Anhang I Sektor 1 NIS 2

Jsem dodavatel energie podle NIS 2?

NIS 2 uvádí energetiku v odvětví 1 Přílohy I s pěti pododvětvími (elektřina, dálkové vytápění a chlazení, ropa, plyn, vodík) a několika typy subjektů na pododvětví. Čl. 2 odst. 1 NIS 2 pak přidává test velikosti. Prahy KRITIS podle BSI-KritisV stojí samostatně navrch a o působnosti NIS 2 nerozhodují.

Simon OrzelSimon Orzel·

Stručná verze

Energetika je odvětví 1 Přílohy I NIS 2. Směrnice jmenuje pět pododvětví (elektřina, dálkové vytápění a chlazení, ropa, plyn, vodík) a pro každé z nich vyjmenovává typy subjektů v působnosti: výrobci, provozovatelé distribučních soustav, provozovatelé přenosových soustav, dodavatelé, nominovaní organizátoři trhu s elektřinou, účastníci trhu s elektřinou, provozovatelé rafinerií a zpracovatelských zařízení, provozovatelé ropovodů a skladů, ústřední správci zásob, provozovatelé zařízení LNG pro zemní plyn, provozovatelé výroby a přepravy vodíku. Jedno pododvětví stačí k tomu, aby se firma dostala do působnosti.

Čl. 2 odst. 1 NIS 2 přidává test velikosti odkazem na doporučení 2003/361/ES: střední podnik nebo větší, což znamená alespoň 50 zaměstnanců nebo více než 10 milionů eur ročního obratu a bilanční sumy. Většina energetických firem se pohodlně nachází nad touto laťkou. Pod ní jste obvykle mimo NIS 2, ledaže by vás zachytila výjimka „bez ohledu na velikost“ podle čl. 2 odst. 2.

Německo to transponuje prostřednictvím §28 BSIG (Anwendungsbereich) a souvisejícího katalogu subjektů v Anlagen 1 a 2 BSIG. Samostatně BSI-KritisV (KRITIS-Verordnung) stanoví odvětvové prahy pro přísnější režim KRITIS (například připojené koncové zákazníky v distribuci elektřiny nebo roční dodané objemy). Překročení prahu KRITIS přidává povinnosti nad rámec NIS 2 (nezávislý audit každé tři roky podle §65 BSIG). Jeho nepřekročení NIS 2 neodstraňuje.

Právní zdroj
Tři vrstvy naskládané na sobě. Směrnice jmenuje odvětví a typy subjektů. Test velikosti je v čl. 2 odst. 1 NIS 2 plus doporučení 2003/361/ES. Německá transpozice slučuje obojí do §28 BSIG, přičemž KRITIS stojí vedle jako samostatný, přísnější režim.

Směrnice NIS 2 (EU) 2022/2555, Příloha I odvětví 1 (energetika)

Odvětví 1 Energetika: a) elektřina, včetně elektroenergetických podniků, provozovatelů distribučních soustav, provozovatelů přenosových soustav, výrobců, nominovaných organizátorů trhu s elektřinou a účastníků trhu poskytujících služby agregace, řízení odběru nebo skladování energie; b) dálkové vytápění a chlazení, včetně provozovatelů dálkového vytápění nebo dálkového chlazení; c) ropa, včetně provozovatelů ropovodů, provozovatelů zařízení na produkci, rafinaci a zpracování ropy, skladování a přepravu a ústředních správců zásob; d) plyn, včetně dodavatelských podniků, provozovatelů distribučních soustav, provozovatelů přepravních soustav, provozovatelů skladovacích zařízení, provozovatelů zařízení LNG, podniků se zemním plynem a provozovatelů zařízení na rafinaci a zpracování zemního plynu; e) vodík, včetně provozovatelů výroby, skladování a přepravy vodíku.

Odvětví 1 Přílohy I vymezuje perimetr. Pokud provozujete kteroukoli z těchto činností a projdete testem velikosti podle čl. 2 odst. 1, jste ve výchozím stavu uvnitř NIS 2. Výčet je v rámci každé definice typu subjektu demonstrativní, takže firma, která se zabývá agregací, řízením odběru nebo skladováním na straně elektřiny, je jmenována výslovně, i když nemá klasickou podobu utility.

Čl. 2 odst. 1 NIS 2 + doporučení 2003/361/ES

Tato směrnice se vztahuje na veřejné nebo soukromé subjekty některého z typů uvedených v Příloze I nebo Příloze II, které se kvalifikují jako střední podniky podle čl. 2 přílohy doporučení 2003/361/ES nebo překračují stropy pro střední podniky stanovené v odstavci 1 uvedeného článku.

Test velikosti je alespoň 50 zaměstnanců nebo více než 10 milionů eur ročního obratu a bilanční sumy. Platí pro právní subjekt, nikoli pro každou obchodní jednotku. 30členný výrobce vodíku s obratem 8 milionů eur by obvykle spadl pod laťku. 200členný provozovatel městské distribuce elektřiny je pohodlně nad ní. Čl. 2 odst. 2 uvádí výjimky „bez ohledu na velikost“, které mohou menší subjekty vtáhnout dovnitř (například jediný poskytovatel základní služby v členském státě), ale standardní cestou je test velikosti.

§28 BSIG plus BSI-KritisV (Německo)

Besonders wichtige Einrichtungen und wichtige Einrichtungen sind natürliche oder juristische Personen oder rechtlich unselbständige Organisationseinheiten einer Gebietskörperschaft, die einer der in den Anlagen 1 oder 2 genannten Einrichtungsarten zuzuordnen sind und die Schwellenwerte nach Artikel 2 der Empfehlung 2003/361/EG erreichen oder überschreiten.

§28 BSIG je německými vstupními dveřmi do působnosti NIS 2. Anlage 1 BSIG vyjmenovává typy subjektů „besonders wichtige“ (klíčové), Anlage 2 vyjmenovává typy „wichtige“ (významné). Energetická pododvětví spadají převážně do Anlage 1. BSI-KritisV (Verordnung zur Bestimmung Kritischer Anlagen) stanoví samostatné prahy KRITIS. Energetická firma, která překročí práh KRITIS, je rovněž Betreiber einer Kritischen Anlage a na tomto základě spadá do přísnější kategorie „besonders wichtige“ s povinností tříletého auditu podle §65 BSIG.

Tři otázky k vyřešení
Tři testy v pořadí. Nejprve pododvětví, poté velikost, nakonec KRITIS. První dva rozhodují, zda se NIS 2 použije. Třetí rozhoduje, zda navrch sedí přísnější režim KRITIS.
Pododvětví

Kterou energetickou činnost z Přílohy I provozujete?

Projděte pět pododvětví: elektřina, dálkové vytápění a chlazení, ropa, plyn, vodík. V rámci každého pododvětví směrnice jmenuje typy subjektů (výrobci, provozovatelé distribučních soustav, provozovatelé přenosových soustav, dodavatelé, provozovatelé skladů a LNG, provozovatelé rafinace a zpracování, ústřední správci zásob, organizátoři trhu a účastníci trhu). Jedna shoda stačí. Výrobci z obnovitelných zdrojů, dodavatelé bioplynu a vodíkové startupy nejsou z definice vyňati: spadají pod výrobce nebo dodavatelské podniky.

Velikost

Jste alespoň střední podnik?

Použijte test na právní subjekt: alespoň 50 zaměstnanců nebo více než 10 milionů eur ročního obratu a bilanční sumy. Většina zavedených energetických firem projde. Noví hráči v obnovitelných zdrojích nebo vodíku se často nacházejí pod laťkou a zůstávají mimo NIS 2, ledaže je zachytí výjimka podle čl. 2 odst. 2. Skupinové struktury: uplatní se pravidla doporučení 2003/361/ES o propojených a partnerských podnicích, takže malá provozní GmbH uvnitř velké skupiny se může i tak počítat jako velká.

KRITIS

Překračujete práh BSI-KritisV?

Odvětvové prahy stanovené v BSI-KritisV rozhodují o režimu KRITIS, nikoli o NIS 2. Dobře zdokumentovaný příklad pro distribuci elektřiny je 100 000 připojených koncových zákazníků nebo zhruba 3 700 GWh ročně dodané elektřiny. Srovnatelné prahy existují pro plyn, dálkové vytápění a ropu. Překročte jeden z nich a navrch k NIS 2 se uplatní přísnější povinnosti auditu (nezávislý audit každé tři roky podle §65 BSIG). Pokud jste pod všemi, stále dlužíte úplný katalog podle §28 BSIG a čl. 21 NIS 2.

Dvě zásady, které rozhodují většinu hraničních případů
Obě plynou přímo ze směrnice a z německé transpozice. Obě se vynořují téměř na každém energetickém hovoru.

NIS 2 sedí navrch nad EnWG, ne vedle něj

Energetické firmy v Německu už žijí pod §11 odst. 1a a §11 odst. 1b EnWG, které vyžadují katalog bezpečnosti IT zveřejněný Bundesnetzagentur ve spolupráci s BSI. NIS 2 jej nenahrazuje. Oba režimy se překrývají v oblasti čl. 21 (opatření řízení rizik), ale NIS 2 přidává registrační povinnost podle §33 BSIG, cyklus hlášení významných incidentů podle §32 BSIG, povinnost školení vedení podle čl. 20 a povinnosti dodavatelského řetězce podle čl. 21 odst. 2 písm. d). Vedení katalogu EnWG je nezbytné, nikoli postačující.

Prahy KRITIS jsou na pododvětví, působnost NIS 2 je na subjekt

Prahy BSI-KritisV jsou psány na činnost (distribuce elektřiny, výroba elektřiny, skladování plynu atd.) a platí pro provozovanou Anlage. Působnost NIS 2 podle §28 BSIG a čl. 2 odst. 1 NIS 2 platí pro právní subjekt. Vertikálně integrovaná energetická firma může být pod každým jednotlivým prahem KRITIS, a přesto být plnohodnotným subjektem NIS 2, protože subjekt jako celek překračuje laťku velikosti.

Kdo na co dohlíží
Energetické firmy jednají s několika orgány paralelně. BSI je kybernetický regulátor podle NIS 2. Bundesnetzagentur vlastní regulaci energetického odvětví a katalog bezpečnosti IT. ENISA píše celounijní výklad, ke kterému ostatní členské státy konvergují.
Německo

BSI / §28 BSIG, hlášení podle §32, registr podle §33

BSI je kybernetickým orgánem podle BSIG. Provozuje registrační portál podle §33, kde každý energetický subjekt v působnosti NIS 2 předkládá údaje o firmě a aktualizace do dvou týdnů podle čl. 27 odst. 2. Přijímá hlášení významných incidentů podle §32 BSIG v časovém rámci NIS 2. Pokud je subjekt rovněž Betreiber einer Kritischen Anlage, je BSI protistranou auditu pro tříletý důkaz auditu podle §65 BSIG.

Německo

Bundesnetzagentur / katalog bezpečnosti IT podle §11 EnWG

Bundesnetzagentur je odvětvový regulátor pro elektřinu a plyn. §11 odst. 1a a §11 odst. 1b EnWG vyžadují, aby provozovatelé energetických sítí a energetických zařízení zavedli katalog bezpečnosti IT, který Bundesnetzagentur zveřejňuje ve spolupráci s BSI. Katalog a opatření čl. 21 NIS 2 se silně překrývají, ale dohled je vykonáván samostatně. Bundesnetzagentur rovněž zajišťuje certifikaci auditu pro katalog.

Celounijně

Technický prováděcí návod ENISA

Technický prováděcí návod ENISA vysvětluje, jak zavést opatření čl. 21 napříč energetickými pododvětvími. Ostatní členské státy transponují odvětví 1 Přílohy I shodně (výčet je unijní právo). Liší se prováděcí orgán: ACER a národní energetické regulátory zastávají odvětvovou roli, národní příslušné orgány pro NIS zastávají kybernetickou roli. Přeshraniční energetičtí provozovatelé spadají pod více než jeden regulátor najednou.

Tři pasti, které vídáme na energetických hovorech
Všechny tři se objeví téměř na každém rozhovoru s výrobcem, dodavatelem nebo provozovatelem sítě. Všechny tři jsou chybné.

  • Už děláme katalog bezpečnosti IT podle §11 EnWG, takže NIS 2 je pokryt.

    Katalog pokrývá velký díl čl. 21 NIS 2, ale ne celý. Registrace podle §33 BSIG je samostatná. Hlášení významných incidentů podle §32 BSIG je samostatné. Povinnost školení vedení podle čl. 20 NIS 2 je samostatná. Povinnost dodavatelského řetězce podle čl. 21 odst. 2 písm. d) jde nad rámec katalogu. Vedení katalogu je silný náskok, nikoli náhrada.

  • Jsme pod prahem BSI-KritisV, takže NIS 2 se nepoužije.

    Prahy KRITIS podmiňují režim KRITIS, nikoli NIS 2. Provozovatel distribuce elektřiny se 60 000 připojenými koncovými zákazníky je pod zdokumentovaným prahem 100 000 a není Betreiber einer Kritischen Anlage. Týž provozovatel je stále subjektem NIS 2 podle §28 BSIG a dluží úplný katalog čl. 21, registraci podle §33 a hlášení incidentů podle §32.

  • Jsme firma z obnovitelných zdrojů (vítr, solár, bioplyn, zelený vodík), takže NIS 2 se na nás nevztahuje.

    Odvětví 1 Přílohy I uvádí výrobce elektřiny, aniž by rozlišovalo technologii výroby. Vítr, solár, voda, bioplyn i vodík se všechny počítají. Provozovatel z obnovitelných zdrojů, který projde testem velikosti podle čl. 2 odst. 1, je v působnosti přesně za stejných podmínek jako konvenční výrobce. Jediným únikovým východem je neprojití testu velikosti, nikoli zdroj výroby.

Jak to vypadá v praxi

Typická středně velká německá energetická firma se 150 zaměstnanci, distribuční složkou elektřiny obsluhující zhruba 40 000 koncových zákazníků, dodavatelskou složkou plynu a malým portfoliem výroby z obnovitelných zdrojů spadá do působnosti NIS 2 prostřednictvím odvětví 1 Přílohy I (pododvětví elektřiny a plynu). Test velikosti je na úrovni subjektu splněn. Prahy BSI-KritisV pro distribuční složku nejsou překročeny, takže povinnost auditu podle §65 se neuplatní, ale §28 BSIG ano. Katalog §11 EnWG je pro síť již zaveden, takže většina čl. 21 je rozjetá ještě před zahájením práce na NIS 2.

Registr rizik podle §30 musí na jednom místě pokrýt OT a SCADA napříč distribuční sítí, řízení plynárenské sítě a výrobní portfolio. Hlášení podle §32 protéká přes BSI v časovém rámci NIS 2. Registrace podle §33 je jediné podání za celý právní subjekt. Školení vedení podle čl. 20 NIS 2 je pro většinu představenstev v tomto segmentu nové a katalog EnWG je nepokrývá. Kontroly dodavatelského řetězce podle čl. 21 odst. 2 písm. d) jsou druhým velkým rozdílem oproti světu EnWG.

Jak to řešíme na platformě

Kontrola působnosti vás provede pododvětvími odvětví 1 Přílohy I, zeptá se na počet zaměstnanců a obrat na úrovni subjektu a řekne vám, do které kategorie podle §28 BSIG spadáte a zda nějaká činnost zároveň vtahuje KRITIS. Výstupem je memo připravené ke vložení, které přečte jak váš řídicí orgán, tak vaše protistrana z Bundesnetzagentur.

Tam, kde se čl. 21 NIS 2 a katalog §11 EnWG překrývají, platforma mapuje požadavky jednou a nechá tentýž důkaz počítat pro oba. Modul aktiv zachytí inventář OT i IT napříč všemi pododvětvími na jednom místě. Pracovní postup registrace podle §33 zůstává na platformě, včetně dvoutýdenního cyklu aktualizací podle čl. 27 odst. 2.

Zdroje
  • Směrnice (EU) 2022/2555 (NIS 2), Příloha I odvětví 1. eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Směrnice (EU) 2022/2555 (NIS 2), čl. 2 odst. 1 a čl. 2 odst. 2. eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Doporučení Komise 2003/361/ES o definici mikropodniků, malých a středních podniků
  • Zákon o BSI (BSIG), §28 (Anwendungsbereich), §32 (Meldepflichten), §33 (Registrierung), §65 (audity) ve znění zákona o provádění NIS2 a posílení kybernetické bezpečnosti. gesetze-im-internet.de
  • Verordnung zur Bestimmung Kritischer Anlagen (BSI-KritisV). odvětvové prahy pro Energie
  • Energiewirtschaftsgesetz (EnWG), §11 odst. 1a a §11 odst. 1b. gesetze-im-internet.de
  • Katalog bezpečnosti IT Bundesnetzagentur pro provozovatele energetických sítí a energetických zařízení
Spusťte kontrolu působnosti pro svou energetickou firmu
Zaškrtněte pododvětví Přílohy I, která provozujete, zadejte počet zaměstnanců a obrat, získejte jednu odpověď pro právní subjekt plus memo, které váš řídicí orgán může podepsat. Kostenlos, Open Source, kein Lock-in.
Otevřít kontrolu působnosti