Anhang I Sektor 6 NIS 2

Jsme dodavatelem pitné vody v působnosti NIS 2?

Příloha I sektor 6 NIS 2 pokrývá dodavatele a distributory vody určené k lidské spotřebě. Velikostní práh je střední podnik nebo větší. Práh KRITIS, kterým je 22 milionů metrů krychlových ročně, je samostatný, přísnější režim, který sedí navrch.

Simon OrzelSimon Orzel·

Stručná verze

NIS 2 uvádí pitnou vodu jako přílohu I sektor 6. Definice pitné vody je převzata ze směrnice (EU) 2020/2184, přepracované směrnice o pitné vodě: voda určená k lidské spotřebě, dodávaná prostřednictvím distribuční sítě nebo z cisterny, anebo používaná při výrobě potravin. Pokud váš subjekt tuto vodu dodává nebo distribuuje, jste uvnitř sektoru.

Čl. 2 odst. 1 NIS 2 přidává velikostní test: alespoň 50 zaměstnanců, nebo více než 10 milionů eur obratu a bilanční sumy, měřeno podle doporučení 2003/361/ES. Městská vodárna, regionální vodárenský svaz nebo vodárenská divize městských služeb obvykle tuto laťku překračuje s velkým náskokem. Režim KRITIS nastupuje až nad 22 miliony metrů krychlových ročně, což je mnohem vyšší laťka než NIS 2.

Německo to zavádí do vnitrostátního práva přes §28 BSIG. KRITIS-Verordnung stanoví práh 22 milionů metrů krychlových pro německý režim KRITIS. Většina německých dodavatelů pitné vody jsou subjekty NIS 2, ale ne provozovatelé KRITIS. Obě vrstvy jsou nezávislé. Nesplnění prahu KRITIS NIS 2 neodstraňuje.

Právní zdroj
Směrnice pojmenovává sektor v příloze I. Směrnice o pitné vodě definuje, co se počítá jako pitná voda. Nařízení stanoví velikostní test. Německé provedení vše sjednocuje do §28 BSIG, přičemž KRITIS sedí vedle jako samostatný, přísnější režim.

Směrnice NIS 2 (2022/2555), příloha I sektor 6 Pitná voda

Suppliers and distributors of water intended for human consumption as defined in point 1 of Article 2 of Directive (EU) 2020/2184 of the European Parliament and of the Council, but excluding distributors for whom distribution of water for human consumption is a non-essential part of their general activity of distributing other commodities and goods.

Sektorový test je binární. Pokud dodáváte nebo distribuujete pitnou vodu jako hlavní činnost, uplatní se sektor 6. Výjimka je úzká: vyjímá distributory jiných komodit, kteří shodou okolností předávají i pitnou vodu jako vedlejší činnost. Vodárna, vodárenský svaz, účelový svaz nebo vodárenská divize městských služeb pod tuto výjimku nespadají.

Čl. 2 odst. 1 NIS 2 + doporučení 2003/361/ES + KRITIS-Verordnung

This Directive applies to public or private entities of a type referred to in Annex I or Annex II which qualify as medium-sized enterprises under Article 2 of the Annex to Recommendation 2003/361/EC, or exceed the ceilings for medium-sized enterprises provided for in paragraph 1 of that Article.

Velikostní test je střední podnik nebo větší: alespoň 50 zaměstnanců, nebo více než 10 milionů eur ročního obratu a bilanční sumy. KRITIS používá samostatný práh specifický pro sektor pitné vody: více než 22 milionů metrů krychlových ročně, stanovený v KRITIS-Verordnung. Prahy KRITIS NIS 2 nepodmiňují.

§28 BSIG (Německo)

Besonders wichtige Einrichtungen und wichtige Einrichtungen sind natürliche oder juristische Personen oder rechtlich unselbständige Organisationseinheiten einer Gebietskörperschaft, die einer der in den Anlagen 1 oder 2 genannten Einrichtungsarten zuzuordnen sind und die Schwellenwerte nach Artikel 2 der Empfehlung 2003/361/EG erreichen oder überschreiten.

§28 BSIG je německými dveřmi do NIS 2. Pitná voda sedí v Anlage 1 (besonders wichtige Sektoren) jako Trinkwasser. Překročení prahu KRITIS-Verordnung 22 milionů metrů krychlových ročně přidává vrstvu Betreiber kritischer Anlagen s tříletým auditním cyklem podle §65 BSIG. Pod tímto prahem je dodavatel pitné vody stále besonders wichtige Einrichtung ve smyslu NIS 2.

Tři otázky k vyjasnění
Tři testy v pořadí. Nejprve sektor, druhá velikost, třetí KRITIS. První dva rozhodují o tom, zda se uplatní NIS 2. Třetí rozhoduje o tom, zda navrch sedí přísnější režim KRITIS.
Sektor

Dodáváte nebo distribuujete pitnou vodu?

Pitná voda znamená vodu určenou k lidské spotřebě podle čl. 2 odst. 1 směrnice (EU) 2020/2184. To zahrnuje vodu dodávanou veřejnou sítí, vodu z cisterny a vodu používanou při výrobě potravin. Pokud váš subjekt tuto vodu jímá, upravuje, dodává nebo distribuuje jako hlavní činnost, uplatní se sektor 6. Výrobci balené vody jsou mimo sektor 6 (spadají pod výrobu potravin, samostatný sektor přílohy I v původním návrhu směrnice a nyní mimo sektor 6 NIS 2).

Velikost

Jste alespoň střední podnik?

Alespoň 50 zaměstnanců, nebo více než 10 milionů eur ročního obratu a bilanční sumy. Počet zaměstnanců a finanční stropy pocházejí z doporučení 2003/361/ES. Veřejné vlastnictví test nemění. Účelový svaz nebo městská vodárna počítají zaměstnance a obrat stejně jako soukromá GmbH.

KRITIS

Překračujete 22 milionů metrů krychlových ročně?

KRITIS-Verordnung stanoví jediný práh pro pitnou vodu: více než 22 milionů metrů krychlových dodané vody ročně. Překročte tuto hranici a navrch NIS 2 se uplatní režim KRITIS: nezávislý audit každé tři roky podle §65 BSIG, další povinnosti hlášení, registrace jako Betreiber einer kritischen Anlage. Pod touto hranicí dlužíte jen NIS 2. Zhruba 80 procent německých dodavatelů pitné vody sedí pod prahem KRITIS, ale uvnitř NIS 2.

Dvě zásady, které rozhodují většinu hraničních případů
Obě vycházejí přímo ze směrnice. Obě rozhodují běžné hraniční případy malých a středních dodavatelů pitné vody.

Výjimka pro vedlejší činnost je úzká

Příloha I sektor 6 vyjímá distributory, pro něž je pitná voda nepodstatnou součástí jejich obecné činnosti distribuce jiných komodit. Toto ustanovení existuje pro maloobchodníky a logistické firmy, které shodou okolností předávají balenou vodu vedle jiného zboží. Nevyjímá vodárnu ani vodárenskou divizi městských služeb. Pokud je pitná voda jmenovanou součástí podnikání, výjimka se neuplatní.

Pitná voda plus odpadní voda plus elektřina je jeden subjekt NIS 2

Městská vodárna, která dodává pitnou vodu, upravuje odpadní vodu a provozuje elektrickou síť, se dotýká tří sektorů přílohy I najednou. Uvnitř jedné právnické osoby je to stále jedna povinnost NIS 2. Jedna registrace u BSI. Jeden podpis řídicího orgánu. Jeden registr rizik, který pokrývá OT a IT napříč všemi třemi. Rozdělení práce po obchodních jednotkách produkuje překrývající se doklady a mezery na švech.

Jak to provádějí národní regulátoři
Dodavatele pitné vody se dotýká více orgánů. BSI vede kybernetickou stranu, Umweltbundesamt vlastní stranu kvality vody podle směrnice (EU) 2020/2184 a ENISA píše celounijní výklad.
Německo

BSI / §28 BSIG a KRITIS-Verordnung

BSI je kybernetickým orgánem pro pitnou vodu. Provozuje registrační portál podle §33 BSIG, přijímá oznámení významných incidentů podle §32 BSIG a vydává branchenspezifischer Sicherheitsstandard Wasser. Pokud je dodavatel zároveň KRITIS, je BSI adresátem důkazů tříletého auditu podle §65 BSIG.

Německo

Umweltbundesamt a Gesundheitsämter

Kvalita vody, ne kyberbezpečnost, sedí u Umweltbundesamt a regionálních zdravotních úřadů podle německé Trinkwasserverordnung (která provádí směrnici (EU) 2020/2184). NIS 2 to nemění. Kybernetické povinnosti podle §28 BSIG běží souběžně s povinnostmi ke kvalitě vody podle Trinkwasserverordnung.

Celounijně

Technická implementační vodítka ENISA

TIG od ENISA pokrývá přílohu I sektor 6 výslovně. Vysvětluje, jak se katalog kontrol podle článku 21 uplatní na provozovatele pitné vody a jak se mapuje na stávající práci podle ISO 27001 nebo NIST CSF 2.0 prostřednictvím oficiální mapovací tabulky TIG. Dodavatel, který už provozuje ISMS, má zdokumentovaný přechod na doklady NIS 2.

Ostatní členské státy

Dodavatelé pitné vody jinde

Ostatní členské státy provádějí NIS 2 se stejnou definicí sektoru (příloha I je právo EU). Rakousko ji provádí přes NISG, Nizozemsko přes Cyberbeveiligingswet, Belgie přes NIS2-Wet. Liší se dozorový orgán a načasování případného auditního cyklu specifického pro sektor. Práh 22 milionů metrů krychlových je německé pravidlo KRITIS, ne pravidlo NIS 2 na úrovni EU.

Tři pasti, které vídáme téměř každý týden
Všechny tři se objevují v hovorech s manažery vodáren. Všechny tři jsou chybné.

  • Jsme hluboko pod 22 miliony metrů krychlových ročně, takže se na nás NIS 2 nevztahuje.

    Práh 22 milionů metrů krychlových podmiňuje režim KRITIS, ne NIS 2. Vodárenský svaz dodávající 4 miliony metrů krychlových ročně je pod KRITIS, ale stále subjektem NIS 2 podle přílohy I sektoru 6 a §28 BSIG, s plným katalogem kontrol podle článku 21, registrací podle §33 BSIG a povinnostmi hlášení incidentů podle §32 BSIG. NIS 2 začíná u 50 zaměstnanců nebo 10 milionů eur, ne u objemového prahu.

  • Plníme minerální vodu pro maloobchod, takže jsme dodavatelem pitné vody podle NIS 2.

    Příloha I sektor 6 pokrývá dodavatele a distributory vody určené k lidské spotřebě podle definice ve směrnici (EU) 2020/2184. Tato směrnice se zabývá veřejným zásobováním vodou, ne balenou minerální vodou. Plniči jsou výrobci potravin, ne dodavatelé pitné vody v sektoru 6. NIS 2 se může přesto uplatnit přes jiný sektor (výroba potravin sedí v příloze II), ale ne přes sektor 6.

  • Jsme malá vodárna vlastněná obcí, takže směrnice nemůže mířit na nás.

    Příloha I se vztahuje na veřejné nebo soukromé subjekty. Obecní vlastnictví vodárnu nevyjímá. Jediná výjimka pro NIS 2 jsou funkce národní bezpečnosti a obrany. Vodárna se 60 zaměstnanci v účelovém svazu je besonders wichtige Einrichtung podle §28 BSIG stejně jako soukromá vodárna.

Jak to vypadá v praxi

Typický malý německý dodavatel pitné vody s 80 zaměstnanci, dodávající 6 milionů metrů krychlových pitné vody ročně přibližně 40 000 domácnostem, sedí jednoznačně uvnitř působnosti NIS 2 přes přílohu I sektor 6. Velikostní test je pohodlně splněn. KRITIS se neuplatní, takže tříletý audit podle §65 BSIG není ve hře. Ale §28, §30, §32 a §33 BSIG se uplatní v plném rozsahu: registrace u BSI, katalog kontrol podle článku 21, podpis řídicího orgánu, hlášení významných incidentů do 24 a 72 hodin.

Registr rizik musí pokrýt OT a SCADA ve vodárně, úpravny, telemetrii sítě, IT pro fakturaci zákazníků a cloudové služby používané k monitoringu. Opatření pro dodavatelský řetězec podle čl. 21 odst. 2 písm. d) musí dosáhnout k dodavateli chemikálií a dodavateli SCADA. Nic z toho není podmíněno dosažením 22 milionů metrů krychlových. Laťka KRITIS je samostatná, přísnější vrstva, na kterou téměř žádná německá vodárna nedosáhne.

Jak to řešíme na platformě

Kontrola použitelnosti se ptá na jednu otázku po druhé: dodáváte nebo distribuujete pitnou vodu podle směrnice (EU) 2020/2184, kolik zaměstnanců, jaký je obrat, jaký je roční objem v metrech krychlových. Vrací čistou odpověď pro §28 BSIG a samostatnou odpověď pro práh KRITIS-Verordnung. Žádné slučování obou vrstev.

Modul aktiv zachycuje inventář OT napříč vodárnami, sítí a telemetrií na jednom místě. Registr rizik sedí na tomto inventáři, takže SCADA v úpravně a fakturační IT žijí ve stejném obrazu compliance. Pokud dodavatel později překročí práh KRITIS, stejné doklady se přenesou a tříletý auditní cyklus zapadne bez paralelního systému.

Zdroje
  • Směrnice (EU) 2022/2555 (NIS 2), příloha I sektor 6. eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Směrnice (EU) 2022/2555 (NIS 2), čl. 2 odst. 1. eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Směrnice (EU) 2020/2184 (přepracovaná směrnice o pitné vodě), čl. 2 odst. 1. eur-lex.europa.eu/eli/dir/2020/2184/oj
  • Doporučení Komise 2003/361/ES o definici mikropodniků, malých a středních podniků
  • Zákon o BSI (BSIG), §28 (Anwendungsbereich), §32 (Meldepflichten) a §33 (Registrierung) ve znění zákona o provedení NIS2 a posílení kyberbezpečnosti
  • KRITIS-Verordnung (BSI-Kritisverordnung), Anlage 1: práh 22 milionů metrů krychlových ročně pro sektor Trinkwasser
  • BSI branchenspezifischer Sicherheitsstandard Wasser/Abwasser
  • Trinkwasserverordnung (německé provedení směrnice (EU) 2020/2184)
Proveďte kontrolu použitelnosti pro pitnou vodu
Čtyři otázky na sektor, velikost, objem a dodavatelský řetězec. Jedna čistá odpověď pro §28 BSIG a samostatná pro KRITIS-Verordnung. Zdarma a open source.
Otevřít kontrolu použitelnosti