Siamo un fornitore di acqua potabile nell'ambito di applicazione di NIS2?
L'Allegato I settore 6 di NIS2 copre i fornitori e i distributori di acque destinate al consumo umano. La soglia dimensionale è media impresa o più grande. La soglia KRITIS di 22 milioni di metri cubi all'anno è un regime separato e più rigoroso che si aggiunge sopra.
In breve
NIS2 elenca l'acqua potabile come Allegato I settore 6. La definizione di acqua potabile è tratta dalla direttiva (UE) 2020/2184, la rifusione della direttiva sull'acqua potabile: acque destinate al consumo umano, fornite attraverso una rete di distribuzione o da un'autocisterna, o utilizzate nella produzione di alimenti. Se la vostra entità fornisce o distribuisce tali acque, rientrate nel settore.
L'articolo 2, paragrafo 1, di NIS2 aggiunge la verifica dimensionale: almeno 50 dipendenti, o più di 10 milioni di euro di fatturato e di totale di bilancio, misurati secondo la raccomandazione 2003/361/CE. Un'azienda municipalizzata di acqua, un Wasserverband regionale o il ramo idrico di uno Stadtwerk di solito supera quella soglia con ampio margine. Il regime KRITIS interviene solo al di sopra di 22 milioni di metri cubi all'anno, che è una soglia molto più alta di NIS2.
La Germania traspone questo nel diritto nazionale attraverso il §28 BSIG. La KRITIS-Verordnung fissa la soglia di 22 milioni di metri cubi per il regime KRITIS tedesco. La maggior parte dei fornitori tedeschi di acqua potabile sono entità soggette a NIS2 ma non operatori KRITIS. Entrambi i livelli sono indipendenti. Il mancato raggiungimento della soglia KRITIS non elimina NIS2.
Direttiva NIS2 (2022/2555), Allegato I settore 6 Acqua potabile
Suppliers and distributors of water intended for human consumption as defined in point 1 of Article 2 of Directive (EU) 2020/2184 of the European Parliament and of the Council, but excluding distributors for whom distribution of water for human consumption is a non-essential part of their general activity of distributing other commodities and goods.
La verifica del settore è binaria. Se fornite o distribuite acqua potabile come attività principale, si applica il settore 6. L'esclusione è ristretta: rimuove i distributori di altre merci che si trovano anche a trasmettere acqua potabile come attività secondaria. Un'azienda idrica, un Wasserverband, uno Zweckverband o il ramo idrico di uno Stadtwerk non rientra in tale esclusione.
Articolo 2, paragrafo 1, di NIS2 + raccomandazione 2003/361/CE + KRITIS-Verordnung
This Directive applies to public or private entities of a type referred to in Annex I or Annex II which qualify as medium-sized enterprises under Article 2 of the Annex to Recommendation 2003/361/EC, or exceed the ceilings for medium-sized enterprises provided for in paragraph 1 of that Article.
La verifica dimensionale è media impresa o più grande: almeno 50 dipendenti, o più di 10 milioni di euro di fatturato annuo e di totale di bilancio. KRITIS utilizza una soglia separata e specifica per settore per l'acqua potabile: più di 22 milioni di metri cubi all'anno, fissata nella KRITIS-Verordnung. Le soglie KRITIS non condizionano NIS2.
§28 BSIG (Germania)
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind natürliche oder juristische Personen oder rechtlich unselbständige Organisationseinheiten einer Gebietskörperschaft, die einer der in den Anlagen 1 oder 2 genannten Einrichtungsarten zuzuordnen sind und die Schwellenwerte nach Artikel 2 der Empfehlung 2003/361/EG erreichen oder überschreiten.
Il §28 BSIG è la porta d'ingresso tedesca a NIS2. L'acqua potabile rientra nell'Anlage 1 (besonders wichtige Sektoren) come Trinkwasser. Il superamento della soglia della KRITIS-Verordnung di 22 milioni di metri cubi all'anno aggiunge il livello Betreiber kritischer Anlagen con il ciclo di audit triennale ai sensi del §65 BSIG. Al di sotto di tale soglia un fornitore di acqua potabile resta comunque una besonders wichtige Einrichtung nel senso di NIS2.
Fornite o distribuite acqua potabile?
Per acqua potabile si intendono le acque destinate al consumo umano ai sensi dell'articolo 2, paragrafo 1, della direttiva (UE) 2020/2184. Ciò include le acque fornite attraverso una rete pubblica, le acque da un'autocisterna e le acque utilizzate nella produzione di alimenti. Se la vostra entità capta, tratta, fornisce o distribuisce tali acque come attività principale, si applica il settore 6. I produttori di acqua in bottiglia sono esclusi dal settore 6 (rientrano nella produzione di alimenti, un settore diverso dell'Allegato I nella bozza originale della direttiva e ora al di fuori del settore 6 di NIS2).
Siete almeno una media impresa?
Almeno 50 dipendenti, o più di 10 milioni di euro di fatturato annuo e di totale di bilancio. Il numero di dipendenti e i massimali finanziari provengono dalla raccomandazione 2003/361/CE. La proprietà pubblica non modifica la verifica. Uno Zweckverband o un'azienda municipalizzata conta dipendenti e fatturato allo stesso modo di una GmbH privata.
Superate 22 milioni di metri cubi all'anno?
La KRITIS-Verordnung fissa un'unica soglia per l'acqua potabile: più di 22 milioni di metri cubi di acqua fornita all'anno. Superate quella linea e il regime KRITIS si applica in aggiunta a NIS2: audit indipendente ogni tre anni ai sensi del §65 BSIG, obblighi di segnalazione aggiuntivi, registrazione come Betreiber einer kritischen Anlage. Al di sotto di quella linea, dovete adempiere solo a NIS2. Circa l'80 percento dei fornitori tedeschi di acqua potabile si colloca al di sotto della soglia KRITIS ma all'interno di NIS2.
L'esclusione per attività secondaria è ristretta
L'Allegato I settore 6 esclude i distributori per i quali l'acqua potabile è una parte non essenziale della loro attività generale di distribuzione di altre merci. Quella clausola esiste per i rivenditori e le imprese di logistica che si trovano a trasmettere acqua in bottiglia insieme ad altri beni. Non esenta un'azienda idrica o il ramo idrico di uno Stadtwerk. Se l'acqua potabile è una linea di attività dichiarata, l'esclusione non si applica.
Acqua potabile più acque reflue più elettricità è un'unica entità soggetta a NIS2
Un'azienda municipalizzata che fornisce acqua potabile, tratta acque reflue e gestisce una rete elettrica tocca tre settori dell'Allegato I contemporaneamente. All'interno di una sola entità giuridica resta comunque un solo obbligo NIS2. Una sola registrazione presso il BSI. Una sola approvazione dell'organo di gestione. Un solo registro dei rischi che copre OT e IT su tutti e tre. Suddividere il lavoro per unità operativa produce prove sovrapposte e lacune nei punti di giunzione.
BSI / §28 BSIG e KRITIS-Verordnung
Il BSI è l'autorità cyber per l'acqua potabile. Gestisce il portale di registrazione del §33 BSIG, riceve le notifiche di incidenti significativi del §32 BSIG e pubblica il branchenspezifischer Sicherheitsstandard Wasser. Se il fornitore è anche KRITIS, il BSI è il destinatario delle prove dell'audit triennale ai sensi del §65 BSIG.
Umweltbundesamt e Gesundheitsämter
La qualità dell'acqua, non il cyber, spetta all'Umweltbundesamt e agli uffici sanitari regionali ai sensi della Trinkwasserverordnung tedesca (che traspone la direttiva (UE) 2020/2184). NIS2 non cambia questo. Gli obblighi cyber ai sensi del §28 BSIG corrono in parallelo agli obblighi sulla qualità dell'acqua ai sensi della Trinkwasserverordnung.
ENISA Technical Implementation Guidance
La TIG dell'ENISA copre esplicitamente l'Allegato I settore 6. Spiega come il catalogo di controlli dell'articolo 21 si applichi agli operatori di acqua potabile e come si mappi sul lavoro esistente di ISO 27001 o NIST CSF 2.0 attraverso la tabella di mappatura ufficiale della TIG. Un fornitore che gestisce già un ISMS dispone di un raccordo documentato verso le prove di NIS2.
Fornitori di acqua potabile altrove
Altri Stati membri recepiscono NIS2 con la stessa definizione di settore (l'Allegato I è diritto UE). L'Austria lo gestisce tramite la NISG, i Paesi Bassi tramite la Cyberbeveiligingswet, il Belgio tramite la NIS2-Wet. Ciò che differisce è l'autorità di vigilanza e la tempistica di un eventuale ciclo di audit specifico per settore. La soglia di 22 milioni di metri cubi è una regola KRITIS tedesca, non una regola NIS2 dell'UE.
Siamo ben al di sotto di 22 milioni di metri cubi all'anno, quindi NIS2 non si applica a noi.
La soglia di 22 milioni di metri cubi condiziona il regime KRITIS, non NIS2. Un Wasserverband che fornisce 4 milioni di metri cubi all'anno è al di sotto di KRITIS ma resta comunque un'entità soggetta a NIS2 ai sensi dell'Allegato I settore 6 e del §28 BSIG, con l'intero catalogo di controlli dell'articolo 21, la registrazione del §33 BSIG e gli obblighi di segnalazione degli incidenti del §32 BSIG. NIS2 inizia a 50 dipendenti o 10 milioni di euro, non a una soglia di volume.
Imbottigliamo acqua minerale per la vendita al dettaglio, quindi siamo un fornitore di acqua potabile ai sensi di NIS2.
L'Allegato I settore 6 copre i fornitori e i distributori di acque destinate al consumo umano come definite nella direttiva (UE) 2020/2184. Tale direttiva riguarda l'approvvigionamento idrico pubblico, non l'acqua minerale confezionata. Gli imbottigliatori sono produttori di alimenti, non fornitori di acqua potabile del settore 6. NIS2 può comunque applicarsi attraverso un altro settore (la produzione di alimenti rientra nell'Allegato II), ma non attraverso il settore 6.
Siamo un piccolo Wasserwerk di proprietà del comune, quindi la direttiva non può riferirsi a noi.
L'Allegato I si applica a entità pubbliche o private. La proprietà comunale non esenta un Wasserwerk. L'unica esclusione per NIS2 riguarda le funzioni di sicurezza nazionale e difesa. Un Wasserwerk con 60 dipendenti in uno Zweckverband è una besonders wichtige Einrichtung ai sensi del §28 BSIG esattamente come lo è un'azienda privata.
Un tipico piccolo fornitore tedesco di acqua con 80 dipendenti, che fornisce 6 milioni di metri cubi di acqua potabile all'anno a circa 40.000 nuclei familiari, rientra inequivocabilmente nell'ambito di applicazione di NIS2 attraverso l'Allegato I settore 6. La verifica dimensionale è superata agevolmente. KRITIS non si applica, quindi l'audit triennale ai sensi del §65 BSIG non è in gioco. Ma il §28, il §30, il §32 e il §33 BSIG si applicano tutti integralmente: registrazione presso il BSI, catalogo di controlli dell'articolo 21, approvazione dell'organo di gestione, segnalazione degli incidenti significativi entro 24 e 72 ore.
Il registro dei rischi deve coprire OT e SCADA negli impianti idrici, gli impianti di trattamento, la telemetria di rete, l'IT della fatturazione ai clienti e i servizi cloud utilizzati per il monitoraggio. Le misure sulla catena di approvvigionamento ai sensi dell'articolo 21, paragrafo 2, lettera d), devono raggiungere il fornitore di prodotti chimici e il fornitore SCADA. Niente di tutto ciò è condizionato al raggiungimento dei 22 milioni di metri cubi. La soglia KRITIS è un livello separato e più rigoroso che quasi nessun Wasserwerk tedesco raggiunge.
La verifica di applicabilità pone una domanda alla volta: fornite o distribuite acqua potabile ai sensi della direttiva (UE) 2020/2184, quanti dipendenti, qual è il fatturato, qual è il volume annuo in metri cubi. Restituisce una risposta netta per il §28 BSIG e una risposta separata per la soglia della KRITIS-Verordnung. Senza confondere i due livelli.
Il modulo asset acquisisce l'inventario OT su impianti idrici, rete e telemetria in un unico luogo. Il registro dei rischi si appoggia su tale inventario, in modo che lo SCADA di un impianto di trattamento e l'IT della fatturazione vivano nello stesso quadro di conformità. Se in seguito il fornitore supera la soglia KRITIS, le stesse prove si trasferiscono e il ciclo di audit triennale si inserisce senza un sistema parallelo.
- Direttiva (UE) 2022/2555 (NIS2), Allegato I settore 6 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Direttiva (UE) 2022/2555 (NIS2), articolo 2, paragrafo 1 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Direttiva (UE) 2020/2184 (rifusione della direttiva sull'acqua potabile), articolo 2, paragrafo 1 — eur-lex.europa.eu/eli/dir/2020/2184/oj
- Raccomandazione 2003/361/CE della Commissione relativa alla definizione delle microimprese, piccole e medie imprese
- Legge sul BSI (BSIG), §28 (Anwendungsbereich), §32 (Meldepflichten) e §33 (Registrierung) come modificata dalla legge di attuazione di NIS2 e di rafforzamento della sicurezza informatica
- KRITIS-Verordnung (BSI-Kritisverordnung), Anlage 1 — soglia di 22 milioni di metri cubi all'anno per il settore Trinkwasser
- BSI branchenspezifischer Sicherheitsstandard Wasser/Abwasser
- Trinkwasserverordnung (recepimento tedesco della direttiva (UE) 2020/2184)