Sommes-nous un fournisseur d'eau potable inclus dans le champ de NIS 2 ?
L'annexe I, secteur 6, de NIS 2 couvre les fournisseurs et distributeurs d'eau destinée à la consommation humaine. Le seuil de taille est l'entreprise moyenne ou plus grande. Le seuil KRITIS de 22 millions de mètres cubes par an est un régime distinct, plus strict, qui s'ajoute par-dessus.
En bref
NIS 2 inscrit l'eau potable à l'annexe I, secteur 6. La définition de l'eau potable est tirée de la directive (UE) 2020/2184, la directive « eau potable » refondue : eau destinée à la consommation humaine, fournie par un réseau de distribution ou par camion-citerne, ou utilisée dans la production alimentaire. Si votre entité fournit ou distribue cette eau, vous êtes à l'intérieur du secteur.
L'article 2, paragraphe 1, de NIS 2 ajoute le test de taille : au moins 50 salariés, ou plus de 10 millions d'euros de chiffre d'affaires et de bilan, mesurés selon la recommandation 2003/361/CE. Un service municipal des eaux, un Wasserverband régional ou la branche eau d'un Stadtwerk franchit généralement ce seuil avec une large marge. Le régime KRITIS ne s'enclenche qu'au-delà de 22 millions de mètres cubes par an, un seuil bien plus élevé que celui de NIS 2.
L'Allemagne inscrit cela dans son droit national par le §28 BSIG. La KRITIS-Verordnung fixe le seuil de 22 millions de mètres cubes pour le régime KRITIS allemand. La plupart des fournisseurs d'eau potable allemands sont des entités NIS 2 mais ne sont pas des exploitants KRITIS. Les deux niveaux sont indépendants. Ne pas atteindre le seuil KRITIS ne fait pas disparaître NIS 2.
Directive NIS 2 (2022/2555), annexe I secteur 6 Eau potable
Suppliers and distributors of water intended for human consumption as defined in point 1 of Article 2 of Directive (EU) 2020/2184 of the European Parliament and of the Council, but excluding distributors for whom distribution of water for human consumption is a non-essential part of their general activity of distributing other commodities and goods.
Le test sectoriel est binaire. Si vous fournissez ou distribuez de l'eau potable comme activité principale, le secteur 6 s'applique. L'exclusion est étroite : elle écarte les distributeurs d'autres biens qui se trouvent aussi distribuer de l'eau potable à titre accessoire. Un service des eaux, un Wasserverband, un Zweckverband ou la branche eau d'un Stadtwerk ne relève pas de cette exclusion.
Article 2, paragraphe 1, NIS 2 + recommandation 2003/361/CE + KRITIS-Verordnung
This Directive applies to public or private entities of a type referred to in Annex I or Annex II which qualify as medium-sized enterprises under Article 2 of the Annex to Recommendation 2003/361/EC, or exceed the ceilings for medium-sized enterprises provided for in paragraph 1 of that Article.
Le test de taille est l'entreprise moyenne ou plus grande : au moins 50 salariés, ou plus de 10 millions d'euros de chiffre d'affaires annuel et de bilan. KRITIS utilise un seuil distinct propre au secteur pour l'eau potable : plus de 22 millions de mètres cubes par an, fixé dans la KRITIS-Verordnung. Les seuils KRITIS ne conditionnent pas NIS 2.
§28 BSIG (Allemagne)
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind natürliche oder juristische Personen oder rechtlich unselbständige Organisationseinheiten einer Gebietskörperschaft, die einer der in den Anlagen 1 oder 2 genannten Einrichtungsarten zuzuordnen sind und die Schwellenwerte nach Artikel 2 der Empfehlung 2003/361/EG erreichen oder überschreiten.
Le §28 BSIG est la porte d'entrée allemande dans NIS 2. L'eau potable figure à l'Anlage 1 (besonders wichtige Sektoren) sous Trinkwasser. Franchir le seuil de 22 millions de mètres cubes par an de la KRITIS-Verordnung ajoute le niveau Betreiber kritischer Anlagen avec le cycle d'audit triennal au titre du §65 BSIG. En deçà de ce seuil, un fournisseur d'eau potable demeure une besonders wichtige Einrichtung au sens de NIS 2.
Fournissez-vous ou distribuez-vous de l'eau potable ?
L'eau potable désigne l'eau destinée à la consommation humaine au sens de l'article 2, paragraphe 1, de la directive (UE) 2020/2184. Cela inclut l'eau fournie par un réseau public, l'eau provenant d'un camion-citerne et l'eau utilisée dans la production alimentaire. Si votre entité capte, traite, fournit ou distribue cette eau comme activité principale, le secteur 6 s'applique. Les producteurs d'eau en bouteille sont hors du secteur 6 (ils relèvent de la production alimentaire, un secteur distinct de l'annexe I dans le projet initial de la directive et désormais en dehors du secteur 6 de NIS 2).
Êtes-vous au moins une entreprise moyenne ?
Au moins 50 salariés, ou plus de 10 millions d'euros de chiffre d'affaires annuel et de bilan. L'effectif et les plafonds financiers proviennent de la recommandation 2003/361/CE. La propriété publique ne change pas le test. Un Zweckverband ou un service municipal compte les effectifs et le chiffre d'affaires de la même manière qu'une GmbH privée.
Franchissez-vous 22 millions de mètres cubes par an ?
La KRITIS-Verordnung fixe un seuil unique pour l'eau potable : plus de 22 millions de mètres cubes d'eau fournie par an. Franchissez cette limite et le régime KRITIS s'applique par-dessus NIS 2 : audit indépendant tous les trois ans au titre du §65 BSIG, obligations de déclaration supplémentaires, enregistrement en tant que Betreiber einer kritischen Anlage. En deçà de cette limite, vous n'êtes redevable que de NIS 2. Environ 80 pour cent des fournisseurs d'eau potable allemands se situent en deçà du seuil KRITIS mais à l'intérieur de NIS 2.
L'exclusion pour activité accessoire est étroite
L'annexe I, secteur 6, écarte les distributeurs pour lesquels l'eau potable représente une part non essentielle de leur activité générale de distribution d'autres biens. Cette clause existe pour les détaillants et les entreprises de logistique qui se trouvent à distribuer de l'eau en bouteille parmi d'autres marchandises. Elle n'exonère pas un service des eaux ni la branche eau d'un Stadtwerk. Si l'eau potable est une activité désignée, l'exclusion ne s'applique pas.
Eau potable plus eaux usées plus électricité forment une seule entité NIS 2
Un service municipal qui fournit de l'eau potable, traite les eaux usées et exploite un réseau électrique touche trois secteurs de l'annexe I à la fois. Au sein d'une seule entité juridique, cela reste une seule obligation NIS 2. Un seul enregistrement auprès du BSI. Une seule validation par l'organe de direction. Un seul registre des risques couvrant l'OT et l'IT sur les trois. Répartir le travail par unité d'activité produit des preuves qui se chevauchent et des lacunes aux jointures.
BSI / §28 BSIG et KRITIS-Verordnung
Le BSI est l'autorité cyber pour l'eau potable. Il exploite le portail d'enregistrement du §33 BSIG, reçoit les notifications d'incidents importants du §32 BSIG et publie le branchenspezifischer Sicherheitsstandard Wasser. Si le fournisseur est également KRITIS, le BSI est le destinataire des preuves d'audit triennal au titre du §65 BSIG.
Umweltbundesamt et Gesundheitsämter
La qualité de l'eau, et non le cyber, relève de l'Umweltbundesamt et des services régionaux de santé au titre de la Trinkwasserverordnung allemande (qui transpose la directive (UE) 2020/2184). NIS 2 ne change pas cela. Les obligations cyber au titre du §28 BSIG s'exécutent en parallèle des obligations de qualité de l'eau au titre de la Trinkwasserverordnung.
Orientations techniques de mise en œuvre de l'ENISA
Le TIG de l'ENISA couvre explicitement l'annexe I, secteur 6. Il explique comment le catalogue de mesures de l'article 21 s'applique aux exploitants d'eau potable et comment il se rattache aux travaux ISO 27001 ou NIST CSF 2.0 existants via le tableau de correspondance officiel du TIG. Un fournisseur qui exploite déjà un SMSI dispose d'une correspondance documentée vers les preuves NIS 2.
Les fournisseurs d'eau potable ailleurs
Les autres États membres transposent NIS 2 avec la même définition sectorielle (l'annexe I relève du droit de l'Union). L'Autriche l'applique par la NISG, les Pays-Bas par la Cyberbeveiligingswet, la Belgique par la NIS2-Wet. Ce qui diffère, c'est l'autorité de surveillance et le calendrier d'un éventuel cycle d'audit propre au secteur. Le seuil de 22 millions de mètres cubes est une règle KRITIS allemande, et non une règle NIS 2 de l'Union.
Nous sommes bien en dessous de 22 millions de mètres cubes par an, donc NIS 2 ne s'applique pas à nous.
Le seuil de 22 millions de mètres cubes conditionne le régime KRITIS, non NIS 2. Un Wasserverband fournissant 4 millions de mètres cubes par an est en dessous de KRITIS mais reste une entité NIS 2 au titre de l'annexe I, secteur 6, et du §28 BSIG, avec le catalogue complet de mesures de l'article 21, l'enregistrement du §33 BSIG et les obligations de notification d'incident du §32 BSIG. NIS 2 commence à 50 salariés ou 10 millions d'euros, et non à un seuil de volume.
Nous mettons en bouteille de l'eau minérale pour la vente au détail, nous sommes donc un fournisseur d'eau potable au sens de NIS 2.
L'annexe I, secteur 6, couvre les fournisseurs et distributeurs d'eau destinée à la consommation humaine au sens de la directive (UE) 2020/2184. Cette directive traite de l'approvisionnement public en eau, non de l'eau minérale conditionnée. Les embouteilleurs sont des producteurs de denrées alimentaires, et non des fournisseurs d'eau potable au sens du secteur 6. NIS 2 peut tout de même s'appliquer par un autre secteur (la production alimentaire figure à l'annexe II), mais non par le secteur 6.
Nous sommes un petit Wasserwerk appartenant à la commune, la directive ne peut donc pas nous viser.
L'annexe I s'applique aux entités publiques ou privées. La propriété municipale n'exonère pas un Wasserwerk. La seule exclusion de NIS 2 concerne les fonctions de sécurité nationale et de défense. Un Wasserwerk de 60 salariés au sein d'un Zweckverband est une besonders wichtige Einrichtung au titre du §28 BSIG, au même titre qu'un service privé.
Un fournisseur d'eau potable allemand typique de petite taille, avec 80 salariés, fournissant 6 millions de mètres cubes d'eau potable par an à environ 40 000 foyers, se situe sans ambiguïté dans le champ de NIS 2 par l'annexe I, secteur 6. Le test de taille est confortablement franchi. KRITIS ne s'applique pas, de sorte que l'audit triennal au titre du §65 BSIG n'entre pas en jeu. Mais les §28, §30, §32 et §33 BSIG s'appliquent tous pleinement : enregistrement auprès du BSI, catalogue de mesures de l'article 21, validation par l'organe de direction, notification d'incident important dans les 24 et 72 heures.
Le registre des risques doit couvrir l'OT et le SCADA des usines des eaux, les stations de traitement, la télémétrie du réseau, l'IT de facturation client et les services en nuage utilisés pour la surveillance. Les mesures relatives à la chaîne d'approvisionnement au titre de l'article 21, paragraphe 2, point d), doivent atteindre le fournisseur de produits chimiques et le fournisseur du SCADA. Rien de cela n'est conditionné à l'atteinte de 22 millions de mètres cubes. Le seuil KRITIS est un niveau distinct, plus strict, que presque aucun Wasserwerk allemand n'atteint.
Le contrôle d'applicabilité pose une question à la fois : fournissez-vous ou distribuez-vous de l'eau potable au sens de la directive (UE) 2020/2184, combien de salariés, quel est le chiffre d'affaires, quel est le volume annuel en mètres cubes. Il renvoie une réponse claire pour le §28 BSIG et une réponse distincte pour le seuil de la KRITIS-Verordnung. Sans confondre les deux niveaux.
Le module des actifs recense l'inventaire OT pour les usines des eaux, le réseau et la télémétrie en un seul endroit. Le registre des risques s'appuie sur cet inventaire, de sorte que le SCADA d'une station de traitement et l'IT de facturation figurent dans le même tableau de conformité. Si le fournisseur franchit ultérieurement le seuil KRITIS, les mêmes preuves sont réutilisées et le cycle d'audit triennal s'insère sans système parallèle.
- Directive (UE) 2022/2555 (NIS 2), annexe I secteur 6 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Directive (UE) 2022/2555 (NIS 2), article 2, paragraphe 1 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Directive (UE) 2020/2184 (directive « eau potable » refondue), article 2, paragraphe 1 — eur-lex.europa.eu/eli/dir/2020/2184/oj
- Recommandation 2003/361/CE de la Commission concernant la définition des micro, petites et moyennes entreprises
- Loi sur le BSI (BSIG), §28 (Anwendungsbereich), §32 (Meldepflichten) et §33 (Registrierung) telle que modifiée par la loi de mise en œuvre de NIS2 et de renforcement de la cybersécurité
- KRITIS-Verordnung (BSI-Kritisverordnung), Anlage 1 — seuil de 22 millions de mètres cubes par an pour le secteur Trinkwasser
- BSI branchenspezifischer Sicherheitsstandard Wasser/Abwasser
- Trinkwasserverordnung (transposition allemande de la directive (UE) 2020/2184)