Excepția NIS 2 pentru microîntreprinderi și întreprinderi mici
Conform articolului 2(1) NIS 2, directiva se aplică doar entităților mijlocii și mai mari. Acesta este titlul. Realitatea este un test în trei pași: definiția mărimii din Recomandarea 2003/361/CE, regula întreprinderilor legate și excepțiile din articolul 2(2) care aduc microîntreprinderile și întreprinderile mici înapoi în domeniul de aplicare.
Pe scurt
NIS 2 stabilește un prag minim de mărime. În mod implicit, directiva se aplică doar entităților care ating sau depășesc pragul de întreprindere mijlocie conform Recomandării 2003/361/CE: 50 sau mai mulți angajați, sau cifră de afaceri anuală peste 10 milioane de euro, sau total bilanț peste 10 milioane de euro. Microîntreprinderile și întreprinderile mici se află sub acel prag.
Asta sună simplu. Nu este. Recomandarea are propriile reguli de numărare. Articolul 3(3) din Anexa sa spune că, dacă o societate-mamă deține peste 50 la sută din drepturile de vot într-o filială, trebuie să agregați numărul de angajați și cifra de afaceri. O filială mică a unui grup mare nu este o entitate mică conform acestui regim.
Articolul 2(2) NIS 2 numește apoi categorii care intră înăuntru indiferent de mărime. Telecomunicații, furnizori calificați de servicii de încredere, DNS, registre de nume TLD, furnizori unici ai unui serviciu esențial într-un stat membru, entități de administrație publică și câteva altele. Dacă vă încadrați într-una dintre acestea, testul de mărime nu vă salvează. Excepția este începutul analizei, nu sfârșitul.
Articolul 2(1) Directiva NIS 2 (2022/2555)
This Directive applies to public or private entities of a type referred to in Annex I or II which qualify as medium-sized enterprises under Article 2 of the Annex to Recommendation 2003/361/EC, or exceed the ceilings for medium-sized enterprises provided for in paragraph 1 of that Article, and which provide their services or carry out their activities within the Union.
Aceasta este regula implicită privind domeniul de aplicare. Două filtre într-o singură propoziție: sectorul dumneavoastră trebuie să fie în Anexa I sau II și trebuie să fiți cel puțin de mărime mijlocie conform Recomandării 2003/361/CE. Sub mărimea mijlocie, directiva nu se aplică în mod implicit.
Articolul 2(2) și (3), Anexa la Recomandarea 2003/361/CE
The category of micro, small and medium-sized enterprises (SMEs) is made up of enterprises which employ fewer than 250 persons and which have an annual turnover not exceeding EUR 50 million, and/or an annual balance sheet total not exceeding EUR 43 million. Within the SME category, a small enterprise is defined as an enterprise which employs fewer than 50 persons and whose annual turnover and/or annual balance sheet total does not exceed EUR 10 million. Within the SME category, a microenterprise is defined as an enterprise which employs fewer than 10 persons and whose annual turnover and/or annual balance sheet total does not exceed EUR 2 million.
Recomandarea vă dă cifrele. Micro: sub 10 angajați ȘI cifră de afaceri sau bilanț de până la 2 milioane de euro. Mică: sub 50 de angajați ȘI cifră de afaceri sau bilanț de până la 10 milioane de euro. Mijlocie: de la 50 de angajați până la 249 SAU cifră de afaceri peste 10 milioane de euro. Pentru a rămâne sub o categorie de mărime, trebuie să fiți sub la angajați ȘI sub la cifra de afaceri sau bilanț. Depășiți oricare dintre ele și ați urcat.
Articolul 2(2) NIS 2 (indiferent de mărime)
Regardless of their size, this Directive applies to entities of a type referred to in Annex I or II, where: (a) services are provided by providers of public electronic communications networks or of publicly available electronic communications services; (b) services are provided by trust service providers; (c) top-level domain name registries and domain name system service providers; (d) the entity is the sole provider in a Member State of a service which is essential for the maintenance of critical societal or economic activities; (e) a disruption of the service provided by the entity could have a significant impact on public safety, public security or public health; (f) a disruption of the service provided by the entity could induce a significant systemic risk, in particular for sectors where such disruption could have a cross-border impact; (g) the entity is critical because of its specific importance at national or regional level for the particular sector or type of service, or for other interdependent sectors in the Member State; (h) the entity is a public administration entity.
Opt categorii care ignoră mărimea. Dacă vă încadrați în oricare dintre ele, pragul de mărime mijlocie nu vă salvează. Categoriile (d) până la (g) sunt decizii ale statului membru: autoritatea națională decide dacă sunteți furnizor unic, important din punct de vedere sistemic sau critic la nivel național sau regional. În Germania, BSI face acea determinare.
Aplicați definiția mărimii
Numărați-vă angajații și adunați cifra de afaceri anuală și total bilanț. Pentru a rămâne micro aveți nevoie de sub 10 angajați ȘI cifră de afaceri sau bilanț la 2 milioane de euro sau sub. Pentru a rămâne mică aveți nevoie de sub 50 de angajați ȘI cifră de afaceri sau bilanț la 10 milioane de euro sau sub. Depășiți numărul de angajați, sau depășiți pragul financiar, și urcați o categorie.
Agregați întreprinderile legate
Articolul 3(3) din Anexa la Recomandarea 2003/361/CE spune că, dacă o întreprindere-mamă deține peste 50 la sută din drepturile dumneavoastră de vot, trebuie să agregați numărul lor de angajați și cifra de afaceri cu ale dumneavoastră. O filială de 30 de persoane a unui grup de 5.000 de persoane este tratată ca parte a acelui grup pentru testul de mărime. Majoritatea filialelor își pierd excepția de întreprindere mică chiar aici.
Verificați excepțiile din articolul 2(2)
Chiar dacă treceți de pașii unu și doi, articolul 2(2) NIS 2 vă poate atrage totuși înăuntru. Telecomunicații, servicii calificate de încredere, DNS, registre TLD, furnizori unici ai unui serviciu esențial în statul dumneavoastră membru, administrație publică. Autoritățile naționale vă pot desemna și ca fiind critic la nivel național sau regional conform articolului 2(2)(g). Dacă vreuna dintre acestea se potrivește, excepția de mărime dispare.
Excepția de mărime este începutul analizei, nu concluzia
Articolul 2(1) vă trece doar prin primul filtru. Sectorul Anexa I sau II, apoi mărimea mijlocie sau mai mare. Chiar dacă treceți de pasul de mărime ca exceptat, tot trebuie să parcurgeți articolul 2(2). O firmă mică poate fi în domeniul de aplicare pentru că este furnizorul unic de DNS, un furnizor calificat de servicii de încredere sau desemnată ca fiind critică la nivel național. Citirea articolului 2(1) fără 2(2) este cea mai frecventă eroare de stabilire a domeniului de aplicare pe care o vedem.
Regula întreprinderilor legate scoate majoritatea filialelor din excepție
Articolul 3(3) din Anexa la Recomandare este neiertător. Dacă societatea-mamă deține peste 50 la sută din drepturile dumneavoastră de vot, numărul lor de angajați și cifra de afaceri se adaugă la ale dumneavoastră. O entitate mică într-un grup mare aproape niciodată nu este mică conform acestui regim. Operatorii din Mittelstand cu o structură de holding descoperă în mod curent că filiala pe care o credeau exceptată se află ferm în interiorul directivei.
BSI Betroffenheitsprüfung
BSI rulează un Betroffenheitsprüfung online unde parcurgeți sectorul dumneavoastră conform Anexei I sau II, mărimea dumneavoastră conform Recomandării 2003/361/CE și excepțiile din articolul 2(2). §28 BSIG transpune articolul 2 și adaugă specificități naționale: determinarea furnizorilor unici și a entităților critice se află la BSI. Rezultatul este o autoclasificare obligatorie pe care trebuie să o înregistrați conform §33 BSIG.
Ghidul ENISA privind domeniul de aplicare și Recomandarea
ENISA publică materiale privind domeniul de aplicare care parcurg filtrele sectoriale și de mărime în aceeași ordine pe care o folosește directiva. Comisia Europeană emite și un Ghid al utilizatorului pentru definiția IMM, care explică Recomandarea în detaliu, inclusiv exemple lucrate pentru întreprinderile legate și partenere. Ambele sunt material de referință, nu lege, dar autoritățile de reglementare naționale le citează.
Aceeași directivă, mecanisme diferite de autoînregistrare
Fiecare stat membru transpune articolul 2 verbatim pentru că regulile de mărime și de excepție sunt stabilite de dreptul UE. Țările de Jos rulează Cyberbeveiligingswet și o autoclasificare online prin NCSC. Belgia folosește Safeonweb la CCB. Austria are NISG cu înregistrare bazată pe portal. Substanța este identică. Ce diferă este la care autoritate națională vă înregistrați și ce limbă vorbește portalul.
Suntem o microîntreprindere, deci NIS 2 nu ni se aplică.
Doar pasul unu. Tot trebuie să treceți de articolul 2(2). Un furnizor de DNS de nouă persoane este în domeniul de aplicare. Un furnizor calificat de servicii de încredere de șase persoane este în domeniul de aplicare. O entitate mică desemnată de BSI ca furnizor unic al unui serviciu esențial în Germania este în domeniul de aplicare. Categoria de mărime este primul filtru, nu răspunsul final.
Suntem sub 50 de angajați, deci ne încadrăm ca mici.
Citiți cu atenție articolul 2(2) din Anexa la Recomandare. Mică necesită sub 50 de angajați ȘI cifră de afaceri sau bilanț la 10 milioane de euro sau sub. Depășiți oricare dintre praguri și treceți în mijlocie. O consultanță de 45 de persoane cu 12 milioane de euro cifră de afaceri este de mărime mijlocie conform Recomandării, iar asta înseamnă că NIS 2 se aplică dacă sectorul se potrivește.
Societatea noastră-mamă este mare, dar noi funcționăm independent, deci ne numărăm pe cont propriu.
Articolul 3(3) din Anexa la Recomandare este structural, nu comportamental. Dacă societatea-mamă deține peste 50 la sută din drepturile dumneavoastră de vot, agregați. Independența de zi cu zi nu contează pentru testul de mărime. Ghidul utilizatorului pentru definiția IMM al Comisiei Europene explică asta cu exemple lucrate. Majoritatea filialelor își pierd excepția de mărime aici.
Ce vedem în practică: o discuție de stabilire a domeniului de aplicare de 30 de minute parcurge întâi Anexa I sau II, apoi cifrele de personal și financiare, apoi întrebarea privind întreprinderile legate, apoi articolul 2(2). Ordinea contează. Trecerea direct la mărime, așa cum prezintă majoritatea consultanților întrebarea, ascunde domeniul de aplicare pe care îl aveți de fapt.
Documentați rezultatul. Un scurt memoriu de stabilire a domeniului de aplicare care numește sectorul conform Anexei I sau II, listează cifrele de personal și cifra de afaceri, abordează întreprinderile legate și parcurge articolul 2(2) este artefactul de care aveți nevoie dacă o autoritate națională întreabă ulterior de ce v-ați autoclasificat ca fiind în afara domeniului de aplicare. Dacă sunteți în domeniul de aplicare, trebuie și să vă înregistrați conform articolului 27 NIS 2 și a dispoziției naționale relevante (în Germania: §33 BSIG).
Verificarea noastră gratuită a aplicabilității parcurge cei trei pași în aceeași ordine ca directiva. Sectorul conform Anexei I sau II, apoi testul de mărime din Recomandare cu agregarea întreprinderilor legate, apoi excepțiile din articolul 2(2). Obțineți un rezultat scris de stabilire a domeniului de aplicare pe care îl puteți salva sau partaja cu avocatul dumneavoastră.
Dacă rezultatul este în domeniul de aplicare, platforma vă configurează registrul de obligații față de măsurile articolului 21 și canalele naționale de raportare pe care trebuie să le respectați. Dacă sunteți în afara domeniului de aplicare conform articolului 2(1), dar doriți o evidență justificabilă a motivului, pagina de rezultate vă oferă un memoriu cu toți cei trei pași documentați și legături către surse de calitate pentru citare.
- Directiva (UE) 2022/2555 (NIS 2), articolul 2 - eur-lex.europa.eu/eli/dir/2022/2555/oj
- Recomandarea 2003/361/CE a Comisiei din 6 mai 2003 privind definiția microîntreprinderilor și a întreprinderilor mici și mijlocii, Anexa articolele 2 și 3 - eur-lex.europa.eu/eli/reco/2003/361/oj
- Comisia Europeană, Ghidul utilizatorului pentru definiția IMM (Oficiul pentru Publicații, ultima ediție)
- Legea BSI (BSIG), §28 astfel cum a fost modificată prin Legea de punere în aplicare a NIS2 și de consolidare a securității cibernetice
- BSI Betroffenheitsprüfung și pachetele de informații NIS 2 - bsi.bund.de/dok/nis-2-infopakete
- Materiale ENISA privind domeniul de aplicare NIS 2 și Ghidul tehnic de punere în aplicare CIR (UE) 2024/2690