Suis-je un fournisseur d'énergie au sens de NIS 2 ?
NIS 2 inscrit l'énergie au secteur 1 de l'Annexe I avec cinq sous-secteurs (électricité, chauffage et refroidissement urbains, pétrole, gaz, hydrogène) et plusieurs types d'entités par sous-secteur. L'article 2(1) de NIS 2 ajoute ensuite le test de taille. Les seuils KRITIS au titre de la BSI-KritisV se superposent séparément et ne déterminent pas l'applicabilité de NIS 2.
La version courte
L'énergie constitue le secteur 1 de l'Annexe I de NIS 2. La directive nomme cinq sous-secteurs (électricité, chauffage et refroidissement urbains, pétrole, gaz, hydrogène) et, pour chacun, énumère les types d'entités concernés : producteurs, gestionnaires de réseau de distribution, gestionnaires de réseau de transport, fournisseurs, opérateurs désignés du marché de l'électricité, participants au marché de l'électricité, exploitants de raffineries et d'installations de traitement, exploitants d'oléoducs et de stockage, entités centrales de stockage, exploitants d'installations de GNL de gaz naturel, exploitants de production et de transport d'hydrogène. Un seul sous-secteur suffit à faire entrer une entreprise dans le champ d'application.
L'article 2(1) de NIS 2 ajoute le test de taille par renvoi à la recommandation 2003/361/CE : entreprise moyenne ou plus grande, c'est-à-dire au moins 50 salariés ou plus de 10 millions d'euros de chiffre d'affaires et de bilan annuels. La plupart des entreprises du secteur de l'énergie se situent confortablement au-dessus de ce seuil. En dessous, vous êtes normalement hors du champ d'application de NIS 2, sauf si une dérogation « indépendamment de la taille » de l'article 2(2) vous rattrape.
L'Allemagne transpose cela par le §28 BSIG (Anwendungsbereich) et le catalogue d'entités associé aux Anlagen 1 et 2 BSIG. Séparément, la BSI-KritisV (KRITIS-Verordnung) fixe des seuils sectoriels pour le régime KRITIS, plus strict (par exemple le nombre de clients finals raccordés en distribution d'électricité, ou les volumes annuels livrés). Le franchissement d'un seuil KRITIS ajoute des obligations par-dessus NIS 2 (audit indépendant tous les trois ans au titre du §65 BSIG). Ne pas le franchir ne supprime pas NIS 2.
Directive NIS 2 (UE) 2022/2555, Annexe I secteur 1 (Énergie)
Secteur 1 Énergie : a) Électricité, y compris les entreprises d'électricité, les gestionnaires de réseau de distribution, les gestionnaires de réseau de transport, les producteurs, les opérateurs désignés du marché de l'électricité et les participants au marché fournissant des services d'agrégation, de participation active de la demande ou de stockage d'énergie ; b) Chauffage et refroidissement urbains, y compris les exploitants de chauffage ou de refroidissement urbains ; c) Pétrole, y compris les exploitants d'oléoducs de transport, les exploitants d'installations de production, de raffinage et de traitement du pétrole, de stockage et de transport, et les entités centrales de stockage ; d) Gaz, y compris les entreprises de fourniture, les gestionnaires de réseau de distribution, les gestionnaires de réseau de transport, les gestionnaires d'installations de stockage, les gestionnaires d'installations de GNL, les entreprises de gaz naturel, et les exploitants d'installations de raffinage et de traitement du gaz naturel ; e) Hydrogène, y compris les exploitants de production, de stockage et de transport d'hydrogène.
L'Annexe I secteur 1 fixe le périmètre. Si vous exercez l'une de ces activités et que vous réussissez le test de taille de l'article 2(1), vous êtes par défaut dans le champ de NIS 2. La liste n'est pas exhaustive au sein de chaque définition de type d'entité, de sorte qu'une entreprise qui gère l'agrégation, la participation active de la demande ou le stockage du côté électricité est nommée explicitement, même si elle ne correspond pas à la forme classique du service public.
Article 2(1) de NIS 2 + recommandation 2003/361/CE
La présente directive s'applique aux entités publiques ou privées d'un type visé à l'Annexe I ou à l'Annexe II qui sont considérées comme des entreprises moyennes au sens de l'article 2 de l'annexe de la recommandation 2003/361/CE, ou qui dépassent les plafonds applicables aux entreprises moyennes prévus au paragraphe 1 dudit article.
Le test de taille est d'au moins 50 salariés, ou plus de 10 millions d'euros de chiffre d'affaires et de bilan annuels. Il s'applique à l'entité juridique, et non à chaque unité d'activité. Un producteur d'hydrogène de 30 personnes avec 8 millions d'euros de chiffre d'affaires se situerait normalement sous le seuil. Un gestionnaire municipal de réseau de distribution d'électricité de 200 personnes est confortablement au-dessus. L'article 2(2) énumère des dérogations « indépendamment de la taille » qui peuvent intégrer des entités plus petites (par exemple les fournisseurs uniques d'un service essentiel dans un État membre), mais la voie standard reste le test de taille.
§28 BSIG ainsi que la BSI-KritisV (Allemagne)
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind natürliche oder juristische Personen oder rechtlich unselbständige Organisationseinheiten einer Gebietskörperschaft, die einer der in den Anlagen 1 oder 2 genannten Einrichtungsarten zuzuordnen sind und die Schwellenwerte nach Artikel 2 der Empfehlung 2003/361/EG erreichen oder überschreiten.
Le §28 BSIG est la porte d'entrée allemande dans le champ de NIS 2. L'Anlage 1 BSIG énumère les types d'entités « besonders wichtige » (essentielles), l'Anlage 2 énumère les types « wichtige » (importantes). Les sous-secteurs de l'énergie relèvent largement de l'Anlage 1. La BSI-KritisV (Verordnung zur Bestimmung Kritischer Anlagen) fixe les seuils KRITIS distincts. Une entreprise du secteur de l'énergie qui franchit un seuil KRITIS est aussi Betreiber einer Kritischen Anlage et tombe à ce titre dans la catégorie plus stricte « besonders wichtige », avec l'obligation d'audit triennal au titre du §65 BSIG.
Quelle activité énergie de l'Annexe I exercez-vous ?
Parcourez les cinq sous-secteurs : électricité, chauffage et refroidissement urbains, pétrole, gaz, hydrogène. À l'intérieur de chaque sous-secteur, la directive nomme les types d'entités (producteurs, gestionnaires de réseau de distribution, gestionnaires de réseau de transport, fournisseurs, exploitants de stockage et de GNL, exploitants de raffinage et de traitement, entités centrales de stockage, opérateurs et participants au marché). Une seule correspondance suffit. Les producteurs d'énergies renouvelables, les fournisseurs de biogaz et les start-up de l'hydrogène ne sont pas exemptés par définition : ils relèvent des producteurs ou des entreprises de fourniture.
Êtes-vous au moins une entreprise moyenne ?
Appliquez le test à l'entité juridique : au moins 50 salariés, ou plus de 10 millions d'euros de chiffre d'affaires et de bilan annuels. La plupart des entreprises d'énergie établies réussissent le test. Les nouveaux entrants dans les énergies renouvelables ou l'hydrogène se situent souvent sous le seuil et restent hors du champ de NIS 2, sauf si une dérogation de l'article 2(2) les rattrape. Structures de groupe : les règles de la recommandation 2003/361/CE relatives aux entreprises liées et partenaires s'appliquent, de sorte qu'une petite GmbH opérationnelle au sein d'un grand groupe peut tout de même compter comme grande entreprise.
Franchissez-vous un seuil de la BSI-KritisV ?
Les seuils sectoriels fixés dans la BSI-KritisV déterminent le régime KRITIS, et non NIS 2. L'exemple bien documenté pour la distribution d'électricité est de 100 000 clients finals raccordés ou environ 3 700 GWh d'électricité livrée annuellement. Des seuils comparables existent pour le gaz, le chauffage urbain et le pétrole. Franchissez l'un d'eux et les obligations d'audit plus strictes (audit indépendant tous les trois ans au titre du §65 BSIG) s'appliquent par-dessus NIS 2. Restez en dessous de tous et vous devez toujours respecter l'intégralité du catalogue du §28 BSIG et de l'article 21 de NIS 2.
NIS 2 se superpose à l'EnWG, et ne se place pas à côté
Les entreprises d'énergie en Allemagne vivent déjà sous le régime des §11(1a) et §11(1b) EnWG, qui exigent un catalogue de sécurité informatique publié par la Bundesnetzagentur en coopération avec le BSI. NIS 2 ne le remplace pas. Les deux régimes se recoupent sur le terrain de l'article 21 (mesures de gestion des risques), mais NIS 2 ajoute l'obligation d'enregistrement du §33 BSIG, le cycle de déclaration des incidents importants du §32 BSIG, l'obligation de formation de la direction au titre de l'article 20, et les obligations relatives à la chaîne d'approvisionnement au titre de l'article 21(2)(d). Appliquer le catalogue EnWG est nécessaire, mais pas suffisant.
Les seuils KRITIS sont par sous-secteur, le champ de NIS 2 est par entité
Les seuils de la BSI-KritisV sont rédigés par activité (distribution d'électricité, production d'électricité, stockage de gaz, etc.) et s'appliquent à l'Anlage exploitée. Le champ de NIS 2 au titre du §28 BSIG et de l'article 2(1) de NIS 2 s'applique à l'entité juridique. Une entreprise d'énergie intégrée verticalement peut se situer sous chaque seuil KRITIS individuel et rester une entité NIS 2 à part entière, parce que l'entité dans son ensemble franchit le seuil de taille.
BSI / §28 BSIG, déclaration §32, registre §33
Le BSI est l'autorité cyber au titre du BSIG. Il gère le portail d'enregistrement du §33 où chaque entité d'énergie relevant de NIS 2 transmet ses données d'entreprise et leurs mises à jour dans un délai de deux semaines au titre de l'article 27(2). Il reçoit les notifications d'incidents importants au titre du §32 BSIG selon le calendrier de NIS 2. Si l'entité est aussi Betreiber einer Kritischen Anlage, le BSI est l'interlocuteur d'audit pour les preuves d'audit triennal au titre du §65 BSIG.
Bundesnetzagentur / catalogue de sécurité informatique §11 EnWG
La Bundesnetzagentur est le régulateur sectoriel de l'électricité et du gaz. Les §11(1a) et §11(1b) EnWG exigent des exploitants de réseaux d'énergie et d'installations énergétiques qu'ils mettent en œuvre le catalogue de sécurité informatique que la Bundesnetzagentur publie en coopération avec le BSI. Le catalogue et les mesures de l'article 21 de NIS 2 se recoupent largement mais sont supervisés séparément. La Bundesnetzagentur gère également la certification d'audit pour le catalogue.
Orientations techniques de mise en œuvre de l'ENISA
Les orientations techniques de mise en œuvre de l'ENISA expliquent comment mettre en place les mesures de l'article 21 dans les sous-secteurs de l'énergie. Les autres États membres transposent le secteur 1 de l'Annexe I à l'identique (la liste est du droit de l'UE). L'autorité de mise en œuvre diffère : l'ACER et les régulateurs nationaux de l'énergie assument le rôle sectoriel, les autorités nationales compétentes en matière de NIS assument le rôle cyber. Les opérateurs énergétiques transfrontaliers relèvent de plus d'un régulateur à la fois.
Nous appliquons déjà le catalogue de sécurité informatique du §11 EnWG, donc NIS 2 est couvert.
Le catalogue couvre une grande partie de l'article 21 de NIS 2, mais pas la totalité. L'enregistrement du §33 BSIG est distinct. La déclaration des incidents importants du §32 BSIG est distincte. L'obligation de formation de la direction de l'article 20 de NIS 2 est distincte. L'obligation relative à la chaîne d'approvisionnement de l'article 21(2)(d) va au-delà du champ du catalogue. Appliquer le catalogue est une solide longueur d'avance, pas un substitut.
Nous sommes en dessous du seuil de la BSI-KritisV, donc NIS 2 ne s'applique pas.
Les seuils KRITIS conditionnent le régime KRITIS, et non NIS 2. Un gestionnaire de réseau de distribution d'électricité avec 60 000 clients finals raccordés est en dessous du seuil documenté de 100 000 et n'est pas Betreiber einer Kritischen Anlage. Le même gestionnaire reste une entité NIS 2 au titre du §28 BSIG et doit respecter l'intégralité du catalogue de l'article 21, l'enregistrement du §33 et la déclaration d'incidents du §32.
Nous sommes une entreprise d'énergies renouvelables (éolien, solaire, biogaz, hydrogène vert), donc NIS 2 ne s'applique pas à nous.
L'Annexe I secteur 1 énumère les producteurs d'électricité sans distinguer la technologie de production. L'éolien, le solaire, l'hydraulique, le biogaz et l'hydrogène comptent tous. Un exploitant d'énergies renouvelables qui réussit le test de taille de l'article 2(1) entre dans le champ d'application exactement aux mêmes conditions qu'un producteur conventionnel. La seule porte de sortie est l'échec du test de taille, et non la source de production.
Une entreprise d'énergie allemande de taille intermédiaire typique, avec 150 salariés, une branche de distribution d'électricité desservant environ 40 000 clients finals, une branche de fourniture de gaz et un petit portefeuille de production d'énergies renouvelables, se situe dans le champ de NIS 2 par le secteur 1 de l'Annexe I (sous-secteurs électricité et gaz). Le test de taille est réussi au niveau de l'entité. Les seuils de la BSI-KritisV pour la branche de distribution ne sont pas franchis, de sorte que l'obligation d'audit du §65 ne s'applique pas, mais le §28 BSIG s'applique. Le catalogue du §11 EnWG est déjà en place pour le réseau, de sorte que la majeure partie de l'article 21 est en cours avant même que le travail NIS 2 ne commence.
Le registre des risques du §30 doit couvrir l'OT et le SCADA sur le réseau de distribution, le contrôle du réseau gazier et le portefeuille de production en un seul endroit. La déclaration du §32 passe par le BSI selon le calendrier de NIS 2. L'enregistrement du §33 est une seule transmission pour l'ensemble de l'entité juridique. La formation de la direction au titre de l'article 20 de NIS 2 est nouvelle pour la plupart des conseils de ce segment et n'est pas couverte par le catalogue EnWG. Les contrôles de la chaîne d'approvisionnement au titre de l'article 21(2)(d) constituent le deuxième grand écart par rapport au monde de l'EnWG.
Le test d'applicabilité vous guide à travers les sous-secteurs du secteur 1 de l'Annexe I, demande l'effectif et le chiffre d'affaires au niveau de l'entité, et vous indique dans quelle catégorie du §28 BSIG vous tombez et si une activité fait aussi entrer KRITIS. Le résultat est une note prête à coller que votre organe de direction et votre interlocuteur à la Bundesnetzagentur peuvent l'un comme l'autre lire.
Là où l'article 21 de NIS 2 et le catalogue du §11 EnWG se recoupent, la plateforme met en correspondance les exigences une seule fois et permet aux mêmes preuves de valoir pour les deux. Le module des actifs capture l'inventaire OT et IT de tous les sous-secteurs en un seul endroit. Le flux d'enregistrement du §33 reste sur la plateforme, y compris le cycle de mise à jour de deux semaines au titre de l'article 27(2).
- Directive (UE) 2022/2555 (NIS 2), Annexe I secteur 1 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Directive (UE) 2022/2555 (NIS 2), article 2(1) et article 2(2) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Recommandation 2003/361/CE de la Commission concernant la définition des micro, petites et moyennes entreprises
- Loi sur le BSI (BSIG), §28 (Anwendungsbereich), §32 (Meldepflichten), §33 (Registrierung), §65 (audits) telle que modifiée par la loi de mise en œuvre de NIS2 et de renforcement de la cybersécurité — gesetze-im-internet.de
- Verordnung zur Bestimmung Kritischer Anlagen (BSI-KritisV) — seuils sectoriels pour l'énergie (Energie)
- Energiewirtschaftsgesetz (EnWG), §11(1a) et §11(1b) — gesetze-im-internet.de
- Catalogue de sécurité informatique de la Bundesnetzagentur pour les exploitants de réseaux d'énergie et d'installations énergétiques