¿Somos un operador de aguas residuales sujeto al ámbito de NIS 2?
El sector 7 del anexo I de NIS 2 cubre a las empresas que recogen, eliminan o tratan aguas residuales urbanas, domésticas o industriales. La prueba de tamaño del artículo 2, apartado 1, es la segunda puerta. KRITIS es un régimen más estricto que se superpone para las plantas más grandes, pero no condiciona NIS 2.
La versión breve
Si su entidad recoge, elimina o trata aguas residuales urbanas, aguas residuales domésticas o aguas residuales industriales como actividad principal, usted está dentro del sector 7 del anexo I de NIS 2. La Directiva define esos tres tipos de aguas residuales por referencia a la Directiva 91/271/CEE del Consejo (Directiva sobre el tratamiento de las aguas residuales urbanas). Una sola frase del anexo I decide la cuestión del sector.
El artículo 2, apartado 1, de NIS 2 añade la prueba de tamaño: mediana empresa o mayor, es decir, al menos 50 empleados, o más de 10 millones de euros de volumen de negocio y más de 10 millones de euros de balance. La mayoría de los operadores municipales que gestionan una planta de tratamiento de cualquier tamaño significativo superan esa prueba una vez que se cuentan juntas las operaciones, el mantenimiento y la administración.
La KRITIS-Verordnung fija un umbral separado y más estricto para el régimen KRITIS alemán: un equivalente-habitante de 500 000 para el tratamiento de aguas residuales. Una planta por debajo de esa cifra no es KRITIS, pero sigue siendo una entidad sujeta a NIS 2 conforme al §28 BSIG. El régimen KRITIS añade deberes además de NIS 2. No sustituye a NIS 2 ni lo condiciona.
Directiva NIS 2 (UE) 2022/2555, anexo I sector 7 Aguas residuales
Undertakings collecting, disposing of or treating urban waste water, domestic waste water or industrial waste water as defined in point (1), (2) and (3) of Article 2 of Council Directive 91/271/EEC, excluding undertakings for which collecting, disposing of or treating urban waste water, domestic waste water or industrial waste water is a non-essential part of their general activity.
Tres cosas que leer con atención. Primera, las definiciones de actividad provienen de la Directiva sobre el tratamiento de las aguas residuales urbanas 91/271/CEE, no de NIS 2 en sí. Segunda, los tres tipos de aguas residuales cuentan: urbanas, domésticas e industriales. Tercera, la única exención es para las entidades en las que el trabajo de aguas residuales es una actividad secundaria. Si el tratamiento o la eliminación forma parte de sus operaciones principales, usted está dentro del sector 7.
Artículo 2, apartado 1, de NIS 2 más Recomendación 2003/361/CE
This Directive applies to public or private entities of a type referred to in Annex I or Annex II which qualify as medium-sized enterprises under Article 2 of the Annex to Recommendation 2003/361/EC, or exceed the ceilings for medium-sized enterprises provided for in paragraph 1 of that Article.
Mediana empresa significa al menos 50 empleados, o más de 10 millones de euros de volumen de negocio y más de 10 millones de euros de balance. Aplique la prueba a la entidad jurídica que gestiona la actividad de aguas residuales. Un Zweckverband, una filial de un Stadtwerk, un Eigenbetrieb o un operador privado reciben todos el mismo trato una vez que superan la prueba de tamaño.
§28 BSIG (Alemania) más KRITIS-Verordnung
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind natürliche oder juristische Personen oder rechtlich unselbständige Organisationseinheiten einer Gebietskörperschaft, die einer der in den Anlagen 1 oder 2 genannten Einrichtungsarten zuzuordnen sind und die Schwellenwerte nach Artikel 2 der Empfehlung 2003/361/EG erreichen oder überschreiten.
El §28 BSIG es la entrada alemana a NIS 2. La Anlage 1 enumera los tipos 'besonders wichtige' (esenciales), la Anlage 2 enumera los tipos 'wichtige' (importantes). Las aguas residuales figuran en esta lista. Una planta que además cruza el umbral KRITIS de 500 000 equivalentes-habitante en la KRITIS-Verordnung cuenta como 'Betreiber einer Kritischen Anlage' y cae además en el grupo más estricto 'besonders wichtige'.
¿Recoge, elimina o trata aguas residuales como actividad principal?
Recorra las tres categorías de la Directiva 91/271/CEE. Las aguas residuales urbanas son la mezcla de aguas residuales domésticas con aguas residuales industriales o aguas de escorrentía pluvial. Las aguas residuales domésticas proceden de edificios residenciales. Las aguas residuales industriales proceden de la producción. Si cualquiera de esos flujos pasa por sus alcantarillas, sus estaciones de bombeo o su planta de tratamiento como parte de sus operaciones principales, usted está dentro del sector 7.
¿Es usted al menos una mediana empresa?
Al menos 50 empleados, o más de 10 millones de euros de volumen de negocio y más de 10 millones de euros de balance. Cuente toda la entidad jurídica, no la planta de forma aislada. Un Zweckverband con 65 empleados entre operaciones, laboratorio y administración supera la prueba aunque la propia planta funcione con un pequeño turno de noche. Por debajo del listón, un conjunto reducido de entidades puede seguir estando sujeto al ámbito cuando el artículo 2, apartado 2, las incluye con independencia del tamaño, pero la regla general para el sector 7 es la prueba de tamaño.
¿Cruza el umbral KRITIS de 500 000 equivalentes-habitante?
La KRITIS-Verordnung fija el umbral alemán de aguas residuales en un equivalente-habitante de 500 000. Cruce esa cifra y usted es también 'Betreiber einer Kritischen Anlage', con el ciclo de auditoría trienal conforme al §65 BSIG y la clasificación más estricta. La mayoría de las plantas municipales en Alemania se sitúan muy por debajo de 500 000 EW. No son KRITIS, pero siguen siendo entidades sujetas a NIS 2 conforme al §28 BSIG.
Las aguas residuales como producto secundario no le incluyen en el sector 7
La exención del anexo I es explícita. Si el trabajo de aguas residuales es una parte no esencial de su actividad general (una unidad de pretratamiento in situ en una fábrica, un separador de aceite de un aparcamiento, una pequeña depuradora interna en un emplazamiento remoto), el operador no está en el sector 7 por ese motivo. La propia fábrica puede seguir estando sujeta al ámbito por un sector distinto del anexo I o II. Lo que queda fuera es el trabajo de aguas residuales, no la entidad jurídica.
Dentro de un Stadtwerk, las aguas residuales son uno de varios sectores
Un Stadtwerk a menudo opera electricidad, agua potable y aguas residuales bajo una sola entidad jurídica. NIS 2 sigue tratando eso como una sola entidad con un solo registro. La actividad de aguas residuales no obtiene un expediente separado. El registro de riesgos, el módulo de activos y la notificación de incidentes cubren todos los sectores en un solo lugar. Véase el artículo sobre el Stadtwerk para el tratamiento multisectorial completo.
BSI conforme a los §28, §32 y §33 BSIG
El BSI es la autoridad cibernética para las aguas residuales conforme al §28 BSIG. Opera el portal de registro del §33 BSIG, acepta las notificaciones de incidentes significativos del §32 BSIG y, para los operadores KRITIS por encima de 500 000 EW, recibe las pruebas de auditoría trienal conforme al §65 BSIG. Para los operadores por debajo del umbral KRITIS no hay deber de auditoría, pero el registro y la notificación siguen aplicándose.
Umweltbundesamt y KA-Sicherheitsstandard
La Umweltbundesamt y las asociaciones del sector de aguas residuales (DWA, BDEW) mantienen el estándar de ciberseguridad sectorial para las plantas de aguas residuales (B3S Wasser/Abwasser). El B3S es lo que el BSI acepta como el estándar de seguridad reconocido para el sector conforme al §31 BSIG para los operadores KRITIS. Los operadores NIS 2 no KRITIS no están obligados a seguir el B3S, pero en la práctica lo utilizan como manual de trabajo.
Estados federados (autoridades del agua)
El lado medioambiental de las aguas residuales (permisos de vertido, calidad del tratamiento, gestión de lodos) recae en las Landesbehörden für Wasserwirtschaft conforme al derecho del agua de los estados federados. NIS 2 no cambia nada de eso. La autoridad estatal del agua es una conversación distinta de la conversación con el BSI. Un incidente cibernético que además tenga un impacto medioambiental puede requerir notificaciones a ambas líneas.
Guía técnica de implementación de ENISA
La TIG de ENISA cubre explícitamente el sector 7 y hace corresponder el catálogo de controles del artículo 21 con ISO 27001 y NIST CSF 2.0. Los operadores que ya operan un sistema de gestión medioambiental ISO tienen una ventaja parcial. La TIG no es vinculante, pero es la referencia a escala de la UE de lo que significa 'adecuado y proporcionado' conforme al artículo 21, apartado 1.
Tratamos in situ las aguas residuales de nuestra propia fábrica, así que somos un operador del sector 7.
El sector 7 del anexo I excluye a los operadores en los que el trabajo de aguas residuales es una parte no esencial de la actividad general. Una unidad de pretratamiento in situ en una planta química no convierte a la planta química en una entidad del sector 7. La planta puede seguir estando sujeta al ámbito de NIS 2 por un sector distinto del anexo I o II (productos químicos, fabricación, alimentación), pero no a través de la línea de aguas residuales.
Nuestra planta está por debajo de 500 000 EW, así que NIS 2 no se aplica.
La cifra de 500 000 equivalentes-habitante es el umbral KRITIS de la KRITIS-Verordnung. Condiciona el régimen KRITIS, no NIS 2. Una planta de 80 000 EW está por debajo de KRITIS pero es un operador de aguas residuales típico de tamaño Mittelstand por encima de la prueba de tamaño del artículo 2, apartado 1. Es una entidad sujeta a NIS 2 conforme al §28 BSIG con el catálogo completo de controles del artículo 21, registro y deberes de notificación de incidentes.
Somos un Eigenbetrieb de la ciudad, así que NIS 2 no se aplica.
El anexo I cubre 'entidades públicas o privadas'. La forma jurídica (Eigenbetrieb, Zweckverband, Anstalt des öffentlichen Rechts, GmbH) no cambia la prueba de sector. La única exención estrecha del sector público en NIS 2 es para las funciones de seguridad nacional y defensa. Una operación municipal de aguas residuales no es eso.
Un operador de aguas residuales típico con el que hablamos gestiona una planta de tratamiento de 80 000 a 200 000 equivalentes-habitante, una red de alcantarillado, un par de estaciones de bombeo y un pequeño laboratorio. El personal se sitúa entre 30 y 90. La forma jurídica es o bien un Zweckverband, un Eigenbetrieb o una GmbH propiedad de la ciudad. KRITIS no se aplica. NIS 2 sí, a través del sector 7 del anexo I más la prueba de tamaño, más el §28 BSIG.
El registro de riesgos del §30 BSIG tiene que cubrir el SCADA de la planta de tratamiento, la telemetría de las estaciones de bombeo, las tarjetas SIM de los sensores de nivel, la TI del laboratorio y la TI de oficina. La notificación de incidentes del §32 fluye al BSI. El registro del §33 es una única presentación por la entidad jurídica. El B3S Wasser/Abwasser es el manual de trabajo incluso cuando no se aplica el deber de auditoría, porque es el documento que el BSI conoce.
La comprobación de aplicabilidad recorre la definición del sector 7 exactamente como la escribe el anexo I: aguas residuales urbanas, domésticas, industriales, con la exención por actividad secundaria como pregunta separada. La prueba de tamaño del artículo 2, apartado 1, es el segundo paso. El umbral de la KRITIS-Verordnung de 500 000 EW es el tercero, y se presenta como 'además de NIS 2', no como una puerta.
El módulo de activos cubre el SCADA, la telemetría, las estaciones de bombeo y la TI del laboratorio bajo un solo inventario. Los controles del B3S Wasser/Abwasser se integran en el catálogo del artículo 21, apartado 2, sin una lista paralela. Si además cruza el umbral KRITIS, el ciclo de auditoría trienal conforme al §65 BSIG se activa como un flujo de trabajo separado sobre las mismas pruebas.
- Directiva (UE) 2022/2555 (NIS 2), anexo I sector 7 Aguas residuales — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Directiva (UE) 2022/2555 (NIS 2), artículo 2, apartado 1 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Directiva 91/271/CEE del Consejo sobre el tratamiento de las aguas residuales urbanas, artículo 2 puntos (1), (2), (3)
- Recomendación 2003/361/CE de la Comisión sobre la definición de microempresas, pequeñas y medianas empresas
- BSIG, §28 (Anwendungsbereich), §32 (Meldepflichten), §33 (Registrierung), §65 (Nachweise) en su versión modificada por la Ley de Aplicación de la NIS2 y de Refuerzo de la Ciberseguridad
- BSI-Kritisverordnung (KRITIS-Verordnung), Anhang 1 Teil 2 Wasser — equivalente-habitante de 500 000 para el tratamiento de aguas residuales
- Branchenspezifischer Sicherheitsstandard Wasser/Abwasser (B3S), DWA / BDEW