Filială și holding sub NIS 2
Domeniul de aplicare se evaluează pe entitate juridică conform articolului 2 NIS 2. Dar testul de dimensiune, prin Recomandarea 2003/361/CE a Comisiei, adună întregul grup.
Pe scurt
NIS 2 analizează fiecare entitate juridică în sine. Filiala dumneavoastră nu este atrasă doar pentru că entitatea-mamă este. Directiva se aplică entităților care ele însele desfășoară o activitate enumerată în anexa I sau II și care ele însele depășesc pragul de dimensiune.
Capcana stă în testul de dimensiune. Articolul 6(2) NIS 2 trimite la definiția IMM din Recomandarea 2003/361/CE a Comisiei. Acea recomandare adună 100 la sută din numărul de angajați și datele financiare ale fiecărei entități afiliate controlate majoritar într-o singură cifră.
Așadar, întrebarea corectă nu este "este entitatea noastră-mamă în domeniul de aplicare". Este formată din două părți. Prima: această entitate specifică desfășoară ea însăși o activitate din anexa I sau II? A doua: odată ce adunăm cifrele de la restul grupului, depășim pragul de întreprindere mijlocie?
Articolul 2 NIS 2 (domeniul de aplicare)
Prezenta directivă se aplică entităților publice sau private de un tip menționat în anexa I sau II care se califică drept întreprinderi mijlocii în temeiul articolului 2 din anexa la Recomandarea 2003/361/CE sau care depășesc plafoanele pentru întreprinderile mijlocii prevăzute la alineatul (1) din respectivul articol și care își furnizează serviciile sau își desfășoară activitățile pe teritoriul Uniunii.
Domeniul de aplicare se atașează entității care desfășoară ea însăși activitatea din anexa I sau II. Articolul 2(2) și (3) adaugă derogări "indiferent de dimensiune" (registre DNS, registre TLD, prestatori de servicii de încredere calificați, furnizori de rețele publice de comunicații electronice, furnizori unici de servicii esențiale și alții) care atrag entități individuale chiar și sub plafonul IMM.
Recomandarea 2003/361/CE a Comisiei, anexa art. 3 (întreprinderi afiliate)
Întreprinderile afiliate sunt întreprinderile care întrețin între ele oricare dintre următoarele raporturi: (a) o întreprindere deține majoritatea drepturilor de vot ale acționarilor sau ale asociaților unei alte întreprinderi; (b) o întreprindere are dreptul de a numi sau de a revoca majoritatea membrilor organului de administrare, de conducere sau de supraveghere ai unei alte întreprinderi. La datele întreprinderii în cauză se adaugă 100 la sută din datele oricărei întreprinderi afiliate direct sau indirect cu aceasta, în cazul în care datele nu au fost deja incluse prin consolidare în conturi.
Aceasta este regula pe care articolul 6(2) NIS 2 o importă. O filială de 30 de persoane deținută majoritar de o entitate-mamă de 400 de persoane este numărată ca parte a unui grup de 430 de persoane pentru testul de dimensiune. Considerentul 16 le permite statelor membre să țină cont de independența operațională, dar punctul de plecare este: adunați cifrele.
§28 BSIG (Germania, exemplu de transpunere)
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind Einrichtungen, die einer in Anlage 1 oder Anlage 2 aufgeführten Einrichtungsart angehören und die die in §28 BSIG genannten Schwellenwerte erreichen.
BSIG păstrează logica pe entitate. BSI interpretează testul de dimensiune prin Recomandarea 2003/361/CE și, prin urmare, adună cifrele întreprinderilor afiliate. Alte state membre urmează aceeași recomandare. Formularea transpunerii diferă. Mecanica nu diferă.
Această entitate se încadrează în anexa I sau II?
Întrebați-vă dacă această filială specifică desfășoară ea însăși o activitate enumerată în anexa I (criticitate ridicată) sau anexa II (alte sectoare critice) ale NIS 2. Un holding pur, care doar deține acțiuni și înregistrează dividende, de obicei nu o face. O filială operațională care exploatează o stație de epurare a apelor uzate, un spital, un MSP sau o linie de producție, de obicei o face.
Entitatea în sine este suficient de mare?
Luați numărul propriu de angajați și datele financiare proprii ale entității. Dacă aceasta atinge deja pragul de întreprindere mijlocie pe cont propriu (50 sau mai mulți angajați sau cifră de afaceri peste 10 milioane de euro cu un total al bilanțului peste 10 milioane de euro), testul de dimensiune este încheiat. Nu mai trebuie să adunați grupul.
Adunați cifrele grupului
Dacă entitatea este sub prag pe cont propriu, adunați 100 la sută din numărul de angajați și datele financiare ale fiecărei entități afiliate controlate majoritar și ale entității-mamă care exercită controlul, conform anexei art. 3 din 2003/361/CE. Dacă cifra combinată depășește pragul, entitatea îndeplinește testul de dimensiune prin grupul său. Considerentul 16 vă permite să argumentați independența în fața autorității de reglementare. Dar este o excepție pe care trebuie să o demonstrați, nu un plan pe care vă puteți baza.
Domeniul de aplicare este pe entitate juridică (articolul 2 NIS 2)
Directiva nu are un concept de "grup în domeniul de aplicare". Ea se aplică fiecărei entități care desfășoară ea însăși o activitate vizată. Statutul entității-mamă, al holdingului sau al filialelor surori nu se transferă la entitatea dumneavoastră. Entitatea dumneavoastră intră în domeniul de aplicare doar dacă se califică ea însăși.
Dimensiunea se adună conform 2003/361/CE
Testul de dimensiune folosește Recomandarea privind IMM. Aceasta numără datele întreprinderilor afiliate la 100 la sută. O filială mică din interiorul unui grup mare va fi de obicei numărată ca întreprindere mijlocie sau mare pentru testul de dimensiune, chiar dacă propriul ei stat de plată este minuscul. Acesta este mecanismul care atrage multe filiale mici în domeniul de aplicare.
§28 BSIG și ghidul BSI privind domeniul de aplicare
Germania transpune prin §28 BSIG. Ghidul BSI publicat interpretează testul de dimensiune prin Recomandarea 2003/361/CE și adună cifrele întreprinderilor afiliate. Filialele se înregistrează și raportează pe cont propriu dacă trec ele însele testul. Holdingul nu se înregistrează în numele lor.
ENISA și Recomandarea privind IMM
Materialele ENISA privind domeniul de aplicare urmează directiva: domeniul de aplicare este pe entitate, dimensiunea se agregă conform 2003/361/CE. Nu există o scurtătură de "înregistrare de grup". Argumentul independenței din considerentul 16 există. Dar este o excepție pe care trebuie să o demonstrați, nu o cale de planificare.
Exemple de transpunere NL, AT, FR
Cyberbeveiligingswet din Țările de Jos, NISG-Neufassung din Austria și Ordonanța nr. 2024-1233 din Franța păstrează toate domeniul de aplicare pe entitate și importă Recomandarea privind IMM. Formularea diferă. Regula de agregare a întreprinderilor afiliate nu diferă.
Entitatea noastră-mamă este în domeniul de aplicare, deci suntem și noi.
Nu. Domeniul de aplicare este pe entitate juridică conform articolului 2 NIS 2. Clasificarea entității-mamă nu obligă filiala. Filiala dumneavoastră intră în domeniul de aplicare doar dacă desfășoară ea însăși o activitate din anexa I sau II și îndeplinește ea însăși pragul de dimensiune (eventual prin agregarea întreprinderilor afiliate).
Putem rămâne în afara domeniului împărțindu-ne în filiale mai mici.
Nu. Recomandarea privind IMM adună 100 la sută din cifrele întreprinderilor afiliate. Împărțirea unei afaceri de 200 de persoane în patru GmbH-uri de 50 de persoane care rămân deținute majoritar de aceeași entitate-mamă nu spulberă testul de dimensiune. Divizarea corporativă este invizibilă pentru calculul din 2003/361/CE.
Holdingul se înregistrează și raportează pentru întregul grup.
Nu. Fiecare entitate juridică din domeniul de aplicare se înregistrează singură la autoritatea competentă (în Germania, prin portal.bsi.bund.de) și depune propriile rapoarte de incidente conform articolului 23 NIS 2. Holdingul poate coordona operațional. Nu poate înlocui înregistrarea sa pentru obligațiile filialelor.
În grupurile pe care le vedem, întrebarea aterizează aproape întotdeauna la pasul 3. Filiala operațională desfășoară o activitate din anexa I sau II. Pe cont propriu este mică. În interiorul grupului se află peste 50 de angajați sau peste 10 milioane de euro cifră de afaceri. Conform 2003/361/CE, asta o atrage în domeniul de aplicare.
Pârghia este argumentul independenței din considerentul 16. Dacă o filială este cu adevărat independentă în modul în care funcționează (organ propriu de conducere, contracte proprii cu clienții, decizii proprii, fără o alocare de costuri la nivel de grup care îi decide modelul de business), autoritatea națională o poate trata ca de sine stătătoare pentru testul de dimensiune. Consemnați independența în scris înainte de a vă baza pe ea. Nu o presupuneți.
Verificarea aplicabilității parcurge apartenența sectorială la anexa I și II pentru entitatea specifică, apoi testul de dimensiune cu agregarea întreprinderilor afiliate integrată. Rezultatul este o evaluare scrisă a aplicabilității, cu sector, cifre de dimensiune, datele de intrare privind întreprinderile afiliate și clasificarea finală (esențială, importantă sau în afara domeniului de aplicare).
Pentru grupurile cu mai multe filiale operaționale, fiecare entitate își rulează propria verificare și, dacă este în domeniul de aplicare, propriul registru de obligații. Platforma acceptă un spațiu de lucru separat pentru fiecare entitate juridică, astfel încât înregistrările, rapoartele de incidente și aprobările conducerii să fie atribuite entității înregistrate corecte.
- Directiva (UE) 2022/2555 (NIS 2), art. 2 (domeniul de aplicare), art. 6 (definiții), considerentul 16 (întreprinderi afiliate și independență). EUR-Lex, eli/dir/2022/2555/oj
- Recomandarea 2003/361/CE a Comisiei din 6 mai 2003, anexa art. 2 (definiția IMM) și anexa art. 3 (întreprinderi afiliate, agregare 100 la sută). EUR-Lex, CELEX 32003H0361
- BSIG (Germania), §28 (clasificarea entităților esențiale și importante). gesetze-im-internet.de
- Întrebări frecvente BSI privind domeniul de aplicare pentru entitățile NIS 2 (specific pe sector). bsi.bund.de, NIS-2-FAQ-sektorspezifisch
- Materiale de referință ENISA privind domeniul de aplicare al NIS 2 și Recomandarea privind IMM. enisa.europa.eu