Quem está no âmbito da NIS 2: o teste completo do artigo 2.o
O artigo 2.o da NIS 2 estabelece um teste de âmbito único à escala da UE. Três partes: setor (Anexo I ou II), dimensão (média ou maior nos termos da Recomendação 2003/361/CE) e as exceções independentes da dimensão. Esta página percorre tudo por ordem, tal como uma verificação de aplicabilidade tem de ler.
A versão curta
Existe um teste único à escala da UE para saber se a NIS 2 o vincula. Está no artigo 2.o da diretiva. Tem três partes móveis. Setor. Dimensão. Exceção. A maioria das explicações cobre as duas primeiras e para. A terceira é onde as entidades pequenas são arrastadas para dentro e onde acontecem a maioria das surpresas.
O artigo 2.o, n.o 1, é o caso base. Está no âmbito se estiver num setor enumerado no Anexo I (setores de elevada criticidade) ou no Anexo II (outros setores críticos) e for pelo menos uma média empresa nos termos da Recomendação 2003/361/CE. O artigo 2.o, n.o 2, enumera depois os casos em que está no âmbito independentemente da dimensão. Telecomunicações, prestadores de serviços de confiança, DNS, registos de TLD, prestadores únicos de serviços essenciais, entidades da administração pública e mais alguns. Estar abaixo do limiar de dimensão não significa estar de fora.
A Alemanha transpõe o mesmo teste para o direito nacional através do §28 BSIG. A substância é idêntica. A mecânica (que agência, que formulário, que prazo) é nacional. Faça o teste uma vez, anote o resultado e guarde-o em arquivo. Esse documento é a sua avaliação de aplicabilidade.
Artigo 2.o, n.o 1, da Diretiva NIS 2 (2022/2555)
A presente diretiva aplica-se às entidades públicas ou privadas de um tipo referido no Anexo I ou no Anexo II que se qualifiquem como médias empresas nos termos do artigo 2.o do anexo da Recomendação 2003/361/CE, ou que excedam os limiares para médias empresas previstos no n.o 1 desse artigo, e que prestem os seus serviços ou exerçam as suas atividades na União.
O teste base. Setor (Anexo I ou II), dimensão (média ou maior), serviço prestado na União. O artigo 2.o, n.o 2, acrescenta depois uma lista de casos independentes da dimensão. O artigo 2.o, n.o 3, traz as entidades críticas da CER. Os artigos 2.o, n.os 5 a 11, excluem a segurança nacional, a defesa, os parlamentos, os bancos centrais e o setor financeiro (DORA, lex specialis ao abrigo do artigo 4.o).
Recomendação 2003/361/CE, anexo, artigo 2.o
A categoria das micro, pequenas e médias empresas (PME) é constituída por empresas que empregam menos de 250 pessoas e cujo volume de negócios anual não excede 50 milhões de euros, e/ou cujo balanço total anual não excede 43 milhões de euros.
A definição oficial de dimensão da UE. Média começa nos 50 colaboradores e em pelo menos 10 milhões de euros de volume de negócios e 10 milhões de euros de balanço. A NIS 2 apanha-o de média para cima. 'Exceder os limiares para médias' no artigo 2.o, n.o 1, significa grande empresa ao abrigo da mesma Recomendação. As empresas associadas e parceiras agregam-se, pelo que uma pequena filial de uma grande empresa-mãe conta muitas vezes como grande.
§28 BSIG (Alemanha)
Besonders wichtige Einrichtungen sind Einrichtungen einer in Anlage 1 genannten Art und Größe; wichtige Einrichtungen sind Einrichtungen einer in Anlage 2 genannten Art und Größe.
A Alemanha divide as duas categorias da UE em 'besonders wichtige' (essenciais) e 'wichtige' (importantes) Einrichtungen, usando os Anlagen 1 e 2 do BSIG, que espelham os Anexos I e II da diretiva. Os limiares de dimensão e os casos independentes da dimensão seguem o texto da UE. Outros Estados-Membros têm as suas próprias leis de transposição (NL Cyberbeveiligingswet, AT NISG, FR ordonnance n.o 2024-1184), usando o mesmo piso da UE.
Anexo I ou Anexo II?
Anexo I (setores de elevada criticidade, 11 setores): Energia, Transportes, Banca, Infraestruturas do mercado financeiro, Saúde, Água potável, Águas residuais, Infraestrutura digital, Gestão de serviços de TIC (B2B, MSP e MSSP), Administração pública, Espaço. Anexo II (outros setores críticos, 7 setores): Serviços postais e de correio, Gestão de resíduos, Produtos químicos, Géneros alimentícios, Indústria transformadora (dispositivos médicos, eletrónica, equipamento elétrico, máquinas, veículos), Prestadores digitais (mercados em linha, motores de pesquisa, redes sociais), Investigação. Se o seu serviço ou atividade estiver num dos Anexos, passe ao teste de dimensão.
Média empresa ou maior?
A Recomendação 2003/361/CE define média como 50 colaboradores ou mais, OU volume de negócios de pelo menos 10 milhões de euros E balanço de pelo menos 10 milhões de euros. O artigo 2.o, n.o 1, apanha-o de média para cima. Aplica-se a agregação de empresas associadas: se uma empresa-mãe controla mais de 50 por cento dos votos, o número de colaboradores e o volume de negócios são somados. Uma filial de 30 pessoas de um grupo de 5000 pessoas conta como parte dos números desse grupo.
O artigo 2.o, n.o 2, ou n.o 3, arrasta-o independentemente da dimensão?
O artigo 2.o, n.o 2, anula o teste de dimensão para: fornecedores de redes ou serviços públicos de comunicações eletrónicas; prestadores de serviços de confiança (eIDAS); registos de nomes de TLD e prestadores de serviços de DNS (excluindo os operadores de servidores de nomes de raiz); prestadores únicos num Estado-Membro de um serviço essencial para atividades societais ou económicas críticas; entidades cuja perturbação poderia ter um impacto significativo na segurança pública, na proteção pública ou na saúde pública, ou induzir risco sistémico, ou que sejam críticas para um setor ou setores interdependentes; entidades da administração pública. O artigo 2.o, n.o 3, traz as entidades identificadas como críticas ao abrigo da Diretiva CER (Resiliência das Entidades Críticas). O artigo 2.o, n.o 4, permite aos Estados-Membros incluir a administração pública regional.
O teste corre por pessoa coletiva, não por grupo
O artigo 2.o, n.o 1, atribui os deveres à entidade, não ao grupo empresarial. Uma estrutura de holding com cinco pessoas coletivas corre o teste cinco vezes. A aplicabilidade e os deveres recaem sobre a pessoa coletiva no âmbito. Os serviços de grupo podem implementar controlos de forma centralizada, mas o destinatário legal é a entidade. Quando os números de empresas associadas alteram a dimensão de uma filial, isso muda apenas a entrada do teste de dimensão, não quem suporta o dever. Ver também a página sobre âmbito de filiais e holdings.
Estar abaixo do limiar de dimensão não significa estar de fora
O artigo 2.o, n.o 2, é a armadilha em que as entidades pequenas caem. Os fornecedores de telecomunicações, os prestadores de serviços de confiança, os prestadores de DNS, os registos de TLD, os prestadores únicos de serviços essenciais e certas entidades da administração pública são apanhados independentemente da dimensão. Um prestador de serviços de confiança eIDAS de cinco pessoas está dentro. Um prestador de DNS de 20 pessoas está dentro. O teste de dimensão é só para o caso base; verifique a lista de exceções antes de escrever 'fora de âmbito'.
BSI / §28 BSIG e a ferramenta de aplicabilidade
O BSI publica uma ferramenta 'Betroffenheitsprüfung' no seu sítio web que percorre os Anlage 1 e Anlage 2 do BSIG. As entidades classificam-se a si próprias e registam-se através do portal de registo do BSI. O §28 BSIG divide o âmbito em 'besonders wichtige' (essenciais, sobretudo Anexo I) e 'wichtige' (importantes, sobretudo Anexo II) Einrichtungen, com diferentes tetos de coima ao abrigo do §65 BSIG.
Rastreador de transposição da ENISA
A ENISA, a agência de cibersegurança da UE, publica um rastreador de transposição que mostra em que ponto está cada Estado-Membro na transposição da NIS 2 para o direito nacional. Em maio de 2026, vários Estados tinham sido remetidos para o TJUE por transposição tardia. A própria diretiva aplica-se desde 18 de outubro de 2024 de qualquer forma; a lei nacional apenas acrescenta a maquinaria local de aplicação.
Leis de transposição nacionais
Países Baixos: Cyberbeveiligingswet (NCSC como autoridade competente). Áustria: NISG (BMI). França: ordonnance n.o 2024-1184 (ANSSI). Bélgica: NIS2-Wet (CCB). O teste de âmbito é idêntico porque os Anexos I e II são ao nível da UE. O que difere: portais de registo, prazos de notificação ao abrigo do direito processual nacional, qual a agência com quem fala primeiro.
Temos menos de 50 colaboradores, por isso a NIS 2 não se aplica.
Não necessariamente. O artigo 2.o, n.o 2, traz os fornecedores de telecomunicações, de serviços de confiança, de DNS, os registos de TLD, os prestadores únicos de serviços essenciais e certas entidades da administração pública, independentemente da dimensão. Um prestador de serviços de confiança eIDAS de quatro pessoas está dentro. Faça a verificação de exceções antes de parar no limiar de dimensão.
Somos um organismo do setor público, por isso estamos de fora.
Depende. O artigo 2.o, n.o 2, alínea i), abrange as entidades da administração pública ao nível central e (quando o Estado-Membro o escolhe) ao nível regional. Os artigos 2.o, n.os 5 a 11, excluem a segurança nacional, a defesa, a aplicação da lei, o sistema judiciário, os parlamentos e os bancos centrais, mas a maioria das outras entidades da administração pública está dentro. O §28 BSIG da Alemanha e a ferramenta de aplicabilidade do BSI mostram o recorte local.
A nossa filial é pequena, por isso está de fora.
A agregação de empresas associadas ao abrigo da Recomendação 2003/361/CE soma o número de colaboradores e o volume de negócios da empresa-mãe aos números da filial quando a empresa-mãe controla mais de 50 por cento dos votos. Uma filial de 30 pessoas de um grupo de 5000 pessoas corre o teste de dimensão sobre os números combinados, não sobre os locais. Ver a página sobre âmbito de filiais e holdings para a regra completa.
O teste completo do artigo 2.o demora cerca de dez minutos se o correr por ordem. Setor primeiro (uma vista de olhos aos Anexos I e II). Dimensão a seguir (os seus números anuais mais recentes mais a agregação de empresas associadas se tiver uma empresa-mãe). Depois as exceções (artigo 2.o, n.os 2, 3, 4 e as exclusões 5 a 11). Depois o resultado. Três páginas de notas bastam.
Anote-o. Date-o. Assine-o. Esse documento é a sua Anwendbarkeitsprüfung. As autoridades nacionais esperam que consiga mostrar como chegou a 'dentro do âmbito' ou 'fora do âmbito', não apenas a conclusão. Se os números mudarem (uma fusão, uma nova linha de negócio, ultrapassar um limiar), volte a correr o teste e guarde a versão anterior. O rasto de auditoria da decisão importa tanto como a decisão.
A verificação de aplicabilidade no nisd2.eu percorre a árvore completa do artigo 2.o, por ordem. Escolha de setor a partir dos Anexos I e II. Dimensão com agregação de empresas associadas. Lista de exceções do artigo 2.o, n.os 2 e 3. Exclusões do artigo 2.o, n.os 5 a 11. O resultado é uma Anwendbarkeitsprüfung escrita com o seu setor, número de colaboradores e volume de negócios, estado de exceção e classificação (besonders wichtig, wichtig, ou fora).
A verificação é gratuita. Obtém o documento em PDF e como registo com versões dentro da plataforma. Volte a correr sempre que os seus números mudem. Cada versão é datada e assinada pelo utilizador que a correu, pelo que o rasto de auditoria fica integrado.
- Diretiva (UE) 2022/2555 (NIS 2), artigo 2.o e Anexos I e II. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Recomendação 2003/361/CE da Comissão, definição de micro, pequenas e médias empresas. eur-lex.europa.eu/eli/reco/2003/361/oj
- Diretiva (UE) 2022/2557 (CER), resiliência das entidades críticas. eur-lex.europa.eu/eli/dir/2022/2557/oj
- BSI-Gesetz (BSIG), §28, com a redação dada pela NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz
- BSI Betroffenheitsprüfung. bsi.bund.de/dok/nis-2-betroffenheitspruefung
- Rastreador de transposição da NIS 2 da ENISA (a 1 de maio de 2026)