dos acionistas ou sócios de outra empresa; b) uma empresa tem o direito de nomear ou exonerar a maioria dos membros do órgão de administração, de direção ou de fiscalização de outra empresa. Aos dados da empresa em questão acrescentam-se 100 por cento dos dados de qualquer empresa que lhe esteja associada, direta ou indiretamente, quando esses dados não tenham já sido incluídos por consolidação nas contas.
Esta é a regra que o artigo 6.o, n.o 2, da NIS 2 importa. Uma filial de 30 pessoas detida maioritariamente por uma empresa-mãe de 400 pessoas conta como parte de um grupo de 430 pessoas para o teste de dimensão. O considerando 16 permite que os Estados-Membros considerem a independência operacional, mas o ponto de partida é: somar os valores.
§28 BSIG (Alemanha, exemplo de transposição)
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind Einrichtungen, die einer in Anlage 1 oder Anlage 2 aufgeführten Einrichtungsart angehören und die die in §28 BSIG genannten Schwellenwerte erreichen.
O BSIG mantém a lógica por entidade. O BSI lê o teste de dimensão através da Recomendação 2003/361/CE e, por isso, soma os valores das empresas associadas. Outros Estados-Membros seguem a mesma recomendação. A redação da transposição difere. O mecanismo não.
Esta entidade insere-se no anexo I ou II?
Pergunte se esta filial específica faz, ela própria, algo listado no anexo I (alta criticidade) ou no anexo II (outros setores críticos) da NIS 2. Uma holding pura que apenas detém ações e regista dividendos normalmente não. Uma filial operacional que explora uma estação de tratamento de águas residuais, um hospital, um MSP ou uma linha de produção normalmente sim.
A entidade é, por si só, suficientemente grande?
Considere o número de pessoas e as finanças da própria entidade. Se já cumprir o limiar de média empresa por si só (50 ou mais pessoas, ou volume de negócios superior a 10 milhões de euros com balanço total superior a 10 milhões de euros), o teste de dimensão está concluído. Não precisa de somar o grupo.
Somar os valores do grupo
Se a entidade estiver abaixo do limiar por si só, some 100 por cento do número de pessoas e das finanças de cada filial controlada maioritariamente e da empresa-mãe controladora, nos termos do anexo art. 3.o da 2003/361/CE. Se o valor combinado ultrapassar o limiar, a entidade cumpre o teste de dimensão através do grupo. O considerando 16 permite-lhe alegar independência perante o regulador. Mas é uma exceção que tem de provar, não um plano em que possa confiar.
O âmbito é por entidade jurídica (artigo 2.o da NIS 2)
A diretiva não tem o conceito de 'grupo abrangido'. Aplica-se a cada entidade que ela própria desenvolve uma atividade abrangida. O estatuto da empresa-mãe, da holding ou das filiais irmãs não se transfere para a sua entidade. A sua entidade só está abrangida se ela própria reunir os requisitos.
A dimensão soma-se nos termos da 2003/361/CE
O teste de dimensão usa a Recomendação PME. Conta os dados das empresas associadas a 100 por cento. Uma pequena filial dentro de um grande grupo conta normalmente como média ou grande empresa para o teste de dimensão, mesmo que a sua própria folha de pagamento seja minúscula. É este o mecanismo que abrange muitas pequenas filiais.
§28 BSIG e orientação de âmbito do BSI
A Alemanha transpõe através do §28 BSIG. A orientação publicada do BSI lê o teste de dimensão através da Recomendação 2003/361/CE e soma os valores das empresas associadas. As filiais registam-se e comunicam por conta própria se elas próprias passarem o teste. A holding não se regista em nome delas.
ENISA e a Recomendação PME
Os materiais de âmbito da ENISA seguem a diretiva: o âmbito é por entidade, a dimensão agrega nos termos da 2003/361/CE. Não existe atalho de 'registo de grupo'. O argumento de independência do considerando 16 existe. Mas é uma exceção que tem de provar, não uma via de planeamento.
Exemplos de transposição NL, AT, FR
A Cyberbeveiligingswet neerlandesa, a NISG-Neufassung austríaca e a Ordonnance n. 2024-1233 francesa mantêm todas o âmbito por entidade e importam a Recomendação PME. A redação difere. A regra de agregação de empresas associadas não.
A nossa empresa-mãe está abrangida, portanto nós também estamos.
Não. O âmbito é por entidade jurídica nos termos do artigo 2.o da NIS 2. A classificação da empresa-mãe não vincula a filial. A sua filial só está abrangida se ela própria desenvolver uma atividade do anexo I ou II e ela própria cumprir o limiar de dimensão (possivelmente através da agregação de empresas associadas).
Podemos ficar de fora dividindo-nos em filiais mais pequenas.
Não. A Recomendação PME soma 100 por cento dos valores das empresas associadas. Dividir um negócio de 200 pessoas em quatro GmbH de 50 pessoas que continuam detidas maioritariamente pela mesma empresa-mãe não quebra o teste de dimensão. A cisão societária é invisível para o cálculo da 2003/361/CE.
A holding regista-se e comunica por todo o grupo.
Não. Cada entidade jurídica abrangida regista-se junto da autoridade competente (na Alemanha através de portal.bsi.bund.de) e apresenta as suas próprias comunicações de incidentes nos termos do artigo 23.o da NIS 2. A holding pode coordenar operacionalmente. Não pode substituir o seu registo pelos deveres das filiais.
Nos grupos que vemos, a questão recai quase sempre no passo 3. A filial operacional faz algo do anexo I ou II. Por si só é pequena. Dentro do grupo fica acima de 50 pessoas ou acima de 10 milhões de euros de volume de negócios. Nos termos da 2003/361/CE, isso abrange-a.
A alavanca é o argumento de independência do considerando 16. Se uma filial for genuinamente independente na forma como opera (órgão de gestão próprio, contratos com clientes próprios, decisões próprias, sem imputação de custos de grupo que decida o seu modelo de negócio), a autoridade nacional pode tratá-la como autónoma para o teste de dimensão. Documente a independência antes de confiar nela. Não a presuma.
A verificação de aplicabilidade percorre a pertença setorial ao anexo I e II para a entidade específica e depois o teste de dimensão com a agregação de empresas associadas incorporada. O resultado é uma avaliação de aplicabilidade escrita com setor, valores de dimensão, os dados de entrada das empresas associadas e a classificação final (essencial, importante ou fora do âmbito).
Para grupos com várias filiais operacionais, cada entidade executa a sua própria verificação e, se estiver abrangida, o seu próprio registo de obrigações. A plataforma suporta um espaço de trabalho separado por entidade jurídica, de modo que registos, comunicações de incidentes e aprovações da gestão fiquem associados à entidade registada correta.
- Diretiva (UE) 2022/2555 (NIS 2), art. 2.o (âmbito), art. 6.o (definições), considerando 16 (empresas associadas e independência). EUR-Lex, eli/dir/2022/2555/oj
- Recomendação 2003/361/CE da Comissão, de 6 de maio de 2003, anexo art. 2.o (definição de PME) e anexo art. 3.o (empresas associadas, agregação a 100 por cento). EUR-Lex, CELEX 32003H0361
- BSIG (Alemanha), §28 (classificação de entidades essenciais e importantes). gesetze-im-internet.de
- FAQ de âmbito do BSI para entidades NIS 2 (específico por setor). bsi.bund.de, NIS-2-FAQ-sektorspezifisch
- Materiais de referência da ENISA sobre o âmbito da NIS 2 e a Recomendação PME. enisa.europa.eu