Sono un fornitore di energia ai sensi della NIS 2?
La NIS 2 elenca l'energia nel settore 1 dell'Allegato I con cinque sottosettori (energia elettrica, teleriscaldamento e teleraffrescamento, petrolio, gas, idrogeno) e diversi tipi di soggetto per sottosettore. L'Articolo 2(1) NIS 2 aggiunge poi il test dimensionale. Le soglie KRITIS ai sensi della BSI-KritisV si collocano separatamente al di sopra e non decidono l'ambito della NIS 2.
La versione breve
L'energia è il settore 1 dell'Allegato I della NIS 2. La direttiva nomina cinque sottosettori (energia elettrica, teleriscaldamento e teleraffrescamento, petrolio, gas, idrogeno) e per ciascuno elenca i tipi di soggetto rientranti nell'ambito: produttori, gestori dei sistemi di distribuzione, gestori dei sistemi di trasmissione, fornitori, gestori del mercato dell'energia elettrica designati, partecipanti al mercato dell'energia elettrica, gestori di raffinerie e impianti di trattamento, gestori di oleodotti e di stoccaggi, organismi centrali di stoccaggio, gestori di impianti di gas naturale GNL, gestori di produzione e trasmissione di idrogeno. Un solo sottosettore è sufficiente a far rientrare un'azienda nell'ambito.
L'Articolo 2(1) NIS 2 aggiunge il test dimensionale con rinvio alla Raccomandazione 2003/361/CE: media impresa o superiore, ossia almeno 50 dipendenti oppure un fatturato annuo e un totale di bilancio superiori a 10 milioni di euro. La maggior parte delle aziende energetiche si colloca comodamente al di sopra di tale soglia. Al di sotto, normalmente siete fuori dalla NIS 2 a meno che non vi catturi una clausola 'indipendentemente dalla dimensione' di cui all'Articolo 2(2).
La Germania traspone tutto questo attraverso l'§28 BSIG (Anwendungsbereich) e il relativo catalogo di soggetti nelle Anlagen 1 e 2 BSIG. Separatamente, la BSI-KritisV (KRITIS-Verordnung) fissa soglie settoriali per il più severo regime KRITIS (ad esempio i clienti finali allacciati nella distribuzione di energia elettrica, o i volumi annui erogati). Il superamento di una soglia KRITIS aggiunge obblighi al di sopra della NIS 2 (audit indipendente ogni tre anni ai sensi dell'§65 BSIG). Il mancato superamento non elimina la NIS 2.
Direttiva NIS 2 (UE) 2022/2555, Allegato I settore 1 (Energia)
Settore 1 Energia: (a) Energia elettrica, comprese le imprese elettriche, i gestori dei sistemi di distribuzione, i gestori dei sistemi di trasmissione, i produttori, i gestori del mercato dell'energia elettrica designati e i partecipanti al mercato che forniscono servizi di aggregazione, di gestione della domanda o di stoccaggio di energia; (b) Teleriscaldamento e teleraffrescamento, compresi i gestori del teleriscaldamento o del teleraffrescamento; (c) Petrolio, compresi i gestori di oleodotti per il trasporto, i gestori di impianti di produzione, raffinazione e trattamento, di stoccaggio e trasporto del petrolio, e gli organismi centrali di stoccaggio; (d) Gas, comprese le imprese di fornitura, i gestori dei sistemi di distribuzione, i gestori dei sistemi di trasmissione, i gestori dei sistemi di stoccaggio, i gestori dei sistemi GNL, le imprese di gas naturale e i gestori di impianti di raffinazione e trattamento del gas naturale; (e) Idrogeno, compresi i gestori di produzione, stoccaggio e trasmissione di idrogeno.
Il settore 1 dell'Allegato I fissa il perimetro. Se gestite una di queste attività e superate il test dimensionale dell'Articolo 2(1), siete dentro la NIS 2 per impostazione predefinita. L'elenco non è esaustivo all'interno di ciascuna definizione di tipo di soggetto, per cui un'azienda che si occupa di aggregazione, gestione della domanda o stoccaggio sul lato dell'energia elettrica è nominata esplicitamente anche se non ha la forma classica dell'utility.
Articolo 2(1) NIS 2 + Raccomandazione 2003/361/CE
La presente direttiva si applica ai soggetti pubblici o privati di un tipo di cui all'allegato I o all'allegato II che si qualificano come medie imprese ai sensi dell'articolo 2 dell'allegato della raccomandazione 2003/361/CE, o che superano i massimali per le medie imprese di cui al paragrafo 1 di tale articolo.
Il test dimensionale è di almeno 50 dipendenti, oppure un fatturato annuo e un totale di bilancio superiori a 10 milioni di euro. Si applica al soggetto giuridico, non a ciascuna unità operativa. Un produttore di idrogeno con 30 persone e 8 milioni di euro di fatturato normalmente rimarrebbe al di sotto della soglia. Un gestore municipale della distribuzione di energia elettrica con 200 persone è comodamente al di sopra di essa. L'Articolo 2(2) elenca le clausole 'indipendentemente dalla dimensione' che possono far rientrare i soggetti più piccoli (ad esempio gli unici fornitori di un servizio essenziale in uno Stato membro), ma la via standard è il test dimensionale.
§28 BSIG più BSI-KritisV (Germania)
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind natürliche oder juristische Personen oder rechtlich unselbständige Organisationseinheiten einer Gebietskörperschaft, die einer der in den Anlagen 1 oder 2 genannten Einrichtungsarten zuzuordnen sind und die Schwellenwerte nach Artikel 2 der Empfehlung 2003/361/EG erreichen oder überschreiten.
L'§28 BSIG è la porta d'ingresso tedesca nell'ambito della NIS 2. L'Anlage 1 BSIG elenca i tipi di soggetto 'besonders wichtige' (essenziali), l'Anlage 2 elenca i tipi 'wichtige' (importanti). I sottosettori dell'energia rientrano in gran parte nell'Anlage 1. La BSI-KritisV (Verordnung zur Bestimmung Kritischer Anlagen) fissa le soglie KRITIS separate. Un'azienda energetica che supera una soglia KRITIS è anche Betreiber einer Kritischen Anlage e rientra nel più severo gruppo dei 'besonders wichtige' su tale base, con l'obbligo di audit triennale ai sensi dell'§65 BSIG.
Quale attività energetica dell'Allegato I gestite?
Percorrete i cinque sottosettori: energia elettrica, teleriscaldamento e teleraffrescamento, petrolio, gas, idrogeno. All'interno di ciascun sottosettore la direttiva nomina i tipi di soggetto (produttori, gestori dei sistemi di distribuzione, gestori dei sistemi di trasmissione, fornitori, gestori di stoccaggio e GNL, gestori di raffinazione e trattamento, organismi centrali di stoccaggio, gestori del mercato e partecipanti al mercato). Una sola corrispondenza è sufficiente. I produttori da fonti rinnovabili, i fornitori di biogas e le start-up dell'idrogeno non sono esenti per definizione: rientrano tra i produttori o le imprese di fornitura.
Siete almeno una media impresa?
Applicate il test al soggetto giuridico: almeno 50 dipendenti, oppure un fatturato annuo e un totale di bilancio superiori a 10 milioni di euro. La maggior parte delle aziende energetiche consolidate lo supera. I nuovi entranti nelle rinnovabili o nell'idrogeno spesso si collocano al di sotto della soglia e restano fuori dalla NIS 2 a meno che una clausola dell'Articolo 2(2) non li catturi. Strutture di gruppo: si applicano le regole della Raccomandazione 2003/361/CE sulle imprese collegate e associate, per cui una piccola GmbH operativa all'interno di un grande gruppo può comunque contare come grande.
Superate una soglia della BSI-KritisV?
Le soglie settoriali fissate nella BSI-KritisV decidono il regime KRITIS, non la NIS 2. L'esempio ben documentato per la distribuzione di energia elettrica è 100.000 clienti finali allacciati o circa 3.700 GWh di energia elettrica erogata annualmente. Soglie comparabili esistono per gas, teleriscaldamento e petrolio. Superatene una e gli obblighi di audit più severi (audit indipendente ogni tre anni ai sensi dell'§65 BSIG) si applicano al di sopra della NIS 2. Collocatevi al di sotto di tutte e dovrete comunque l'intero catalogo dell'§28 BSIG e dell'Articolo 21 NIS 2.
La NIS 2 si colloca al di sopra dell'EnWG, non accanto ad esso
Le aziende energetiche in Germania vivono già sotto l'§11(1a) e l'§11(1b) EnWG, che richiedono un catalogo di sicurezza informatica pubblicato dalla Bundesnetzagentur in cooperazione con il BSI. La NIS 2 non lo sostituisce. I due regimi si sovrappongono sul terreno dell'Articolo 21 (misure di gestione del rischio) ma la NIS 2 aggiunge l'obbligo di registrazione dell'§33 BSIG, il ciclo di segnalazione degli incidenti significativi dell'§32 BSIG, l'obbligo di formazione degli organi di gestione ai sensi dell'Articolo 20 e gli obblighi sulla catena di approvvigionamento ai sensi dell'Articolo 21(2)(d). Gestire il catalogo EnWG è necessario, non sufficiente.
Le soglie KRITIS sono per sottosettore, l'ambito NIS 2 è per soggetto
Le soglie della BSI-KritisV sono scritte per attività (distribuzione di energia elettrica, generazione di energia elettrica, stoccaggio di gas, ecc.) e si applicano all'Anlage gestita. L'ambito NIS 2 ai sensi dell'§28 BSIG e dell'Articolo 2(1) NIS 2 si applica al soggetto giuridico. Un'azienda energetica integrata verticalmente può essere al di sotto di ogni singola soglia KRITIS e restare comunque un soggetto NIS 2 a tutti gli effetti perché il soggetto nel suo complesso supera la soglia dimensionale.
BSI / §28 BSIG, §32 segnalazione, §33 registro
Il BSI è l'autorità cibernetica ai sensi del BSIG. Gestisce il portale di registrazione dell'§33 dove ogni soggetto energetico nell'ambito della NIS 2 presenta i propri dati aziendali e gli aggiornamenti entro due settimane ai sensi dell'Articolo 27(2). Accetta le notifiche di incidenti significativi ai sensi dell'§32 BSIG secondo la tempistica della NIS 2. Se il soggetto è anche Betreiber einer Kritischen Anlage, il BSI è la controparte dell'audit per le evidenze dell'audit triennale ai sensi dell'§65 BSIG.
Bundesnetzagentur / catalogo di sicurezza informatica EnWG §11
La Bundesnetzagentur è il regolatore settoriale per l'energia elettrica e il gas. L'§11(1a) e l'§11(1b) EnWG richiedono ai gestori di reti energetiche e di impianti energetici di attuare il catalogo di sicurezza informatica che la Bundesnetzagentur pubblica in cooperazione con il BSI. Il catalogo e le misure dell'Articolo 21 NIS 2 si sovrappongono in misura rilevante ma sono vigilati separatamente. La Bundesnetzagentur gestisce anche la certificazione di audit per il catalogo.
Guida tecnica di attuazione dell'ENISA
La Guida tecnica di attuazione dell'ENISA spiega come mettere in atto le misure dell'Articolo 21 nei sottosettori dell'energia. Gli altri Stati membri traspongono il settore 1 dell'Allegato I in modo identico (l'elenco è diritto UE). L'autorità di attuazione differisce: l'ACER e i regolatori energetici nazionali assumono il ruolo settoriale, le autorità nazionali competenti NIS assumono il ruolo cibernetico. I gestori energetici transfrontalieri ricadono sotto più di un regolatore contemporaneamente.
Facciamo già il catalogo di sicurezza informatica EnWG §11, quindi la NIS 2 è coperta.
Il catalogo copre una larga fetta dell'Articolo 21 NIS 2, ma non tutto. La registrazione dell'§33 BSIG è separata. La segnalazione degli incidenti significativi dell'§32 BSIG è separata. L'obbligo di formazione degli organi di gestione dell'Articolo 20 NIS 2 è separato. L'obbligo sulla catena di approvvigionamento dell'Articolo 21(2)(d) va oltre l'ambito del catalogo. Gestire il catalogo è un forte vantaggio iniziale, non un sostituto.
Siamo al di sotto della soglia della BSI-KritisV, quindi la NIS 2 non si applica.
Le soglie KRITIS condizionano il regime KRITIS, non la NIS 2. Un gestore della distribuzione di energia elettrica con 60.000 clienti finali allacciati è al di sotto della soglia documentata di 100.000 e non è Betreiber einer Kritischen Anlage. Lo stesso gestore è comunque un soggetto NIS 2 ai sensi dell'§28 BSIG e deve l'intero catalogo dell'Articolo 21, la registrazione dell'§33 e la segnalazione degli incidenti dell'§32.
Siamo un'azienda di rinnovabili (eolico, solare, biogas, idrogeno verde), quindi la NIS 2 non si applica a noi.
Il settore 1 dell'Allegato I elenca i produttori di energia elettrica senza distinguere la tecnologia di generazione. Eolico, solare, idroelettrico, biogas e idrogeno contano tutti. Un gestore di rinnovabili che supera il test dimensionale dell'Articolo 2(1) rientra nell'ambito esattamente alle stesse condizioni di un generatore convenzionale. L'unica via d'uscita è non superare il test dimensionale, non la fonte di generazione.
Una tipica azienda energetica tedesca di medie dimensioni con 150 dipendenti, un ramo di distribuzione di energia elettrica che serve circa 40.000 clienti finali, un ramo di fornitura di gas e un piccolo portafoglio di generazione da rinnovabili si colloca nell'ambito della NIS 2 attraverso il settore 1 dell'Allegato I (sottosettori energia elettrica e gas). Il test dimensionale è superato a livello di soggetto. Le soglie della BSI-KritisV per il ramo di distribuzione non sono superate, quindi l'obbligo di audit dell'§65 non si applica, ma l'§28 BSIG sì. Il catalogo EnWG §11 è già in atto per la rete, quindi la maggior parte dell'Articolo 21 è già avviata prima che inizi il lavoro NIS 2.
Il registro dei rischi dell'§30 deve coprire OT e SCADA sull'intera rete di distribuzione, il controllo della rete del gas e il portafoglio di generazione in un unico luogo. Le segnalazioni dell'§32 confluiscono attraverso il BSI secondo la tempistica della NIS 2. La registrazione dell'§33 è una sola presentazione per l'intero soggetto giuridico. La formazione degli organi di gestione dell'Articolo 20 NIS 2 è una novità per la maggior parte dei consigli di amministrazione in questo segmento e non è coperta dal catalogo EnWG. I controlli sulla catena di approvvigionamento ai sensi dell'Articolo 21(2)(d) sono il secondo grande scarto rispetto al mondo EnWG.
Il controllo di applicabilità vi accompagna attraverso i sottosettori del settore 1 dell'Allegato I, chiede il personale e il fatturato a livello di soggetto e vi dice in quale gruppo dell'§28 BSIG rientrate e se qualche attività attira anche il regime KRITIS. L'output è un memo pronto da incollare che sia il vostro organo di gestione sia la vostra controparte presso la Bundesnetzagentur possono leggere.
Laddove l'Articolo 21 NIS 2 e il catalogo EnWG §11 si sovrappongono, la piattaforma mappa i requisiti una sola volta e consente alla stessa evidenza di valere per entrambi. Il modulo asset cattura l'inventario OT e IT su tutti i sottosettori in un unico luogo. Il flusso di registrazione dell'§33 rimane sulla piattaforma, incluso il ciclo di aggiornamento di due settimane ai sensi dell'Articolo 27(2).
- Direttiva (UE) 2022/2555 (NIS 2), Allegato I settore 1 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Direttiva (UE) 2022/2555 (NIS 2), Articolo 2(1) e Articolo 2(2) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Raccomandazione 2003/361/CE della Commissione relativa alla definizione delle microimprese, piccole e medie imprese
- Legge sul BSI (BSIG), §28 (Anwendungsbereich), §32 (Meldepflichten), §33 (Registrierung), §65 (Audit) come modificata dalla legge di attuazione della NIS2 e di rafforzamento della cibersicurezza — gesetze-im-internet.de
- Verordnung zur Bestimmung Kritischer Anlagen (BSI-KritisV) — soglie settoriali per l'Energie
- Energiewirtschaftsgesetz (EnWG), §11(1a) e §11(1b) — gesetze-im-internet.de
- Catalogo di sicurezza informatica della Bundesnetzagentur per i gestori di reti energetiche e impianti energetici