Stanovuji velikost podniku. Na co si dát pozor?

Pro správné určení, zda se na organizaci regulace vztahuje, a zejména pro posouzení velikosti podniku, je proto nutné zohlednit i personální a majetkové propojení s dalšími subjekty, typicky v rámci holdingových struktur nebo partnerských vztahů. Opomenutí těchto vazeb může vést k nesprávnému závěru o aplikovatelnosti zákona, a tím i k riziku neplnění povinností, které z regulace vyplývají.

Podnik, nikoliv společnost

První kritická nepřesnost, která se v praxi často objevuje, spočívá v tom, že organizace zaměňují pojem právnická osoba nebo společnost s pojmem podnik. Směrnice NIS2 i ZKB jednoznačně pracují s pojmem podnik, který je definován šířeji jako subjekt vykonávající hospodářskou činnost, a to bez ohledu na jeho právní formu. Podnikem tak může být:

• Jedna společnost;

• Jedna fyzická osoba, pokud vykonává hospodářskou činnost;

• Holding několika společností;

• Osoby provázané nad stanovené limity;

• Církev vykonávající hospodářskou činnost.

U určení počtu zaměstnanců či obratu tedy nelze spoléhat na závěr typu „u nás ve firmě pracuje 32 lidí“ — nejprve je nutné posoudit, zda náhodou není firma třeba součástí holdingu nebo nemá propojené a partnerské podniky a až následně určit celkový počet zaměstnanců, obrat a bilanční sumu za celý podnik jako ekonomickou jednotku. Jednotlivé subjekty pak mohou být propojeny personálně či majetkově.

Personální propojení

Otázka personálního propojení je přímočará. V případě, že podniky vykonávají svou činnost nebo její část na stejném relevantním trhu nebo na trzích sousedních a mají společného jednatele či vlastníka více jak 50 % základního kapitálu nebo hlasovacích práv, považují se za propojené a jejich velikost se sčítá v plném rozsahu.

Majetkové propojení

Pro výpočet majetkového propojení je třeba posoudit velikost podílu subjektu v dalších, potenciálně propojených subjektech. Rozdělení je následovné:

• Podíl ve výši menší než 25 %: subjekt se nepovažuje za propojený. Jeho aktiva se pro potřeby stanovení velikosti podniku nepřičtou.

Firma A s.r.o. s 45 zaměstnanci vlastní 20% podíl ve firmě B s.r.o. s 20 zaměstnanci. ZKB se aplikovat dle tohoto kritéria na firmu A nebude, neboť počty zaměstnanců se nesčítají a firma A s.r.o. tak nemá více než 50 zaměstnanců. 

• Podíl ve výši 25 – 50 %: Aktiva se přičtou v poměru velikosti podílu. Za společnost, v níž máme 40 % podíl, přičteme pro potřeby stanovení velikosti podniku 40 % jejích zaměstnanců a 40 % jejího obratu/bilanční sumy roční rozvahy.

Firma A s.r.o. s 45 zaměstnanci vlastní 40% podíl ve firmě B s.r.o. s 20 zaměstnanci. K počtu 45 zaměstnanců firmy A s.r.o. se přičte 40 % zaměstnanců firmy B s.r.o., tedy 8 zaměstnanců. Propojený podnik tak má 53 zaměstnanců a pokud bude firma A poskytovat také nějakou z regulovaných služeb, ZKB se na ni dle kritéria počtu zaměstnanců aplikovat bude.

• Podíl ve výši vyšší než 50 %: subjekt se považuje za plně propojený. Jeho aktiva se pro potřeby stanovení velikosti podniku přičtou v plné výši.

Firma A s.r.o. s 45 zaměstnanci vlastní 60% podíl ve firmě B s.r.o. s 20 zaměstnanci. K počtu 45 zaměstnanců firmy A s.r.o. se přičte plný počet zaměstnanců firmy B s.r.o., tedy 20 zaměstnanců. Propojený podnik tak má 65 zaměstnanců a ZKB se dle kritéria počtu zaměstnanců aplikovat bude.

V zákoně je však stanovena výjimka pro případ, kdy technická aktiva subjektů jsou zcela oddělena, byť by jinak subjekty naplňovaly kritéria pro propojení. Tato výjimka je logickou úpravou zákona, neboť technická aktiva jsou stěžejním prvkem kybernetické bezpečnosti a primárním smyslem regulace. Pokud jsou subjekty propojené, ale technická aktiva propojena nemají, jedná se z pohledu kybernetické bezpečnosti o dva oddělené subjekty, a nemá tedy smysl je posuzovat společně. Je však třeba dodat, že oddělení musí být prokazatelné, úplné a dlouhodobé. Mimo výjimku technické propojenosti existují i další méně časté výjimky, ale o těch příště.