Notre Stadtwerk relève-t-il du périmètre NIS2 ?
Les Stadtwerke se superposent à plusieurs secteurs de l'annexe I de NIS2 en même temps : électricité, eau potable, eaux usées, parfois une branche télécommunications municipale. Chacun fait entrer l'entité dans le périmètre. Le test de taille s'applique à l'entité dans son ensemble, et non à chaque unité opérationnelle.
La version courte
Un Stadtwerk type exerce quatre types d'activité au sein d'une même société : distribution et fourniture d'électricité, eau potable, eaux usées, et parfois télécommunications ou chauffage urbain. Chacune de ces activités constitue son propre secteur au titre de l'annexe I de NIS2. Un seul secteur suffit à vous faire entrer dans le périmètre. Quatre secteurs ne vous y font pas entrer quatre fois. Une entité juridique, un enregistrement NIS2.
L'article 2, paragraphe 1, de NIS2 ajoute le test de taille : entreprise moyenne ou plus grande (au moins 50 employés, ou plus de 10 millions d'euros de chiffre d'affaires et de bilan). Les Stadtwerke franchissent presque toujours cette barre. Si vous exploitez une activité critique au-dessus du seuil KRITIS spécifique au secteur (par exemple 100 000 raccordements électriques, ou plus de 22 millions de mètres cubes d'eau potable par an), vous relevez en outre du régime KRITIS, plus strict, qui s'ajoute à NIS2. En dessous du seuil, vous restez néanmoins soumis à NIS2.
L'Allemagne transpose cela en droit national par le §28 BSIG. La KRITIS-Verordnung fixe les seuils de taille spécifiquement pour le régime KRITIS, qui constitue une strate distincte et plus stricte. NIS2 ne dépend pas des seuils KRITIS.
Directive NIS2 (2022/2555), annexe I secteurs 1, 6, 7, 8
Le secteur 1 Énergie comprend (a) l'électricité, (b) le chauffage et le refroidissement urbains, (c) le pétrole, (d) le gaz, (e) l'hydrogène, et couvre les gestionnaires de réseau de distribution, les gestionnaires de réseau de transport, les producteurs et les entreprises de fourniture d'énergie. Le secteur 6 Eau potable couvre les fournisseurs et les distributeurs d'eaux destinées à la consommation humaine. Le secteur 7 Eaux usées couvre les entreprises qui collectent, évacuent ou traitent les eaux usées urbaines, domestiques ou industrielles. Le secteur 8 Infrastructure numérique comprend les fournisseurs de réseaux publics de communications électroniques et de services de communications électroniques accessibles au public.
Un Stadtwerk unique qui exploite un réseau électrique, fournit de l'eau potable, traite les eaux usées et exploite un réseau de fibre municipal touche quatre secteurs différents de cette liste. Chaque activité déclenche NIS2 de façon indépendante.
Article 2, paragraphe 1, de NIS2 + recommandation 2003/361/CE + KRITIS-Verordnung
La présente directive s'applique aux entités publiques ou privées d'un type visé à l'annexe I ou à l'annexe II qui sont considérées comme des moyennes entreprises au sens de l'article 2 de l'annexe de la recommandation 2003/361/CE, ou qui dépassent les plafonds applicables aux moyennes entreprises prévus au paragraphe 1 dudit article.
Le test de taille correspond à entreprise moyenne ou plus grande (au moins 50 employés, ou plus de 10 millions d'euros de chiffre d'affaires et de bilan). La KRITIS-Verordnung fixe des seuils distincts spécifiques au secteur pour le régime KRITIS allemand : par exemple 100 000 raccordements en distribution d'électricité, ou plus de 22 millions de mètres cubes de fourniture d'eau potable par an. Les seuils KRITIS ne conditionnent pas NIS2.
§28 BSIG (Allemagne)
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind natürliche oder juristische Personen oder rechtlich unselbständige Organisationseinheiten einer Gebietskörperschaft, die einer der in den Anlagen 1 oder 2 genannten Einrichtungsarten zuzuordnen sind und die Schwellenwerte nach Artikel 2 der Empfehlung 2003/361/EG erreichen oder überschreiten.
Le §28 BSIG est la porte d'entrée allemande dans le périmètre NIS2. L'annexe 1 énumère les types « besonders wichtige » (essentiels), l'annexe 2 énumère les types « wichtige » (importants). Un Stadtwerk qui franchit un seuil KRITIS sur au moins une activité est également « Betreiber einer Kritischen Anlage » et se classe à ce titre dans la catégorie plus stricte « besonders wichtige ».
Quelles activités de l'annexe I exercez-vous ?
Parcourez la liste. Électricité (production, distribution, fourniture). Chauffage ou refroidissement urbains. Gaz. Eau potable. Eaux usées. Réseau ou service public de communications électroniques. Si vous exercez ne serait-ce qu'une seule de ces activités en tant que Stadtwerk, ce secteur est inclus. Énumérez-les toutes, car chacune exige d'appliquer les mesures aux systèmes qui la font fonctionner.
Êtes-vous au moins une entreprise moyenne ?
Au moins 50 employés, ou plus de 10 millions d'euros de chiffre d'affaires et de bilan. Appliquez le test à l'entité juridique, et non à chaque unité opérationnelle. Les Stadtwerke se situent presque toujours au-dessus de cette barre dès lors qu'on additionne l'exploitation du réseau, l'eau et les eaux usées. En dessous de la barre, des exceptions étroites existent pour certains secteurs, mais pas pour l'énergie ni pour l'eau.
Franchissez-vous un seuil de la KRITIS-Verordnung ?
Spécifique au secteur. Distribution d'électricité : 100 000 clients finals raccordés. Eau potable : 22 millions de mètres cubes par an. Eaux usées : 500 000 équivalents-habitants. Franchissez un seuil sur une activité quelconque et le régime KRITIS s'applique à cette activité, en sus de NIS2. Le régime KRITIS apporte des obligations d'audit plus strictes (audit indépendant tous les trois ans, §65 BSIG) et des obligations de déclaration supplémentaires.
Une entité juridique est une entité NIS2
Si vos unités opérationnelles électricité, eau, eaux usées et télécommunications se trouvent au sein de la même GmbH, la GmbH est l'entité NIS2. Un enregistrement auprès du BSI. Un registre des risques couvrant l'ensemble de l'OT et de l'IT de tous les secteurs. Un organe de direction qui valide. Répartir le travail NIS2 entre les unités opérationnelles ne scinde pas l'obligation. Cela ne fait que compliquer la coordination.
NIS2 n'est pas la même chose que KRITIS
Le franchissement du seuil KRITIS ajoute un régime. Il ne remplace pas NIS2. Le fait de ne pas franchir le seuil KRITIS supprime le régime KRITIS, mais ne supprime pas NIS2. Le périmètre du §28 BSIG se situe en dessous de KRITIS et au-dessus de « trop petit pour s'en préoccuper ». Les Stadtwerke se situent presque toujours dans cette bande, même lorsque leur réseau compte moins de 100 000 raccordements.
BSI / §28 BSIG et KRITIS-Verordnung
Le BSI est l'autorité pour le volet cyber de l'énergie, de l'eau et des eaux usées. Il gère le portail d'enregistrement du §33 BSIG, reçoit les notifications d'incidents importants au titre du §32 BSIG, et publie des orientations sectorielles (Branchenspezifische Sicherheitsstandards) pour Energie, Wasser et Abwasser. Si votre Stadtwerk relève également de KRITIS, c'est au BSI que vous soumettez les preuves de l'audit triennal.
Bundesnetzagentur
Si votre Stadtwerk exploite un réseau ou un service public de communications électroniques (une branche de fibre municipale, par exemple), la Bundesnetzagentur est le régulateur sectoriel. Les obligations cyber au titre du §28 BSIG passent toujours par le BSI, mais la surcouche spécifique aux télécommunications relève de la Bundesnetzagentur.
Orientations techniques de mise en œuvre de l'ENISA
Le TIG de l'ENISA explique comment mettre en place les mesures de l'article 21 dans tous les secteurs. Les secteurs 1, 6 et 7 de l'annexe I sont couverts explicitement. Les travaux ISO 27001 ou NIST CSF 2.0 existants se mappent via le tableau de correspondance du TIG, de sorte qu'un Stadtwerk qui exploite déjà un ISMS pour une unité opérationnelle a une longueur d'avance pour les autres.
Régies municipales ailleurs
D'autres États membres transposent NIS2 avec un périmètre globalement comparable pour les régies municipales : l'Autriche via le NISG, les Pays-Bas via la Cyberbeveiligingswet, la Belgique via la NIS2-Wet. La liste des secteurs est identique (l'annexe I relève du droit de l'UE). Ce qui diffère : à quelle autorité vous vous adressez et la manière dont le cycle d'audit est calé.
Nous sommes un Stadtwerk public détenu par la ville, donc NIS2 ne s'applique pas.
L'annexe I n'exonère pas les entités du secteur public. Elle s'applique explicitement aux « entités publiques ou privées ». Que la GmbH soit détenue par la ville, par une holding ou par des actionnaires privés ne change rien au test sectoriel. La seule exception étroite du secteur public dans NIS2 concerne les fonctions de sécurité nationale et de défense, et non l'exploitation de services publics.
Nous sommes en dessous du seuil KRITIS, donc nous ne sommes pas dans le périmètre.
Les seuils KRITIS conditionnent le régime KRITIS, pas NIS2. Un Stadtwerk de 60 000 raccordements électriques est en dessous du seuil KRITIS de 100 000, de sorte que le cycle d'audit plus strict ne s'applique pas. Ce même Stadtwerk reste une entité NIS2 au titre du §28 BSIG, soumise à l'ensemble du catalogue de mesures de l'article 21, à l'enregistrement et aux obligations de déclaration d'incidents.
Chaque unité de service public gère sa propre conformité NIS2.
Au sein d'une même entité juridique, il existe une seule obligation NIS2. Un seul enregistrement. Une seule validation de l'organe de direction. Un seul registre des risques qui doit couvrir l'OT et l'IT de tous les secteurs. Traiter chaque unité opérationnelle comme un silo de conformité distinct produit des travaux qui se chevauchent, des lacunes aux jointures et un récit d'audit qui ne tient pas debout.
Un Stadtwerk type de 200 employés, doté d'un réseau électrique de 60 000 clients, d'une fourniture d'eau potable d'environ 8 millions de mètres cubes par an et d'une petite branche de fibre, se situe sans ambiguïté dans le périmètre NIS2 par les secteurs 1, 6, 7 et 8 de l'annexe I. Le test de taille est franchi confortablement. Les seuils KRITIS ne sont pas atteints, de sorte que les obligations d'audit au titre du §65 BSIG ne s'appliquent pas, mais les obligations du §28 BSIG, si.
Le registre des risques du §30 doit couvrir l'OT et le SCADA de l'électricité, de l'eau et des eaux usées en un seul endroit. La déclaration d'incidents du §32 passe par le BSI. L'enregistrement du §33 est une soumission unique pour l'ensemble de la société. Si vous franchissez en outre un seuil KRITIS sur une activité quelconque, votre classification au titre du §28 passe à « besonders wichtige Einrichtung » et l'audit KRITIS triennal s'ajoute par-dessus.
Le contrôle d'applicabilité vous guide directement à travers le cas d'une entité unique multisectorielle. Vous cochez chaque activité de l'annexe I exercée par votre Stadtwerk, la plateforme les agrège au regard du test de taille et vous indique dans quelle catégorie du §28 BSIG vous vous situez et si une activité fait également entrer KRITIS.
Le module des actifs recense l'inventaire OT et IT de tous les sous-secteurs en un seul endroit. Le registre des risques s'appuie sur cet inventaire unique, de sorte qu'un plan de traitement appliqué à un système de contrôle SCADA de l'usine d'eau et à la salle de commande du réseau figure côte à côte, et non dans deux classeurs de conformité distincts.
- Directive (UE) 2022/2555 (NIS2), annexe I secteurs 1, 6, 7 et 8 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Directive (UE) 2022/2555 (NIS2), article 2, paragraphe 1 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Recommandation 2003/361/CE de la Commission concernant la définition des micro, petites et moyennes entreprises
- Loi BSI (BSIG), §28 (Anwendungsbereich) et §33 (Registrierung) telle que modifiée par la loi de mise en œuvre de NIS2 et de renforcement de la cybersécurité
- KRITIS-Verordnung (BSI-Kritisverordnung) — seuils spécifiques aux secteurs Energie, Wasser et Abwasser
- Orientations sectorielles du BSI pour Energie, Wasser et Abwasser (Branchenspezifische Sicherheitsstandards)