¿Somos un proveedor de agua potable sujeto al ámbito de NIS 2?
El sector 6 del anexo I de NIS 2 cubre a los suministradores y distribuidores de agua destinada al consumo humano. El umbral de tamaño es mediana empresa o mayor. El umbral KRITIS de 22 millones de metros cúbicos al año es un régimen separado y más estricto que se superpone.
La versión breve
NIS 2 enumera el agua potable como sector 6 del anexo I. La definición de agua potable se toma de la Directiva (UE) 2020/2184, la Directiva sobre el agua potable refundida: agua destinada al consumo humano, suministrada a través de una red de distribución o desde una cisterna, o utilizada en la producción de alimentos. Si su entidad suministra o distribuye esa agua, usted está dentro del sector.
El artículo 2, apartado 1, de NIS 2 añade la prueba de tamaño: al menos 50 empleados, o más de 10 millones de euros de volumen de negocio y balance, medidos conforme a la Recomendación 2003/361/CE. Una empresa municipal de aguas, un Wasserverband regional o la rama de aguas de un Stadtwerk suelen superar ese listón con amplio margen. El régimen KRITIS solo entra en juego por encima de 22 millones de metros cúbicos al año, un listón mucho más alto que NIS 2.
Alemania lo incorpora al derecho nacional a través del §28 BSIG. La KRITIS-Verordnung fija el umbral de 22 millones de metros cúbicos para el régimen KRITIS alemán. La mayoría de los suministradores de agua potable alemanes son entidades sujetas a NIS 2 pero no operadores KRITIS. Ambas capas son independientes. No alcanzar el umbral KRITIS no elimina NIS 2.
Directiva NIS 2 (2022/2555), anexo I sector 6 Agua potable
Suppliers and distributors of water intended for human consumption as defined in point 1 of Article 2 of Directive (EU) 2020/2184 of the European Parliament and of the Council, but excluding distributors for whom distribution of water for human consumption is a non-essential part of their general activity of distributing other commodities and goods.
La prueba de sector es binaria. Si suministra o distribuye agua potable como actividad principal, se aplica el sector 6. La exención es estrecha: excluye a los distribuidores de otras mercancías que casualmente también transmiten agua potable como actividad secundaria. Una empresa de aguas, un Wasserverband, un Zweckverband o la rama de aguas de un Stadtwerk no quedan bajo esa exención.
Artículo 2, apartado 1, de NIS 2 + Recomendación 2003/361/CE + KRITIS-Verordnung
This Directive applies to public or private entities of a type referred to in Annex I or Annex II which qualify as medium-sized enterprises under Article 2 of the Annex to Recommendation 2003/361/EC, or exceed the ceilings for medium-sized enterprises provided for in paragraph 1 of that Article.
La prueba de tamaño es mediana empresa o mayor: al menos 50 empleados, o más de 10 millones de euros de volumen de negocio anual y balance. KRITIS utiliza un umbral sectorial específico separado para el agua potable: más de 22 millones de metros cúbicos al año, fijado en la KRITIS-Verordnung. Los umbrales KRITIS no condicionan NIS 2.
§28 BSIG (Alemania)
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind natürliche oder juristische Personen oder rechtlich unselbständige Organisationseinheiten einer Gebietskörperschaft, die einer der in den Anlagen 1 oder 2 genannten Einrichtungsarten zuzuordnen sind und die Schwellenwerte nach Artikel 2 der Empfehlung 2003/361/EG erreichen oder überschreiten.
El §28 BSIG es la puerta de entrada alemana a NIS 2. El agua potable figura en la Anlage 1 (besonders wichtige Sektoren) como Trinkwasser. Cruzar el umbral de 22 millones de metros cúbicos al año de la KRITIS-Verordnung añade la capa de Betreiber kritischer Anlagen con el ciclo de auditoría de tres años conforme al §65 BSIG. Por debajo de ese umbral, un suministrador de agua potable sigue siendo una besonders wichtige Einrichtung en el sentido de NIS 2.
¿Suministra o distribuye agua potable?
Agua potable significa agua destinada al consumo humano conforme al artículo 2, apartado 1, de la Directiva (UE) 2020/2184. Esto incluye el agua suministrada a través de una red pública, el agua de una cisterna y el agua utilizada en la producción de alimentos. Si su entidad capta, trata, suministra o distribuye esa agua como actividad principal, se aplica el sector 6. Los productores de agua embotellada quedan fuera del sector 6 (encajan en la producción de alimentos, un sector distinto del anexo I en el borrador original de la directiva y ahora fuera del sector 6 de NIS 2).
¿Es usted al menos una mediana empresa?
Al menos 50 empleados, o más de 10 millones de euros de volumen de negocio anual y balance. El número de empleados y los límites financieros provienen de la Recomendación 2003/361/CE. La titularidad pública no cambia la prueba. Un Zweckverband o una empresa municipal cuentan empleados y volumen de negocio del mismo modo que una GmbH privada.
¿Cruza los 22 millones de metros cúbicos al año?
La KRITIS-Verordnung fija un único umbral para el agua potable: más de 22 millones de metros cúbicos de agua suministrada al año. Cruce esa línea y el régimen KRITIS se aplica además de NIS 2: auditoría independiente cada tres años conforme al §65 BSIG, deberes de notificación adicionales, registro como Betreiber einer kritischen Anlage. Por debajo de esa línea, usted solo debe cumplir NIS 2. Aproximadamente el 80 por ciento de los suministradores de agua potable alemanes se sitúan por debajo del umbral KRITIS pero dentro de NIS 2.
La exención por actividad secundaria es estrecha
El sector 6 del anexo I excluye a los distribuidores para quienes el agua potable es una parte no esencial de su actividad general de distribución de otras mercancías. Esa cláusula existe para minoristas y empresas de logística que casualmente transmiten agua embotellada junto con otros productos. No exime a una empresa de aguas ni a la rama de aguas de un Stadtwerk. Si el agua potable es una línea de negocio nombrada, la exención no se aplica.
Agua potable más aguas residuales más electricidad es una sola entidad sujeta a NIS 2
Una empresa municipal que suministra agua potable, trata aguas residuales y opera una red eléctrica toca tres sectores del anexo I a la vez. Dentro de una sola entidad jurídica, eso sigue siendo una única obligación de NIS 2. Un registro ante el BSI. Una aprobación del órgano de dirección. Un registro de riesgos que cubre la OT y la TI en los tres. Dividir el trabajo por unidad de negocio produce pruebas solapadas y lagunas en las costuras.
BSI / §28 BSIG y KRITIS-Verordnung
El BSI es la autoridad cibernética para el agua potable. Opera el portal de registro del §33 BSIG, recibe las notificaciones de incidentes significativos del §32 BSIG y publica el branchenspezifischer Sicherheitsstandard Wasser. Si el suministrador también es KRITIS, el BSI es el destinatario de las pruebas de auditoría trienal conforme al §65 BSIG.
Umweltbundesamt y Gesundheitsämter
La calidad del agua, no la ciberseguridad, recae en la Umweltbundesamt y las oficinas regionales de salud conforme a la Trinkwasserverordnung alemana (que transpone la Directiva (UE) 2020/2184). NIS 2 no cambia eso. Los deberes cibernéticos conforme al §28 BSIG corren en paralelo a los deberes de calidad del agua conforme a la Trinkwasserverordnung.
Guía técnica de implementación de ENISA
La TIG de ENISA cubre explícitamente el sector 6 del anexo I. Explica cómo se aplica el catálogo de controles del artículo 21 a los operadores de agua potable y cómo se corresponde con el trabajo existente en ISO 27001 o NIST CSF 2.0 a través de la tabla oficial de correspondencias de la TIG. Un suministrador que ya opera un ISMS tiene una correspondencia documentada con las pruebas de NIS 2.
Suministradores de agua potable en otros lugares
Otros Estados miembros transponen NIS 2 con la misma definición de sector (el anexo I es derecho de la UE). Austria lo gestiona a través de la NISG, los Países Bajos a través de la Cyberbeveiligingswet, Bélgica a través de la NIS2-Wet. Lo que difiere es la autoridad supervisora y el calendario de cualquier ciclo de auditoría sectorial. El umbral de 22 millones de metros cúbicos es una regla KRITIS alemana, no una regla NIS 2 de la UE.
Estamos muy por debajo de 22 millones de metros cúbicos al año, así que NIS 2 no se nos aplica.
El umbral de 22 millones de metros cúbicos condiciona el régimen KRITIS, no NIS 2. Un Wasserverband que suministra 4 millones de metros cúbicos al año está por debajo de KRITIS pero sigue siendo una entidad sujeta a NIS 2 conforme al sector 6 del anexo I y al §28 BSIG, con el catálogo completo de controles del artículo 21, el registro del §33 BSIG y los deberes de notificación de incidentes del §32 BSIG. NIS 2 comienza en 50 empleados o 10 millones de euros, no en un umbral de volumen.
Embotellamos agua mineral para venta al por menor, así que somos un proveedor de agua potable conforme a NIS 2.
El sector 6 del anexo I cubre a los suministradores y distribuidores de agua destinada al consumo humano según se define en la Directiva (UE) 2020/2184. Esa directiva trata del suministro público de agua, no del agua mineral envasada. Los embotelladores son productores de alimentos, no proveedores de agua potable del sector 6. NIS 2 puede aplicarse de todos modos a través de otro sector (la producción de alimentos figura en el anexo II), pero no a través del sector 6.
Somos un pequeño Wasserwerk de titularidad municipal, así que la directiva no puede referirse a nosotros.
El anexo I se aplica a entidades públicas o privadas. La titularidad municipal no exime a un Wasserwerk. La única exención para NIS 2 son las funciones de seguridad nacional y defensa. Un Wasserwerk con 60 empleados en un Zweckverband es una besonders wichtige Einrichtung conforme al §28 BSIG del mismo modo que lo es una empresa privada.
Un suministrador de agua alemán pequeño típico, con 80 empleados, que suministra 6 millones de metros cúbicos de agua potable al año a unos 40 000 hogares, se sitúa inequívocamente dentro del ámbito de NIS 2 a través del sector 6 del anexo I. La prueba de tamaño se supera con holgura. KRITIS no se aplica, así que la auditoría trienal conforme al §65 BSIG no entra en juego. Pero los §28, §30, §32 y §33 BSIG se aplican todos plenamente: registro ante el BSI, el catálogo de controles del artículo 21, la aprobación del órgano de dirección, la notificación de incidentes significativos en un plazo de 24 y 72 horas.
El registro de riesgos tiene que cubrir la OT y el SCADA de la planta de aguas, las plantas de tratamiento, la telemetría de la red, la TI de facturación a clientes y los servicios en la nube utilizados para la monitorización. Las medidas de cadena de suministro conforme al artículo 21, apartado 2, letra d), tienen que alcanzar al proveedor de productos químicos y al proveedor del SCADA. Nada de esto está condicionado a alcanzar 22 millones de metros cúbicos. El listón KRITIS es una capa separada y más estricta que casi ningún Wasserwerk alemán alcanza.
La comprobación de aplicabilidad pregunta una cosa cada vez: ¿suministra o distribuye agua potable conforme a la Directiva (UE) 2020/2184?, ¿cuántos empleados?, ¿cuál es el volumen de negocio?, ¿cuál es el volumen anual en metros cúbicos? Devuelve una respuesta clara para el §28 BSIG y una respuesta separada para el umbral de la KRITIS-Verordnung. Sin confundir las dos capas.
El módulo de activos captura el inventario de OT en plantas de aguas, red y telemetría en un solo lugar. El registro de riesgos se sitúa sobre ese inventario, de modo que el SCADA de una planta de tratamiento y la TI de facturación viven en la misma imagen de cumplimiento. Si el suministrador cruza más tarde el umbral KRITIS, las mismas pruebas se trasladan y el ciclo de auditoría trienal se integra sin un sistema paralelo.
- Directiva (UE) 2022/2555 (NIS 2), anexo I sector 6 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Directiva (UE) 2022/2555 (NIS 2), artículo 2, apartado 1 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Directiva (UE) 2020/2184 (Directiva sobre el agua potable refundida), artículo 2, apartado 1 — eur-lex.europa.eu/eli/dir/2020/2184/oj
- Recomendación 2003/361/CE de la Comisión sobre la definición de microempresas, pequeñas y medianas empresas
- Ley del BSI (BSIG), §28 (Anwendungsbereich), §32 (Meldepflichten) y §33 (Registrierung) en su versión modificada por la Ley de Aplicación de la NIS2 y de Refuerzo de la Ciberseguridad
- KRITIS-Verordnung (BSI-Kritisverordnung), Anlage 1 — umbral de 22 millones de metros cúbicos al año para el sector Trinkwasser
- BSI branchenspezifischer Sicherheitsstandard Wasser/Abwasser
- Trinkwasserverordnung (transposición alemana de la Directiva (UE) 2020/2184)