(7) Съгласно Директива (ЕС) 2016/1148 държавите членки са отговорни за определянето на субектите, които отговарят на критериите за оператори на основни услуги. За да се отстранят големите различия сред държавите членки в това отношение и да се гарантира правна сигурност по отношение на мерките за управление на риска в областта на киберсигурността и задълженията за докладване по отношение на всички относими субекти, следва да се установи еднакъв критерий, определящ субектите, попадащи в обхвата на настоящата директива. Този критерий следва да се състои в прилагането на правилото за размер на предприятието, при което всички субекти, които отговарят на критериите за средни предприятия съгласно член 2 от приложението към Препоръка 2003/361/ЕО на Комисията (5) или надхвърлят таваните за средни предприятия, посочени в параграф 1 от същия член, и които упражняват дейност в секторите и предоставят видовете услуги или извършват дейностите, обхванати от настоящата директива, попадат в нейния обхват. Държавите членки следва също така да предвидят определени малки и микропредприятия по смисъла на член 2, параграфи 2 и 3 от посоченото приложение, които отговарят на специфични критерии, показващи ключова роля за обществото, икономиката или за определени сектори или видове услуги, да попадат в обхвата на настоящата директива.