Cine intră în domeniul de aplicare al NIS 2: testul complet al articolului 2
Articolul 2 NIS 2 stabilește un singur test de domeniu de aplicare valabil la nivelul UE. Trei părți: sectorul (Anexa I sau II), mărimea (mijlocie sau mai mare conform Recomandării 2003/361/CE) și excepțiile indiferent de mărime. Această pagină parcurge totul în ordine, așa cum trebuie citită o verificare de aplicabilitate.
Pe scurt
Există un singur test valabil la nivelul UE pentru a stabili dacă NIS 2 vă obligă. Se află în articolul 2 din directivă. Are trei componente mobile. Sector. Mărime. Excepție. Majoritatea explicațiilor acoperă primele două și se opresc. A treia este locul unde entitățile mici sunt aduse în domeniul de aplicare și unde apar cele mai multe surprize.
Articolul 2(1) este cazul de bază. Intrați dacă vă aflați într-un sector enumerat în Anexa I (sectoare de înaltă criticitate) sau Anexa II (alte sectoare critice) și sunteți cel puțin o întreprindere mijlocie conform Recomandării 2003/361/CE. Articolul 2(2) enumeră apoi cazurile în care intrați indiferent de mărime. Telecomunicații, prestatori de servicii de încredere, DNS, registre TLD, furnizori unici de servicii esențiale, entități ale administrației publice și câteva altele. Sub pragul de mărime nu înseamnă în afară.
Germania transpune același test în dreptul național prin §28 BSIG. Substanța este identică. Mecanica (ce agenție, ce formular, ce termen) este națională. Rulați testul o dată, notați rezultatul, păstrați-l la dosar. Acel document este evaluarea dumneavoastră de aplicabilitate.
Articolul 2(1) Directiva NIS 2 (2022/2555)
Prezenta directivă se aplică entităților publice sau private de un tip menționat în Anexa I sau II care se califică drept întreprinderi mijlocii în temeiul articolului 2 din anexa la Recomandarea 2003/361/CE, sau care depășesc plafoanele pentru întreprinderi mijlocii prevăzute la alineatul (1) din respectivul articol, și care își prestează serviciile sau își desfășoară activitățile în interiorul Uniunii.
Testul de bază. Sector (Anexa I sau II), mărime (mijlocie sau mai mare), serviciu prestat în Uniune. Articolul 2(2) adaugă apoi o listă de cazuri indiferent de mărime. Articolul 2(3) include entitățile critice din CER. Articolele 2(5) până la 2(11) exclud securitatea națională, apărarea, parlamentele, băncile centrale și sectorul financiar (DORA, lex specialis în temeiul articolului 4).
Recomandarea 2003/361/CE, anexă Articolul 2
Categoria microîntreprinderilor și a întreprinderilor mici și mijlocii (IMM-uri) este formată din întreprinderi care au mai puțin de 250 de angajați și care au o cifră de afaceri anuală care nu depășește 50 de milioane EUR, și/sau un total al bilanțului anual care nu depășește 43 de milioane EUR.
Definiția oficială de mărime a UE. Mijlocie începe de la 50 de angajați și cel puțin 10 milioane EUR cifră de afaceri și 10 milioane EUR bilanț. NIS 2 vă prinde de la mijlocie în sus. 'Depășește plafoanele pentru mijlocie' din articolul 2(1) înseamnă întreprindere mare conform aceleiași Recomandări. Întreprinderile legate și partenere se agregă, astfel încât o filială mică a unei societăți-mamă mari se califică adesea drept mare.
§28 BSIG (Germania)
Besonders wichtige Einrichtungen sind Einrichtungen einer in Anlage 1 genannten Art und Größe; wichtige Einrichtungen sind Einrichtungen einer in Anlage 2 genannten Art und Größe.
Germania împarte cele două categorii ale UE în 'besonders wichtige' (esențiale) și 'wichtige' (importante) Einrichtungen folosind Anlagen 1 și 2 din BSIG, care reflectă Anexa I și II din directivă. Pragurile de mărime și cazurile indiferent de mărime urmează textul UE. Alte state membre au propriile legi de transpunere (NL Cyberbeveiligingswet, AT NISG, FR ordonnance n° 2024-1184) folosind același prag minim al UE.
Anexa I sau Anexa II?
Anexa I (sectoare de înaltă criticitate, 11 sectoare): Energie, Transport, Bănci, Infrastructuri ale pieței financiare, Sănătate, Apă potabilă, Apă uzată, Infrastructură digitală, Gestionarea serviciilor TIC (B2B, MSP și MSSP), Administrație publică, Spațiu. Anexa II (alte sectoare critice, 7 sectoare): Servicii poștale și de curierat, Gestionarea deșeurilor, Produse chimice, Alimente, Fabricarea (dispozitive medicale, electronice, echipamente electrice, mașini, vehicule), Furnizori digitali (piețe online, motoare de căutare, rețele sociale), Cercetare. Dacă serviciul sau activitatea dumneavoastră se află în oricare dintre anexe, treceți la testul de mărime.
Întreprindere mijlocie sau mai mare?
Recomandarea 2003/361/CE definește mijlocie ca 50 de angajați sau mai mult, SAU cifră de afaceri de cel puțin 10 milioane EUR ȘI bilanț de cel puțin 10 milioane EUR. Articolul 2(1) vă prinde de la mijlocie în sus. Se aplică agregarea întreprinderilor legate: dacă o societate-mamă controlează peste 50 la sută din voturi, numărul de angajați și cifra de afaceri se combină. O filială cu 30 de persoane a unui grup cu 5000 de persoane se contabilizează ca parte a cifrelor acelui grup.
Vă aduce articolul 2(2) sau 2(3) în domeniul de aplicare indiferent de mărime?
Articolul 2(2) anulează testul de mărime pentru: furnizorii de rețele sau servicii publice de comunicații electronice; prestatorii de servicii de încredere (eIDAS); registrele de nume TLD și furnizorii de servicii DNS (cu excepția operatorilor de servere rădăcină de nume); furnizorii unici dintr-un stat membru de un serviciu esențial pentru activități societale sau economice critice; entitățile a căror perturbare ar putea avea un impact semnificativ asupra siguranței publice, securității publice sau sănătății publice, sau ar putea induce un risc sistemic, ori care sunt critice pentru un sector sau pentru sectoare interdependente; entitățile administrației publice. Articolul 2(3) include entitățile identificate drept critice în temeiul Directivei CER (reziliența entităților critice). Articolul 2(4) permite statelor membre să includă administrația publică regională.
Testul se rulează per entitate juridică, nu per grup
Articolul 2(1) atașează obligațiile entității, nu grupului de societăți. O structură de holding cu cinci entități juridice rulează testul de cinci ori. Aplicabilitatea și obligațiile se aplică entității juridice din domeniul de aplicare. Serviciile de grup pot implementa măsuri de control la nivel central, dar destinatarul juridic este entitatea. Acolo unde cifrele întreprinderilor legate schimbă mărimea unei filiale, asta schimbă doar intrarea testului de mărime, nu cine poartă obligația. Vedeți și pagina despre domeniul de aplicare al filialelor și holdingurilor.
Sub pragul de mărime nu înseamnă în afară
Articolul 2(2) este capcana în care intră entitățile mici. Furnizorii de telecomunicații, prestatorii de servicii de încredere, furnizorii DNS, registrele TLD, furnizorii unici de servicii esențiale și anumite entități ale administrației publice sunt prinși indiferent de mărime. Un prestator de servicii de încredere eIDAS cu cinci persoane intră. Un furnizor DNS cu 20 de persoane intră. Testul de mărime este doar pentru cazul de bază; verificați lista de excepții înainte să scrieți 'în afara domeniului de aplicare'.
BSI / §28 BSIG și instrumentul de aplicabilitate
BSI publică pe site-ul său un instrument 'Betroffenheitsprüfung' care parcurge Anlage 1 și Anlage 2 BSIG. Entitățile se clasifică singure și se înregistrează prin portalul de înregistrare BSI. §28 BSIG împarte domeniul de aplicare în 'besonders wichtige' (esențiale, mai ales Anexa I) și 'wichtige' (importante, mai ales Anexa II) Einrichtungen, cu plafoane diferite de sancțiuni conform §65 BSIG.
Instrumentul ENISA de urmărire a transpunerii
ENISA, agenția UE pentru securitate cibernetică, publică un instrument de urmărire a transpunerii care arată unde se află fiecare stat membru cu implementarea NIS 2 în dreptul național. La data de mai 2026, mai multe state fuseseră trimise la CJUE pentru transpunere tardivă. Directiva în sine se aplică de la 18 octombrie 2024 indiferent de aceasta; legea națională adaugă doar mecanismele locale de executare.
Legi naționale de transpunere
Țările de Jos: Cyberbeveiligingswet (NCSC ca autoritate competentă). Austria: NISG (BMI). Franța: ordonnance n° 2024-1184 (ANSSI). Belgia: NIS2-Wet (CCB). Testul de domeniu de aplicare este identic deoarece Anexa I și II sunt la nivel UE. Ce diferă: portalurile de înregistrare, termenele de raportare conform dreptului procedural național, cu ce agenție discutați prima dată.
Avem sub 50 de angajați, deci NIS 2 nu se aplică.
Nu neapărat. Articolul 2(2) include furnizorii de telecomunicații, servicii de încredere, DNS, registre TLD, furnizorii unici de servicii esențiale și anumite entități ale administrației publice indiferent de mărime. Un prestator de servicii de încredere eIDAS cu patru persoane intră. Rulați verificarea de excepție înainte să vă opriți la pragul de mărime.
Suntem un organism din sectorul public, deci suntem în afară.
Depinde. Articolul 2(2)(i) acoperă entitățile administrației publice la nivel central și (acolo unde statul membru alege) regional. Articolul 2(5) până la 2(11) exclud securitatea națională, apărarea, aplicarea legii, sistemul judiciar, parlamentele și băncile centrale, dar majoritatea celorlalte entități ale administrației publice intră. §28 BSIG din Germania și instrumentul de aplicabilitate BSI arată tăietura locală.
Filiala noastră este mică, deci este în afară.
Agregarea întreprinderilor legate conform Recomandării 2003/361/CE adaugă numărul de angajați și cifra de afaceri ale societății-mamă la cifrele filialei atunci când societatea-mamă controlează peste 50 la sută din voturi. O filială cu 30 de persoane a unui grup cu 5000 de persoane rulează testul de mărime pe cifrele combinate, nu pe cele locale. Vedeți pagina despre domeniul de aplicare al filialelor și holdingurilor pentru regula completă.
Testul complet al articolului 2 durează aproximativ zece minute dacă îl rulați în ordine. Mai întâi sectorul (o privire la Anexa I și II). Apoi mărimea (ultimele cifre anuale plus agregarea întreprinderilor legate dacă aveți o societate-mamă). Apoi excepțiile (articolul 2(2), 2(3), 2(4) și excluderile 2(5) până la 2(11)). Apoi rezultatul. Trei pagini de notițe sunt suficiente.
Notați-l. Datați-l. Semnați-l. Acel document este Anwendbarkeitsprüfung-ul dumneavoastră. Autoritățile naționale așteaptă să puteți arăta cum ați ajuns la 'în domeniul de aplicare' sau 'în afara domeniului de aplicare', nu doar concluzia. Dacă cifrele se schimbă (o fuziune, o nouă linie de activitate, depășirea unui prag), reluați testul și păstrați versiunea anterioară. Pista de audit a deciziei contează la fel de mult ca decizia.
Verificarea de aplicabilitate de pe nisd2.eu parcurge întregul arbore al articolului 2, în ordine. Alegerea sectorului din Anexa I și II. Mărimea cu agregarea întreprinderilor legate. Lista de excepții din articolul 2(2) și 2(3). Excluderile din articolul 2(5) până la 2(11). Rezultatul este un Anwendbarkeitsprüfung scris cu sectorul, numărul de angajați și cifrele de afaceri, statutul de excepție și clasificarea (besonders wichtig, wichtig, sau în afară).
Verificarea este gratuită. Primiți documentul ca PDF și ca înregistrare versionată în interiorul platformei. Reluați-o ori de câte ori cifrele dumneavoastră se schimbă. Fiecare versiune este marcată cu data și semnată de utilizatorul care a rulat-o, astfel încât pista de audit este integrată.
- Directiva (UE) 2022/2555 (NIS 2), Articolul 2 și Anexele I și II. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Recomandarea 2003/361/CE a Comisiei, definiția microîntreprinderilor și a întreprinderilor mici și mijlocii. eur-lex.europa.eu/eli/reco/2003/361/oj
- Directiva (UE) 2022/2557 (CER), reziliența entităților critice. eur-lex.europa.eu/eli/dir/2022/2557/oj
- BSI-Gesetz (BSIG), §28 astfel cum a fost modificat prin NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz
- BSI Betroffenheitsprüfung. bsi.bund.de/dok/nis-2-betroffenheitspruefung
- Instrumentul ENISA de urmărire a transpunerii NIS 2 (la data de mai 2026)