¿Soy un proveedor de energía bajo NIS 2?
NIS 2 incluye la energía en el sector 1 del Anexo I con cinco subsectores (electricidad, calefacción y refrigeración urbana, petróleo, gas, hidrógeno) y varios tipos de entidad por subsector. El Artículo 2(1) NIS 2 añade después la prueba de tamaño. Los umbrales KRITIS bajo la BSI-KritisV se sitúan por separado por encima y no deciden el ámbito de NIS 2.
La versión corta
La energía es el sector 1 del Anexo I de NIS 2. La directiva nombra cinco subsectores (electricidad, calefacción y refrigeración urbana, petróleo, gas, hidrógeno) y para cada uno enumera los tipos de entidad en el ámbito: productores, operadores de redes de distribución, operadores de redes de transporte, suministradores, operadores designados del mercado eléctrico, participantes en el mercado eléctrico, operadores de refinerías y plantas de tratamiento, operadores de oleoductos y almacenamiento de petróleo, entidades de almacenamiento central, operadores de instalaciones de GNL de gas natural, operadores de producción y transporte de hidrógeno. Un solo subsector basta para situar a una empresa en el ámbito.
El Artículo 2(1) NIS 2 añade la prueba de tamaño por remisión a la Recomendación 2003/361/CE: mediana empresa o mayor, lo que significa al menos 50 empleados o más de 10 millones de euros de volumen de negocio anual y de balance. La mayoría de las empresas energéticas se sitúan holgadamente por encima de ese listón. Por debajo, normalmente está fuera de NIS 2 salvo que le alcance una excepción de 'con independencia del tamaño' del Artículo 2(2).
Alemania transpone esto a través del §28 BSIG (Anwendungsbereich) y el catálogo de entidades asociado de las Anlagen 1 y 2 BSIG. Por separado, la BSI-KritisV (KRITIS-Verordnung) establece umbrales específicos por sector para el régimen KRITIS, más estricto (por ejemplo, clientes finales conectados en la distribución de electricidad, o volúmenes anuales suministrados). Cruzar un umbral KRITIS añade deberes por encima de NIS 2 (auditoría independiente cada tres años bajo el §65 BSIG). No cruzarlo no elimina NIS 2.
Directiva NIS 2 (UE) 2022/2555, Anexo I sector 1 (Energía)
Sector 1 Energía: (a) Electricidad, incluidas las empresas eléctricas, los operadores de redes de distribución, los operadores de redes de transporte, los productores, los operadores designados del mercado eléctrico y los participantes en el mercado que presten servicios de agregación, respuesta de la demanda o almacenamiento de energía; (b) Calefacción y refrigeración urbana, incluidos los operadores de calefacción o refrigeración urbana; (c) Petróleo, incluidos los operadores de oleoductos de transporte de petróleo, los operadores de instalaciones de producción, refino y tratamiento de petróleo, almacenamiento y transporte, y las entidades de almacenamiento central; (d) Gas, incluidas las empresas de suministro, los operadores de redes de distribución, los operadores de redes de transporte, los operadores de redes de almacenamiento, los operadores de redes de GNL, las empresas de gas natural y los operadores de instalaciones de refino y tratamiento de gas natural; (e) Hidrógeno, incluidos los operadores de producción, almacenamiento y transporte de hidrógeno.
El sector 1 del Anexo I fija el perímetro. Si realiza cualquiera de estas actividades y supera la prueba de tamaño del Artículo 2(1), está dentro de NIS 2 por defecto. La lista no es exhaustiva dentro de cada definición de tipo de entidad, de modo que una empresa que se ocupa de la agregación, la respuesta de la demanda o el almacenamiento en el lado eléctrico se nombra explícitamente aunque no tenga la forma clásica de una empresa de servicios públicos.
Artículo 2(1) NIS 2 + Recomendación 2003/361/CE
La presente Directiva se aplica a las entidades públicas o privadas de un tipo de los mencionados en el Anexo I o el Anexo II que tengan la consideración de medianas empresas con arreglo al Artículo 2 del Anexo de la Recomendación 2003/361/CE, o que superen los límites máximos aplicables a las medianas empresas previstos en el apartado 1 de dicho Artículo.
La prueba de tamaño es al menos 50 empleados, o más de 10 millones de euros de volumen de negocio anual y de balance. Se aplica a la persona jurídica, no a cada unidad de negocio. Un productor de hidrógeno de 30 personas con 8 millones de euros de volumen de negocio normalmente quedaría por debajo del listón. Un operador municipal de distribución de electricidad de 200 personas está holgadamente por encima. El Artículo 2(2) enumera excepciones de 'con independencia del tamaño' que pueden atraer a entidades más pequeñas (por ejemplo, únicos prestadores de un servicio esencial en un Estado miembro), pero la vía estándar es la prueba de tamaño.
§28 BSIG más BSI-KritisV (Alemania)
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind natürliche oder juristische Personen oder rechtlich unselbständige Organisationseinheiten einer Gebietskörperschaft, die einer der in den Anlagen 1 oder 2 genannten Einrichtungsarten zuzuordnen sind und die Schwellenwerte nach Artikel 2 der Empfehlung 2003/361/EG erreichen oder überschreiten.
El §28 BSIG es la puerta de entrada alemana al ámbito de NIS 2. La Anlage 1 BSIG enumera los tipos de entidad 'besonders wichtige' (esenciales), la Anlage 2 enumera los tipos 'wichtige' (importantes). Los subsectores energéticos aterrizan en gran medida en la Anlage 1. La BSI-KritisV (Verordnung zur Bestimmung Kritischer Anlagen) establece los umbrales KRITIS separados. Una empresa energética que cruza un umbral KRITIS es además Betreiber einer Kritischen Anlage y aterriza en la categoría más estricta 'besonders wichtige' por esa razón, con el deber de auditoría trienal bajo el §65 BSIG.
¿Qué actividad energética del Anexo I realiza?
Recorra los cinco subsectores: electricidad, calefacción y refrigeración urbana, petróleo, gas, hidrógeno. Dentro de cada subsector la directiva nombra los tipos de entidad (productores, operadores de redes de distribución, operadores de redes de transporte, suministradores, operadores de almacenamiento y de GNL, operadores de refino y tratamiento, entidades de almacenamiento central, operadores del mercado y participantes en el mercado). Una coincidencia basta. Los productores de renovables, los suministradores de biogás y las start-ups de hidrógeno no están exentos por definición: encajan en productores o empresas de suministro.
¿Es al menos una mediana empresa?
Aplique la prueba a la persona jurídica: al menos 50 empleados, o más de 10 millones de euros de volumen de negocio anual y de balance. La mayoría de las empresas energéticas consolidadas la superan. Los nuevos entrantes en renovables o hidrógeno a menudo se sitúan por debajo del listón y quedan fuera de NIS 2 salvo que les alcance una excepción del Artículo 2(2). Estructuras de grupo: se aplican las reglas de la Recomendación 2003/361/CE sobre empresas vinculadas y asociadas, de modo que una pequeña GmbH operativa dentro de un gran grupo puede contar igualmente como grande.
¿Cruza un umbral de la BSI-KritisV?
Los umbrales específicos por sector establecidos en la BSI-KritisV deciden el régimen KRITIS, no NIS 2. El ejemplo bien documentado para la distribución de electricidad es 100.000 clientes finales conectados o aproximadamente 3.700 GWh de electricidad anual suministrada. Existen umbrales comparables para el gas, la calefacción urbana y el petróleo. Cruce uno de ellos y se aplican los deberes de auditoría más estrictos (auditoría independiente cada tres años bajo el §65 BSIG) por encima de NIS 2. Sitúese por debajo de todos ellos y aún así debe el catálogo completo del §28 BSIG y del Artículo 21 NIS 2.
NIS 2 se sitúa por encima de la EnWG, no junto a ella
Las empresas energéticas en Alemania ya viven bajo el §11(1a) y el §11(1b) EnWG, que exigen un catálogo de seguridad de TI publicado por la Bundesnetzagentur en cooperación con el BSI. NIS 2 no lo sustituye. Los dos regímenes se solapan en el territorio del Artículo 21 (medidas de gestión de riesgos), pero NIS 2 añade el deber de registro del §33 BSIG, el ciclo de notificación de incidentes significativos del §32 BSIG, el deber de formación de la dirección bajo el Artículo 20 y los deberes de cadena de suministro bajo el Artículo 21(2)(d). Cumplir el catálogo de la EnWG es necesario, no suficiente.
Los umbrales KRITIS son por subsector, el ámbito de NIS 2 es por entidad
Los umbrales de la BSI-KritisV están redactados por actividad (distribución de electricidad, generación de electricidad, almacenamiento de gas, etc.) y se aplican a la Anlage operada. El ámbito de NIS 2 bajo el §28 BSIG y el Artículo 2(1) NIS 2 se aplica a la persona jurídica. Una empresa energética integrada verticalmente puede estar por debajo de cada umbral KRITIS individual y aun así ser una entidad NIS 2 completa porque la entidad en su conjunto cruza el listón de tamaño.
BSI / §28 BSIG, notificación §32, registro §33
El BSI es la autoridad cibernética bajo el BSIG. Gestiona el portal de registro del §33 donde cada entidad energética en el ámbito de NIS 2 presenta sus datos de empresa y las actualizaciones en un plazo de dos semanas bajo el Artículo 27(2). Acepta las notificaciones de incidentes significativos bajo el §32 BSIG según el calendario de NIS 2. Si la entidad es además Betreiber einer Kritischen Anlage, el BSI es la contraparte de auditoría para las pruebas de auditoría trienal bajo el §65 BSIG.
Bundesnetzagentur / catálogo de seguridad de TI del §11 EnWG
La Bundesnetzagentur es el regulador del sector para electricidad y gas. El §11(1a) y el §11(1b) EnWG exigen a los operadores de redes energéticas y de instalaciones energéticas implementar el catálogo de seguridad de TI que la Bundesnetzagentur publica en cooperación con el BSI. El catálogo y las medidas del Artículo 21 NIS 2 se solapan considerablemente pero se supervisan por separado. La Bundesnetzagentur también gestiona la certificación de auditoría del catálogo.
ENISA Technical Implementation Guidance
La Technical Implementation Guidance de ENISA explica cómo poner en práctica las medidas del Artículo 21 en los subsectores energéticos. Otros Estados miembros transponen el sector 1 del Anexo I de forma idéntica (la lista es Derecho de la UE). La autoridad de ejecución difiere: ACER y los reguladores energéticos nacionales asumen el rol sectorial, las autoridades nacionales competentes en materia de NIS asumen el rol cibernético. Los operadores energéticos transfronterizos aterrizan bajo más de un regulador a la vez.
Ya cumplimos el catálogo de seguridad de TI del §11 EnWG, así que NIS 2 está cubierto.
El catálogo cubre una gran porción del Artículo 21 NIS 2, pero no todo. El registro del §33 BSIG es independiente. La notificación de incidentes significativos del §32 BSIG es independiente. El deber de formación de la dirección del Artículo 20 NIS 2 es independiente. El deber de cadena de suministro del Artículo 21(2)(d) va más allá del alcance del catálogo. Cumplir el catálogo es una buena ventaja inicial, no un sustituto.
Estamos por debajo del umbral de la BSI-KritisV, así que NIS 2 no se aplica.
Los umbrales KRITIS condicionan el régimen KRITIS, no NIS 2. Un operador de distribución de electricidad con 60.000 clientes finales conectados está por debajo del umbral documentado de 100.000 y no es Betreiber einer Kritischen Anlage. Ese mismo operador sigue siendo una entidad NIS 2 bajo el §28 BSIG y debe el catálogo completo del Artículo 21, el registro del §33 y la notificación de incidentes del §32.
Somos una empresa de renovables (eólica, solar, biogás, hidrógeno verde), así que NIS 2 no se nos aplica.
El sector 1 del Anexo I enumera a los productores de electricidad sin distinguir la tecnología de generación. Eólica, solar, hidráulica, biogás e hidrógeno cuentan todos. Un operador de renovables que supera la prueba de tamaño del Artículo 2(1) está en el ámbito exactamente en los mismos términos que un generador convencional. La única puerta de salida es no superar la prueba de tamaño, no la fuente de generación.
Una empresa energética alemana mediana típica con 150 empleados, una rama de distribución de electricidad que abastece a aproximadamente 40.000 clientes finales, una rama de suministro de gas y una pequeña cartera de generación renovable se sitúa dentro del ámbito de NIS 2 a través del sector 1 del Anexo I (subsectores de electricidad y gas). La prueba de tamaño se supera a nivel de entidad. Los umbrales de la BSI-KritisV para la rama de distribución no se cruzan, por lo que el deber de auditoría del §65 no se aplica, pero el §28 BSIG sí. El catálogo del §11 EnWG ya está implantado para la red, así que la mayor parte del Artículo 21 está en marcha antes de que empiece el trabajo de NIS 2.
El registro de riesgos del §30 tiene que cubrir OT y SCADA en toda la red de distribución, el control de la red de gas y la cartera de generación en un único lugar. La notificación del §32 fluye a través del BSI según el calendario de NIS 2. El registro del §33 es una única presentación para toda la persona jurídica. La formación de la dirección del Artículo 20 NIS 2 es nueva para la mayoría de los consejos de este segmento y no está cubierta por el catálogo de la EnWG. Los controles de cadena de suministro del Artículo 21(2)(d) son el segundo gran salto frente al mundo de la EnWG.
La comprobación de aplicabilidad le guía por los subsectores del sector 1 del Anexo I, pregunta por los empleados y el volumen de negocio a nivel de entidad, y le indica en qué categoría del §28 BSIG aterriza y si alguna actividad atrae además a KRITIS. El resultado es un memorando listo para pegar que tanto su órgano de dirección como su contraparte de la Bundesnetzagentur pueden leer.
Allí donde el Artículo 21 NIS 2 y el catálogo del §11 EnWG se solapan, la plataforma mapea los requisitos una vez y deja que la misma evidencia cuente para ambos. El módulo de activos captura el inventario de OT y TI de todos los subsectores en un único lugar. El flujo de registro del §33 permanece en la plataforma, incluido el ciclo de actualización de dos semanas bajo el Artículo 27(2).
- Directiva (UE) 2022/2555 (NIS 2), Anexo I sector 1 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Directiva (UE) 2022/2555 (NIS 2), Artículo 2(1) y Artículo 2(2) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Recomendación 2003/361/CE de la Comisión sobre la definición de microempresas, pequeñas y medianas empresas
- Ley del BSI (BSIG), §28 (Anwendungsbereich), §32 (Meldepflichten), §33 (Registrierung), §65 (Audits) en su versión modificada por la NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz — gesetze-im-internet.de
- Verordnung zur Bestimmung Kritischer Anlagen (BSI-KritisV) — umbrales específicos por sector para Energie
- Energiewirtschaftsgesetz (EnWG), §11(1a) y §11(1b) — gesetze-im-internet.de
- Catálogo de seguridad de TI de la Bundesnetzagentur para operadores de redes energéticas e instalaciones energéticas