Sommes-nous un exploitant d'eaux usées inclus dans le champ de NIS 2 ?
L'annexe I, secteur 7, de NIS 2 couvre les entreprises qui collectent, évacuent ou traitent les eaux urbaines résiduaires, les eaux ménagères usées ou les eaux industrielles usées. Le test de taille de l'article 2, paragraphe 1, est la deuxième porte. KRITIS est un régime plus strict qui s'ajoute par-dessus pour les plus grandes stations, mais il ne conditionne pas NIS 2.
En bref
Si votre entité collecte, évacue ou traite les eaux urbaines résiduaires, les eaux ménagères usées ou les eaux industrielles usées comme activité principale, vous êtes à l'intérieur de l'annexe I, secteur 7, de NIS 2. La directive définit ces trois types d'eaux usées par renvoi à la directive 91/271/CEE du Conseil (directive relative au traitement des eaux urbaines résiduaires). Une phrase de l'annexe I tranche la question sectorielle.
L'article 2, paragraphe 1, de NIS 2 ajoute le test de taille : entreprise moyenne ou plus grande, c'est-à-dire au moins 50 salariés, ou plus de 10 millions d'euros de chiffre d'affaires et plus de 10 millions d'euros de bilan. La plupart des exploitants municipaux qui gèrent une station de traitement d'une taille significative franchissent ce test une fois additionnés l'exploitation, la maintenance et l'administration.
La KRITIS-Verordnung fixe un seuil distinct, plus strict, pour le régime KRITIS allemand : un équivalent-habitant de 500 000 pour le traitement des eaux usées. Une station en deçà de ce chiffre n'est pas KRITIS, mais reste une entité NIS 2 au titre du §28 BSIG. Le régime KRITIS ajoute des obligations par-dessus NIS 2. Il ne remplace pas NIS 2 et ne le conditionne pas.
Directive NIS 2 (UE) 2022/2555, annexe I secteur 7 Eaux usées
Undertakings collecting, disposing of or treating urban waste water, domestic waste water or industrial waste water as defined in point (1), (2) and (3) of Article 2 of Council Directive 91/271/EEC, excluding undertakings for which collecting, disposing of or treating urban waste water, domestic waste water or industrial waste water is a non-essential part of their general activity.
Trois éléments à lire attentivement. Premièrement, les définitions des activités proviennent de la directive 91/271/CEE relative au traitement des eaux urbaines résiduaires, et non de NIS 2 elle-même. Deuxièmement, les trois types d'eaux usées comptent : urbaines, ménagères et industrielles. Troisièmement, la seule exclusion vise les entités pour lesquelles le travail sur les eaux usées est une activité accessoire. Si le traitement ou l'évacuation fait partie de vos activités principales, vous êtes à l'intérieur du secteur 7.
Article 2, paragraphe 1, NIS 2 plus recommandation 2003/361/CE
This Directive applies to public or private entities of a type referred to in Annex I or Annex II which qualify as medium-sized enterprises under Article 2 of the Annex to Recommendation 2003/361/EC, or exceed the ceilings for medium-sized enterprises provided for in paragraph 1 of that Article.
Entreprise moyenne signifie au moins 50 salariés, ou plus de 10 millions d'euros de chiffre d'affaires et plus de 10 millions d'euros de bilan. Appliquez le test à l'entité juridique qui exerce l'activité d'eaux usées. Un Zweckverband, une filiale de Stadtwerk, un Eigenbetrieb ou un exploitant privé sont tous traités de la même manière une fois le test de taille franchi.
§28 BSIG (Allemagne) plus KRITIS-Verordnung
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind natürliche oder juristische Personen oder rechtlich unselbständige Organisationseinheiten einer Gebietskörperschaft, die einer der in den Anlagen 1 oder 2 genannten Einrichtungsarten zuzuordnen sind und die Schwellenwerte nach Artikel 2 der Empfehlung 2003/361/EG erreichen oder überschreiten.
Le §28 BSIG est l'entrée allemande dans NIS 2. L'Anlage 1 énumère les types « besonders wichtige » (essentiels), l'Anlage 2 énumère les types « wichtige » (importants). Les eaux usées figurent dans cette liste. Une station qui franchit en outre le seuil KRITIS de 500 000 équivalents-habitants dans la KRITIS-Verordnung compte comme « Betreiber einer Kritischen Anlage » et atterrit dans la catégorie plus stricte « besonders wichtige » par-dessus.
Collectez-vous, évacuez-vous ou traitez-vous les eaux usées comme activité principale ?
Parcourez les trois catégories de la directive 91/271/CEE. Les eaux urbaines résiduaires sont le mélange d'eaux ménagères usées avec des eaux industrielles usées ou des eaux de ruissellement. Les eaux ménagères usées proviennent des bâtiments résidentiels. Les eaux industrielles usées proviennent de la production. Si l'un de ces flux passe par vos égouts, vos stations de pompage ou votre station de traitement dans le cadre de vos activités principales, vous êtes à l'intérieur du secteur 7.
Êtes-vous au moins une entreprise moyenne ?
Au moins 50 salariés, ou plus de 10 millions d'euros de chiffre d'affaires et plus de 10 millions d'euros de bilan. Comptez l'entité juridique entière, et non la station isolément. Un Zweckverband de 65 salariés répartis entre l'exploitation, le laboratoire et l'administration franchit le test même si la station elle-même fonctionne avec une petite équipe de nuit. En deçà du seuil, un ensemble restreint d'entités peut tout de même être inclus dans le champ d'application lorsque l'article 2, paragraphe 2, les y inclut indépendamment de la taille, mais la règle générale pour le secteur 7 est le test de taille.
Franchissez-vous le seuil KRITIS de 500 000 équivalents-habitants ?
La KRITIS-Verordnung fixe le seuil allemand des eaux usées à un équivalent-habitant de 500 000. Franchissez ce chiffre et vous êtes également « Betreiber einer Kritischen Anlage », avec le cycle d'audit triennal au titre du §65 BSIG et la classification plus stricte. La plupart des stations municipales en Allemagne se situent bien en dessous de 500 000 EH. Elles ne sont pas KRITIS, mais restent des entités NIS 2 au titre du §28 BSIG.
Les eaux usées en tant que sous-produit ne vous placent pas dans le secteur 7
L'exclusion de l'annexe I est explicite. Si le travail sur les eaux usées est une part non essentielle de votre activité générale (une unité de prétraitement sur site dans une usine, un séparateur d'hydrocarbures de parking, une petite station d'épuration interne sur un site isolé), l'exploitant n'est pas dans le secteur 7 sur cette base. L'usine elle-même peut tout de même être incluse dans le champ d'application au titre d'un autre secteur de l'annexe I ou II. C'est le travail sur les eaux usées qui tombe en dehors, et non l'entité juridique.
Au sein d'un Stadtwerk, les eaux usées sont l'un de plusieurs secteurs
Un Stadtwerk exploite souvent l'électricité, l'eau potable et les eaux usées au sein d'une seule entité juridique. NIS 2 traite toujours cela comme une seule entité avec un seul enregistrement. L'activité d'eaux usées ne reçoit pas de dossier distinct. Le registre des risques, le module des actifs et la notification d'incident couvrent tous les secteurs en un seul endroit. Voir l'article sur le Stadtwerk pour le traitement multisectoriel complet.
BSI au titre des §28, §32 et §33 BSIG
Le BSI est l'autorité cyber pour les eaux usées au titre du §28 BSIG. Il exploite le portail d'enregistrement du §33 BSIG, accepte les notifications d'incidents importants du §32 BSIG et, pour les exploitants KRITIS au-dessus de 500 000 EH, reçoit les preuves d'audit triennal au titre du §65 BSIG. Pour les exploitants en deçà du seuil KRITIS, il n'y a pas d'obligation d'audit, mais l'enregistrement et la notification s'appliquent tout de même.
Umweltbundesamt et KA-Sicherheitsstandard
L'Umweltbundesamt et les associations professionnelles du secteur des eaux usées (DWA, BDEW) maintiennent le standard de cybersécurité propre au secteur pour les stations d'eaux usées (B3S Wasser/Abwasser). Le B3S est ce que le BSI accepte comme standard de sécurité reconnu pour le secteur au titre du §31 BSIG pour les exploitants KRITIS. Les exploitants NIS 2 non KRITIS ne sont pas tenus de suivre le B3S mais l'utilisent en pratique comme guide de travail.
Länder (autorités de l'eau)
Le volet environnemental des eaux usées (autorisations de rejet, qualité du traitement, gestion des boues) relève des Landesbehörden für Wasserwirtschaft au titre du droit de l'eau des Länder. NIS 2 ne change rien à cela. L'autorité de l'eau du Land est une conversation différente de celle avec le BSI. Un incident cyber ayant également un impact environnemental peut exiger des notifications aux deux niveaux.
Orientations techniques de mise en œuvre de l'ENISA
Le TIG de l'ENISA couvre explicitement le secteur 7 et rattache le catalogue de mesures de l'article 21 à ISO 27001 et NIST CSF 2.0. Les exploitants qui exploitent déjà un système de management environnemental ISO disposent d'une avance partielle. Le TIG n'est pas contraignant mais constitue la référence à l'échelle de l'Union pour ce à quoi ressemble le caractère « approprié et proportionné » au titre de l'article 21, paragraphe 1.
Nous traitons sur site les eaux usées de notre propre usine, nous sommes donc un exploitant du secteur 7.
L'annexe I, secteur 7, exclut les exploitants pour lesquels le travail sur les eaux usées est une part non essentielle de l'activité générale. Une unité de prétraitement sur site dans une usine chimique ne fait pas de cette usine chimique une entité du secteur 7. L'usine peut tout de même être incluse dans le champ de NIS 2 au titre d'un autre secteur de l'annexe I ou II (produits chimiques, fabrication, denrées alimentaires), mais non par la ligne des eaux usées.
Notre station est en dessous de 500 000 EH, donc NIS 2 ne s'applique pas.
Le chiffre de 500 000 équivalents-habitants est le seuil KRITIS issu de la KRITIS-Verordnung. Il conditionne le régime KRITIS, non NIS 2. Une station à 80 000 EH est en dessous de KRITIS mais constitue un exploitant d'eaux usées typique de taille Mittelstand au-dessus du test de taille de l'article 2, paragraphe 1. C'est une entité NIS 2 au titre du §28 BSIG avec le catalogue complet de mesures de l'article 21, l'enregistrement et les obligations de notification d'incident.
Nous sommes un Eigenbetrieb de la ville, donc NIS 2 ne s'applique pas.
L'annexe I couvre les « entités publiques ou privées ». La forme juridique (Eigenbetrieb, Zweckverband, Anstalt des öffentlichen Rechts, GmbH) ne change pas le test sectoriel. La seule exclusion étroite du secteur public dans NIS 2 vise les fonctions de sécurité nationale et de défense. Une exploitation municipale d'eaux usées n'en fait pas partie.
Un exploitant d'eaux usées typique avec lequel nous échangeons gère une station de traitement de 80 000 à 200 000 équivalents-habitants, un réseau d'égouts, quelques stations de pompage et un petit laboratoire. L'effectif se situe entre 30 et 90. La forme juridique est soit un Zweckverband, soit un Eigenbetrieb, soit une GmbH appartenant à la ville. KRITIS ne s'applique pas. NIS 2 oui, par l'annexe I, secteur 7, plus le test de taille, plus le §28 BSIG.
Le registre des risques au titre du §30 BSIG doit couvrir le SCADA de la station de traitement, la télémétrie des stations de pompage, les cartes SIM des capteurs de niveau, l'IT du laboratoire et l'IT de bureau. La notification d'incident au titre du §32 remonte vers le BSI. L'enregistrement au titre du §33 est une seule soumission pour l'entité juridique. Le B3S Wasser/Abwasser est le guide de travail même là où l'obligation d'audit ne s'applique pas, parce que c'est le document que le BSI connaît.
Le contrôle d'applicabilité parcourt la définition du secteur 7 exactement telle que l'annexe I la rédige : eaux urbaines résiduaires, ménagères, industrielles, avec l'exclusion pour activité accessoire posée comme question distincte. Le test de taille de l'article 2, paragraphe 1, est la deuxième étape. Le seuil de 500 000 EH de la KRITIS-Verordnung est la troisième, et il est présenté comme « par-dessus NIS 2 », non comme une porte.
Le module des actifs couvre le SCADA, la télémétrie, les stations de pompage et l'IT du laboratoire sous un seul inventaire. Les mesures du B3S Wasser/Abwasser s'insèrent dans le catalogue de l'article 21, paragraphe 2, sans liste parallèle. Si vous franchissez également le seuil KRITIS, le cycle d'audit triennal au titre du §65 BSIG s'active comme un flux de travail distinct par-dessus les mêmes preuves.
- Directive (UE) 2022/2555 (NIS 2), annexe I secteur 7 Eaux usées — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Directive (UE) 2022/2555 (NIS 2), article 2, paragraphe 1 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Directive 91/271/CEE du Conseil relative au traitement des eaux urbaines résiduaires, article 2 points (1), (2), (3)
- Recommandation 2003/361/CE de la Commission concernant la définition des micro, petites et moyennes entreprises
- BSIG, §28 (Anwendungsbereich), §32 (Meldepflichten), §33 (Registrierung), §65 (Nachweise) tel que modifié par la loi de mise en œuvre de NIS2 et de renforcement de la cybersécurité
- BSI-Kritisverordnung (KRITIS-Verordnung), Anhang 1 Teil 2 Wasser — équivalent-habitant de 500 000 pour le traitement des eaux usées
- Branchenspezifischer Sicherheitsstandard Wasser/Abwasser (B3S), DWA / BDEW