Considerant 7

(7)

En vertu de la directive (UE) 2016/1148, les États membres étaient chargés de déterminer quelles entités remplissaient les critères établis pour être qualifiées d’opérateurs de services essentiels. Afin d’éliminer les divergences importantes entre les États membres à cet égard et de garantir la sécurité juridique concernant les mesures de gestion des risques en matière de cybersécurité et les obligations d’information pour toutes les entités concernées, il convient d’établir un critère uniforme déterminant quelles entités relèvent du champ d’application de la présente directive. Ce critère devrait consister en l’application d’une règle de plafond, selon laquelle toutes les entités constituant des entreprises moyennes en vertu de l’article 2 de l’annexe de la recommandation 2003/361/CE de la Commission (5), ou qui dépassent les plafonds prévus au paragraphe 1 dudit article, et qui sont actives dans les secteurs, fournissent les types de services et exercent les activités couverts par la présente directive, relèvent de son champ d’application. Les États membres devraient également faire en sorte que certaines petites entreprises et microentreprises au sens de l’article 2, paragraphes 2 et 3, de ladite annexe, qui remplissent certains critères indiquant qu’elles jouent un rôle essentiel pour la société, les économies ou pour des secteurs ou des types de services particuliers, relèvent également du champ d’application de la présente directive.