¿Está nuestro Stadtwerk dentro del ámbito de NIS 2?
Los Stadtwerke se asientan sobre varios sectores del Anexo I de NIS 2 a la vez: electricidad, agua potable, aguas residuales, a veces una rama municipal de telecomunicaciones. Cada uno arrastra a la entidad al ámbito de aplicación. La prueba de tamaño se aplica a la entidad en su conjunto, no a cada unidad de negocio.
La versión breve
Un Stadtwerk típico desarrolla cuatro tipos de actividad bajo una sola empresa: distribución y suministro de electricidad, agua potable, aguas residuales y, a veces, telecomunicaciones o calefacción urbana. Cada una de ellas es su propio sector conforme al Anexo I de NIS 2. Un solo sector basta para situarte dentro del ámbito de aplicación. Cuatro sectores no te sitúan cuatro veces. Una persona jurídica, un registro NIS 2.
El artículo 2, apartado 1, de NIS 2 añade la prueba de tamaño: mediana empresa o mayor (al menos 50 empleados, o más de 10 millones de euros de volumen de negocio y balance). Los Stadtwerke casi siempre superan ese umbral. Si operas una actividad crítica por encima del umbral KRITIS específico del sector (por ejemplo, 100.000 acometidas de electricidad, o más de 22 millones de metros cúbicos de agua potable al año), también quedas sujeto al régimen KRITIS más estricto, además de NIS 2. Por debajo del umbral, sigues debiendo cumplir NIS 2.
Alemania lo incorpora a su Derecho nacional a través del §28 BSIG. La KRITIS-Verordnung fija los umbrales de tamaño específicamente para el régimen KRITIS, que es una capa separada y más estricta. NIS 2 no depende de los umbrales KRITIS.
Directiva NIS 2 (2022/2555), Anexo I, sectores 1, 6, 7, 8
El sector 1 Energía incluye (a) electricidad, (b) calefacción y refrigeración urbana, (c) petróleo, (d) gas, (e) hidrógeno, y abarca a los gestores de redes de distribución, los gestores de redes de transporte, los productores y las empresas de suministro de energía. El sector 6 Agua potable abarca a los suministradores y distribuidores de agua destinada al consumo humano. El sector 7 Aguas residuales abarca a las empresas que recogen, eliminan o tratan aguas residuales urbanas, domésticas o industriales. El sector 8 Infraestructura digital incluye a los proveedores de redes públicas de comunicaciones electrónicas y de servicios de comunicaciones electrónicas disponibles para el público.
Un único Stadtwerk que opera una red eléctrica, suministra agua potable, trata aguas residuales y explota una red municipal de fibra está tocando cuatro sectores diferentes de esta lista. Cada actividad activa NIS 2 de forma independiente.
Artículo 2, apartado 1, de NIS 2 + Recomendación 2003/361/CE + KRITIS-Verordnung
La presente Directiva se aplica a las entidades públicas o privadas de uno de los tipos a que se refiere el anexo I o el anexo II que se consideren medianas empresas con arreglo al artículo 2 del anexo de la Recomendación 2003/361/CE, o que superen los límites máximos para las medianas empresas previstos en el apartado 1 de dicho artículo.
La prueba de tamaño es mediana o mayor (al menos 50 empleados, o más de 10 millones de euros de volumen de negocio y balance). La KRITIS-Verordnung fija umbrales separados y específicos por sector para el régimen KRITIS alemán: por ejemplo, 100.000 acometidas en distribución eléctrica, o más de 22 millones de metros cúbicos de suministro de agua potable al año. Los umbrales KRITIS no condicionan NIS 2.
§28 BSIG (Alemania)
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind natürliche oder juristische Personen oder rechtlich unselbständige Organisationseinheiten einer Gebietskörperschaft, die einer der in den Anlagen 1 oder 2 genannten Einrichtungsarten zuzuordnen sind und die Schwellenwerte nach Artikel 2 der Empfehlung 2003/361/EG erreichen oder überschreiten.
El §28 BSIG es la puerta de entrada alemana al ámbito de aplicación de NIS 2. El Anexo 1 enumera los tipos 'besonders wichtige' (esenciales), el Anexo 2 enumera los tipos 'wichtige' (importantes). Un Stadtwerk que cruza un umbral KRITIS en al menos una actividad es también 'Betreiber einer Kritischen Anlage' y, por ese motivo, queda situado en la categoría más estricta 'besonders wichtige'.
¿Qué actividades del Anexo I desarrollas?
Recorre la lista. Electricidad (producción, distribución, suministro). Calefacción o refrigeración urbana. Gas. Agua potable. Aguas residuales. Red o servicio público de comunicaciones electrónicas. Si operas aunque sea una sola de estas como Stadtwerk, ese sector queda dentro. Enuméralas todas, porque cada una requiere aplicar las medidas a los sistemas que la hacen funcionar.
¿Eres al menos una mediana empresa?
Al menos 50 empleados, o más de 10 millones de euros de volumen de negocio y balance. Aplica la prueba a la persona jurídica, no a cada unidad de negocio. Los Stadtwerke casi siempre superan este umbral una vez que se suman las operaciones de red, agua y aguas residuales en conjunto. Por debajo del umbral existen excepciones limitadas para algunos sectores, pero no para la energía ni el agua.
¿Cruzas un umbral de la KRITIS-Verordnung?
Específico por sector. Distribución de electricidad: 100.000 clientes finales conectados. Agua potable: 22 millones de metros cúbicos al año. Aguas residuales: 500.000 habitantes equivalentes. Si cruzas cualquier umbral en cualquier actividad, KRITIS se aplica a esa actividad, además de NIS 2. El régimen KRITIS conlleva deberes de auditoría más estrictos (auditoría independiente cada tres años, §65 BSIG) y obligaciones de notificación adicionales.
Una persona jurídica es una entidad NIS 2
Si tus unidades de negocio de electricidad, agua, aguas residuales y telecomunicaciones se encuentran dentro de la misma GmbH, la GmbH es la entidad NIS 2. Un registro ante el BSI. Un registro de riesgos que cubra todo el OT y el TI de todos los sectores. Un órgano de dirección que lo apruebe. Repartir el trabajo de NIS 2 entre las unidades operativas no fracciona la obligación. Solo dificulta la coordinación.
NIS 2 no es lo mismo que KRITIS
Superar el umbral KRITIS añade un régimen. No sustituye a NIS 2. No superar el umbral KRITIS elimina el régimen KRITIS, pero no elimina NIS 2. El ámbito del §28 BSIG se sitúa por debajo de KRITIS y por encima de 'demasiado pequeño como para importar'. Los Stadtwerke casi siempre quedan dentro de esa franja incluso cuando su red tiene menos de 100.000 acometidas.
BSI / §28 BSIG y KRITIS-Verordnung
El BSI es la autoridad para la parte ciber de la energía, el agua y las aguas residuales. Gestiona el portal de registro del §33 BSIG, recibe las notificaciones de incidentes significativos del §32 BSIG y publica orientaciones específicas por sector (Branchenspezifische Sicherheitsstandards) para Energie, Wasser y Abwasser. Si tu Stadtwerk también es KRITIS, el BSI es a quien presentas las pruebas de la auditoría trienal.
Bundesnetzagentur
Si tu Stadtwerk opera una red o un servicio público de comunicaciones electrónicas (una rama municipal de fibra, por ejemplo), la Bundesnetzagentur es el regulador sectorial. Los deberes ciber del §28 BSIG siguen canalizándose a través del BSI, pero la capa específica de telecomunicaciones recae en la Bundesnetzagentur.
Guía Técnica de Aplicación de ENISA
La TIG de ENISA explica cómo implantar las medidas del artículo 21 en todos los sectores. Los sectores 1, 6 y 7 del Anexo I están cubiertos de forma explícita. El trabajo ya realizado conforme a ISO 27001 o NIST CSF 2.0 se correlaciona mediante la tabla de correspondencias de la TIG, de modo que un Stadtwerk que ya opera un ISMS para una unidad de negocio parte con ventaja para las demás.
Empresas municipales de servicios en otros países
Otros Estados miembros transponen NIS 2 con un ámbito de aplicación a grandes rasgos comparable para las empresas municipales de servicios: Austria mediante la NISG, Países Bajos mediante la Cyberbeveiligingswet, Bélgica mediante la NIS2-Wet. La lista de sectores es idéntica (el Anexo I es Derecho de la UE). Lo que difiere: con qué autoridad hablas y cómo se temporiza el ciclo de auditoría.
Somos un Stadtwerk del sector público propiedad del municipio, así que NIS 2 no se aplica.
El Anexo I no exime a las entidades del sector público. Se aplica de forma explícita a 'entidades públicas o privadas'. Que la GmbH sea propiedad del municipio, de un holding o de accionistas privados no cambia la prueba de sector. La única excepción limitada del sector público en NIS 2 es para las funciones de seguridad nacional y defensa, no para las operaciones de servicios públicos.
Estamos por debajo del umbral KRITIS, así que no estamos dentro del ámbito de aplicación.
Los umbrales KRITIS condicionan el régimen KRITIS, no NIS 2. Un Stadtwerk con 60.000 acometidas eléctricas está por debajo del umbral KRITIS de 100.000, de modo que no se aplica el ciclo de auditoría más estricto. Ese mismo Stadtwerk sigue siendo una entidad NIS 2 conforme al §28 BSIG, con el catálogo completo de medidas del artículo 21, el registro y los deberes de notificación de incidentes.
Cada unidad de servicios gestiona su propio cumplimiento de NIS 2.
Dentro de una sola persona jurídica hay una única obligación NIS 2. Un registro. Una aprobación del órgano de dirección. Un registro de riesgos que ha de cubrir el OT y el TI de todos los sectores. Tratar cada unidad de negocio como un silo de cumplimiento independiente produce trabajo solapado, lagunas en las costuras y un relato de auditoría que no se sostiene.
Un Stadtwerk típico con 200 empleados, una red eléctrica de 60.000 clientes, un suministro de agua potable de unos 8 millones de metros cúbicos al año y una pequeña rama de fibra se sitúa, sin ambigüedad, dentro del ámbito de NIS 2 a través de los sectores 1, 6, 7 y 8 del Anexo I. La prueba de tamaño se supera con holgura. No se alcanzan los umbrales KRITIS, de modo que no se aplican los deberes de auditoría del §65 BSIG, pero sí los deberes del §28 BSIG.
El registro de riesgos del §30 ha de cubrir el OT y el SCADA de electricidad, agua y aguas residuales en un solo lugar. La notificación de incidentes del §32 se canaliza a través del BSI. El registro del §33 es una única presentación para toda la empresa. Si además cruzas un umbral KRITIS en cualquier actividad, tu clasificación conforme al §28 asciende a 'besonders wichtige Einrichtung' y la auditoría KRITIS trienal se activa por encima.
La comprobación de aplicabilidad te guía directamente por el caso de entidad única multisectorial. Marcas cada actividad del Anexo I que desarrolla tu Stadtwerk, la plataforma las agrega frente a la prueba de tamaño y te indica en qué categoría del §28 BSIG quedas y si alguna actividad arrastra también KRITIS.
El módulo de activos recoge el inventario de OT y TI de todos los subsectores en un solo lugar. El registro de riesgos se asienta sobre ese inventario único, de modo que un plan de tratamiento aplicado a un sistema de control SCADA en la planta de agua y a la sala de control de la red se sitúan uno junto al otro, no en dos carpetas de cumplimiento separadas.
- Directiva (UE) 2022/2555 (NIS 2), Anexo I, sectores 1, 6, 7 y 8 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Directiva (UE) 2022/2555 (NIS 2), artículo 2, apartado 1 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Recomendación 2003/361/CE de la Comisión sobre la definición de microempresas, pequeñas y medianas empresas
- Ley del BSI (BSIG), §28 (Anwendungsbereich) y §33 (Registrierung) en su redacción dada por la Ley de Aplicación de NIS2 y de Refuerzo de la Ciberseguridad
- KRITIS-Verordnung (BSI-Kritisverordnung) — umbrales específicos por sector para Energie, Wasser y Abwasser
- Orientaciones sectoriales del BSI para Energie, Wasser y Abwasser (Branchenspezifische Sicherheitsstandards)