Recital 7

Op grond van Richtlijn (EU) 2016/1148 waren de lidstaten verantwoordelijk voor het identificeren van de entiteiten die voldeden aan de criteria om als aanbieders van essentiële diensten te worden aangemerkt. Om de grote verschillen tussen de lidstaten in dat opzicht weg te werken en rechtszekerheid te bieden met betrekking tot de maatregelen voor het beheer van cyberbeveiligingsrisico’s en de rapportageverplichtingen voor alle relevante entiteiten, moet er een uniform criterium worden vastgesteld dat bepaalt welke entiteiten binnen het toepassingsgebied van deze richtlijn vallen. Dit criterium moet bestaan uit de toepassing van een “size-cap”-regel, waarbij alle entiteiten die worden aangemerkt als middelgrote ondernemingen uit hoofde van artikel 2, lid 1, van de bijlage bij Aanbeveling 2003/361/EG van de Commissie(5), of die de plafonds voor middelgrote ondernemingen als bepaald in lid 1 van dat artikel overschrijden, en die actief zijn in de sectoren en de soorten diensten of de onder deze richtlijn vallende activiteiten verrichten, binnen het toepassingsgebied van deze richtlijn vallen. De lidstaten moeten er ook voor zorgen dat bepaalde kleine ondernemingen en micro-ondernemingen, als gedefinieerd in artikel 2, leden 2 en 3, van die bijlage, die voldoen aan specifieke criteria welke wijzen op een sleutelrol voor de samenleving, de economie of bepaalde sectoren of soorten diensten, binnen het toepassingsgebied van deze richtlijn vallen.