Anhang I Sektoren 1, 6, 7, 8 NIS 2

Je náš Stadtwerk v působnosti NIS 2?

Stadtwerke stojí současně na několika sektorech přílohy I NIS 2: elektřina, pitná voda, odpadní vody, někdy městská telekomunikační divize. Každý z nich vtahuje subjekt do působnosti. Test velikosti se uplatňuje na subjekt jako celek, nikoli na jednotlivé obchodní jednotky.

Simon OrzelSimon Orzel·

Krátká verze

Typický Stadtwerk provozuje pod jednou společností čtyři druhy činnosti: distribuci a dodávku elektřiny, pitnou vodu, odpadní vody a někdy telekomunikace nebo dálkové vytápění. Každá z těchto činností je samostatným sektorem podle přílohy I NIS 2. Jeden sektor stačí k tomu, abyste byli v působnosti. Čtyři sektory vás do ní nevtahují čtyřikrát. Jeden právní subjekt, jedna registrace NIS 2.

Článek 2 odst. 1 NIS 2 přidává test velikosti: střední podnik nebo větší (alespoň 50 zaměstnanců, nebo více než 10 milionů eur obratu a bilanční sumy). Stadtwerke tuto hranici téměř vždy překračují. Pokud provozujete kritickou činnost nad prahovou hodnotou KRITIS specifickou pro daný sektor (například 100 000 elektroenergetických přípojek, nebo více než 22 milionů metrů krychlových pitné vody ročně), spadáte navíc k NIS 2 i pod přísnější režim KRITIS. Pod prahovou hodnotou vám stále vznikají povinnosti podle NIS 2.

Německo to převádí do vnitrostátního práva prostřednictvím § 28 BSIG. KRITIS-Verordnung stanoví prahové hodnoty velikosti konkrétně pro režim KRITIS, což je samostatná, přísnější vrstva. NIS 2 nezávisí na prahových hodnotách KRITIS.

Právní zdroj
Směrnice jmenuje sektory v příloze I. Nařízení stanoví test velikosti. Německá transpozice spojuje obojí do § 28 BSIG, přičemž KRITIS stojí vedle jako samostatný, přísnější režim.

Směrnice NIS 2 (2022/2555), příloha I sektory 1, 6, 7, 8

Sektor 1 Energetika zahrnuje (a) elektřinu, (b) dálkové vytápění a chlazení, (c) ropu, (d) plyn, (e) vodík a pokrývá provozovatele distribučních soustav, provozovatele přenosových soustav, výrobce a podniky dodávající energii. Sektor 6 Pitná voda pokrývá dodavatele a distributory vody určené k lidské spotřebě. Sektor 7 Odpadní voda pokrývá podniky sbírající, odstraňující nebo upravující městské, domovní nebo průmyslové odpadní vody. Sektor 8 Digitální infrastruktura zahrnuje poskytovatele veřejných sítí elektronických komunikací a veřejně dostupných služeb elektronických komunikací.

Jediný Stadtwerk, který provozuje elektrickou síť, dodává pitnou vodu, čistí odpadní vody a provozuje městskou optickou síť, se dotýká čtyř různých sektorů z tohoto seznamu. Každá činnost spouští NIS 2 samostatně.

Článek 2 odst. 1 NIS 2 + doporučení 2003/361/ES + KRITIS-Verordnung

Tato směrnice se vztahuje na veřejné nebo soukromé subjekty typu uvedeného v příloze I nebo příloze II, které se kvalifikují jako střední podniky podle článku 2 přílohy doporučení 2003/361/ES nebo překračují stropy pro střední podniky stanovené v odstavci 1 uvedeného článku.

Test velikosti je střední podnik nebo větší (alespoň 50 zaměstnanců, nebo více než 10 milionů eur obratu a bilanční sumy). KRITIS-Verordnung stanoví samostatné prahové hodnoty specifické pro sektor pro německý režim KRITIS: například 100 000 přípojek v distribuci elektřiny, nebo více než 22 milionů metrů krychlových dodávky pitné vody ročně. Prahové hodnoty KRITIS nejsou podmínkou pro NIS 2.

§ 28 BSIG (Německo)

Besonders wichtige Einrichtungen und wichtige Einrichtungen sind natürliche oder juristische Personen oder rechtlich unselbständige Organisationseinheiten einer Gebietskörperschaft, die einer der in den Anlagen 1 oder 2 genannten Einrichtungsarten zuzuordnen sind und die Schwellenwerte nach Artikel 2 der Empfehlung 2003/361/EG erreichen oder überschreiten.

§ 28 BSIG je německými vstupními dveřmi do působnosti NIS 2. Příloha 1 uvádí typy 'besonders wichtige' (zásadně významné), příloha 2 uvádí typy 'wichtige' (významné). Stadtwerk, který překračuje prahovou hodnotu KRITIS alespoň u jedné činnosti, je rovněž 'Betreiber einer Kritischen Anlage' a na tomto základě se ocitá v přísnější kategorii 'besonders wichtige'.

Tři otázky k vyřešení
Tři testy v pořadí. Nejdříve sektor, druhý velikost, třetí KRITIS. První dva rozhodnou, zda se NIS 2 uplatní. Třetí rozhodne, zda se navrch přidá přísnější režim KRITIS.
Sektor

Které činnosti z přílohy I provozujete?

Projděte seznam. Elektřina (výroba, distribuce, dodávka). Dálkové vytápění nebo chlazení. Plyn. Pitná voda. Odpadní voda. Veřejná síť nebo služba elektronických komunikací. Pokud jako Stadtwerk provozujete byť jen jednu z nich, daný sektor je v působnosti. Vyjmenujte je všechny, protože každá z nich vyžaduje, aby byla bezpečnostní opatření uplatněna na systémy, které ji provozují.

Velikost

Jste alespoň střední podnik?

Alespoň 50 zaměstnanců, nebo více než 10 milionů eur obratu a bilanční sumy. Test uplatněte na právní subjekt, nikoli na jednotlivé obchodní jednotky. Stadtwerke jsou téměř vždy nad touto hranicí, jakmile sečtete provoz sítě, vodu a odpadní vody dohromady. Pod hranicí existují úzké výjimky pro některé sektory, ale nikoli pro energetiku nebo vodu.

KRITIS

Překračujete prahovou hodnotu KRITIS-Verordnung?

Specifické pro sektor. Distribuce elektřiny: 100 000 připojených koncových zákazníků. Pitná voda: 22 milionů metrů krychlových ročně. Odpadní voda: 500 000 ekvivalentních obyvatel. Překročte jakoukoli prahovou hodnotu u jakékoli činnosti a KRITIS se na tuto činnost vztahuje navrch k NIS 2. Režim KRITIS přináší přísnější auditní povinnosti (nezávislý audit každé tři roky, § 65 BSIG) a dodatečné hlášení.

Dvě zásady, které rozhodují většinu hraničních případů
Obě vyplývají přímo ze směrnice. Obě se vztahují konkrétně na Stadtwerke kvůli vícesektorovému uspořádání.

Jeden právní subjekt je jeden subjekt NIS 2

Pokud vaše obchodní jednotky pro elektřinu, vodu, odpadní vody a telekomunikace sedí uvnitř stejné GmbH, je GmbH subjektem NIS 2. Jedna registrace u BSI. Jeden registr rizik, který pokrývá všechny OT a IT napříč všemi sektory. Jeden řídicí orgán, který to schvaluje. Rozdělení práce na NIS 2 mezi provozní jednotky nerozděluje povinnost. Jen ztěžuje koordinaci.

NIS 2 není totéž co KRITIS

Překročení prahové hodnoty KRITIS přidává režim. Nenahrazuje NIS 2. Nepřekročení prahové hodnoty KRITIS odstraňuje režim KRITIS, ale neodstraňuje NIS 2. Působnost § 28 BSIG leží pod KRITIS a nad hranicí 'příliš malý, aby se to řešilo'. Stadtwerke se téměř vždy ocitají uvnitř tohoto pásma, i když jejich síť má méně než 100 000 přípojek.

Jak to vnitrostátní regulátoři vedou
S jedním Stadtwerk komunikuje více než jeden orgán. BSI je regulátor kybernetické bezpečnosti, ale Bundesnetzagentur vlastní telekomunikační část a ENISA píše celounijní výklad.
Německo

BSI / § 28 BSIG a KRITIS-Verordnung

BSI je orgánem pro kybernetickou stránku energetiky, vody a odpadních vod. Provozuje registrační portál podle § 33 BSIG, přijímá hlášení významných incidentů podle § 32 BSIG a vydává pokyny specifické pro sektor (Branchenspezifische Sicherheitsstandards) pro Energie, Wasser a Abwasser. Pokud je váš Stadtwerk také KRITIS, BSI je ten, komu předkládáte tříletý auditní doklad.

Německo

Bundesnetzagentur

Pokud váš Stadtwerk provozuje veřejnou síť nebo službu elektronických komunikací (například městskou optickou divizi), je Bundesnetzagentur sektorovým regulátorem. Kybernetické povinnosti podle § 28 BSIG stále procházejí přes BSI, ale vrstva specifická pro telekomunikace sedí u Bundesnetzagentur.

Celounijní

Technické prováděcí pokyny ENISA

TIG od ENISA vysvětluje, jak zavést kontroly podle článku 21 napříč sektory. Sektory 1, 6 a 7 přílohy I jsou pokryty výslovně. Stávající práce na ISO 27001 nebo NIST CSF 2.0 se mapuje pomocí mapovací tabulky TIG, takže Stadtwerk, který už provozuje ISMS pro jednu obchodní jednotku, má náskok u ostatních.

Ostatní členské státy

Městské technické služby jinde

Ostatní členské státy transponují NIS 2 s do značné míry srovnatelnou působností pro městské technické služby: Rakousko prostřednictvím NISG, Nizozemsko prostřednictvím Cyberbeveiligingswet, Belgie prostřednictvím NIS2-Wet, Česko prostřednictvím zákona č. 264/2025 Sb. Seznam sektorů je totožný (příloha I je právo EU). Co se liší: se kterým orgánem komunikujete a jak je načasován auditní cyklus.

Tři pasti, které vidíme téměř každý týden
Všechny tři se objevují v hovorech s manažery Stadtwerke. Všechny tři jsou mylné.

  • Jsme veřejnoprávní Stadtwerk vlastněný městem, takže se na nás NIS 2 nevztahuje.

    Příloha I nevyjímá veřejnoprávní subjekty. Výslovně se vztahuje na 'veřejné nebo soukromé subjekty'. Zda je GmbH vlastněna městem, holdingem nebo soukromými akcionáři, na testu sektoru nic nemění. Jedinou úzkou veřejnoprávní výjimkou v NIS 2 jsou funkce národní bezpečnosti a obrany, nikoli provoz technických služeb.

  • Jsme pod prahovou hodnotou KRITIS, takže nejsme v působnosti.

    Prahové hodnoty KRITIS podmiňují režim KRITIS, nikoli NIS 2. Stadtwerk s 60 000 elektroenergetickými přípojkami je pod prahovou hodnotou KRITIS 100 000, takže přísnější auditní cyklus se neuplatní. Stejný Stadtwerk je i nadále subjektem NIS 2 podle § 28 BSIG, s celým katalogem kontrol podle článku 21, registrací a povinnostmi hlášení incidentů.

  • Každá jednotka technických služeb řeší vlastní soulad s NIS 2.

    Uvnitř jednoho právního subjektu existuje jedna povinnost NIS 2. Jedna registrace. Jedno schválení řídicím orgánem. Jeden registr rizik, který musí pokrýt OT a IT napříč všemi sektory. Zacházení s každou obchodní jednotkou jako se samostatným silem souladu vede k překrývající se práci, mezerám na švech a auditnímu příběhu, který nedrží pohromadě.

Jak to vypadá v praxi

Typický Stadtwerk s 200 zaměstnanci, elektroenergetickou sítí s 60 000 zákazníky, dodávkou pitné vody kolem 8 milionů metrů krychlových ročně a malou optickou divizí sedí jednoznačně v působnosti NIS 2 prostřednictvím sektorů 1, 6, 7 a 8 přílohy I. Test velikosti je s rezervou splněn. Prahové hodnoty KRITIS nejsou dosaženy, takže auditní povinnosti podle § 65 BSIG se neuplatní, ale povinnosti podle § 28 BSIG ano.

Registr rizik podle § 30 musí na jednom místě pokrýt OT a SCADA u elektřiny, vody a odpadních vod. Hlášení incidentů podle § 32 prochází přes BSI. Registrace podle § 33 je jediné podání za celou společnost. Pokud navíc překročíte prahovou hodnotu KRITIS u jakékoli činnosti, vaše klasifikace podle § 28 se posune na 'besonders wichtige Einrichtung' a navrch nastupuje tříletý audit KRITIS.

Jak to řešíme na platformě

Kontrola působnosti vás přímo provede případem jednoho subjektu s více sektory. Zaškrtnete každou činnost z přílohy I, kterou váš Stadtwerk provozuje, platforma je agreguje proti testu velikosti a řekne vám, do které kategorie podle § 28 BSIG spadáte a zda nějaká činnost zároveň vtahuje i KRITIS.

Modul aktiv zachytí inventář OT a IT napříč všemi podsektory na jednom místě. Registr rizik sedí na tomto jediném inventáři, takže plán nápravy uplatněný na řídicí systém SCADA ve vodárně a na řídicí dispečink sítě stojí vedle sebe, ne ve dvou samostatných šanonech souladu.

Zdroje
  • Směrnice (EU) 2022/2555 (NIS 2), příloha I sektory 1, 6, 7 a 8. eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Směrnice (EU) 2022/2555 (NIS 2), článek 2 odst. 1. eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Doporučení Komise 2003/361/ES o definici mikropodniků, malých a středních podniků
  • Zákon o BSI (BSIG), § 28 (Anwendungsbereich) a § 33 (Registrierung) ve znění zákona o provedení NIS2 a posílení kybernetické bezpečnosti
  • KRITIS-Verordnung (BSI-Kritisverordnung). Prahové hodnoty specifické pro sektor pro Energie, Wasser a Abwasser
  • Pokyny BSI pro sektor Energie, Wasser a Abwasser (Branchenspezifische Sicherheitsstandards)
Spusťte vícesektorovou kontrolu působnosti
Zaškrtněte každou činnost z přílohy I, kterou váš Stadtwerk provozuje. Získejte jedinou odpověď pro celý právní subjekt, ne jednu na obchodní jednotku. Zdarma, open source, žádné uzamčení.
Otevřít kontrolu působnosti