La nostra Stadtwerk rientra nell'ambito di NIS 2?
Le Stadtwerke si collocano contemporaneamente su più settori dell'Allegato I di NIS 2: elettricità, acqua potabile, acque reflue, talvolta un ramo di telecomunicazioni cittadino. Ciascuno di essi attrae l'entità nell'ambito. Il test dimensionale si applica all'entità nel suo complesso, non a ciascuna unità di business.
La versione breve
Una tipica Stadtwerk svolge quattro tipi di attività sotto un'unica società: distribuzione e fornitura di elettricità, acqua potabile, acque reflue e talvolta telecomunicazioni o teleriscaldamento. Ciascuna di queste è un settore a sé stante ai sensi dell'Allegato I di NIS 2. Un solo settore è sufficiente per rientrare nell'ambito. Quattro settori non vi includono quattro volte. Una persona giuridica, una registrazione NIS 2.
L'articolo 2(1) NIS 2 aggiunge il test dimensionale: media impresa o superiore (almeno 50 dipendenti, oppure più di 10 milioni di euro di fatturato e di totale di bilancio). Le Stadtwerke superano quasi sempre questa soglia. Se gestite un'attività critica al di sopra della soglia KRITIS specifica del settore (per esempio 100.000 utenze elettriche, oppure più di 22 milioni di metri cubi di acqua potabile all'anno), rientrate inoltre nel regime più severo KRITIS in aggiunta a NIS 2. Al di sotto della soglia siete comunque tenuti a NIS 2.
La Germania recepisce questo nel diritto nazionale tramite il §28 BSIG. La KRITIS-Verordnung fissa le soglie dimensionali specificamente per il regime KRITIS, che è uno strato separato e più severo. NIS 2 non dipende dalle soglie KRITIS.
Direttiva NIS 2 (2022/2555), Allegato I settori 1, 6, 7, 8
Il settore 1 Energia comprende (a) elettricità, (b) teleriscaldamento e teleraffrescamento, (c) petrolio, (d) gas, (e) idrogeno, e copre i gestori dei sistemi di distribuzione, i gestori dei sistemi di trasmissione, i produttori e le imprese di fornitura di energia. Il settore 6 Acqua potabile copre i fornitori e i distributori di acque destinate al consumo umano. Il settore 7 Acque reflue copre le imprese che raccolgono, smaltiscono o trattano acque reflue urbane, domestiche o industriali. Il settore 8 Infrastrutture digitali comprende i fornitori di reti pubbliche di comunicazione elettronica e i fornitori di servizi di comunicazione elettronica accessibili al pubblico.
Una singola Stadtwerk che gestisce una rete elettrica, fornisce acqua potabile, tratta acque reflue e gestisce una rete in fibra cittadina sta toccando quattro settori diversi in questo elenco. Ciascuna attività attiva NIS 2 in modo indipendente.
Articolo 2(1) NIS 2 + Raccomandazione 2003/361/CE + KRITIS-Verordnung
La presente direttiva si applica a soggetti pubblici o privati di un tipo indicato nell'allegato I o nell'allegato II che si qualificano come medie imprese ai sensi dell'articolo 2 dell'allegato della raccomandazione 2003/361/CE, o che superano i massimali per le medie imprese previsti al paragrafo 1 di tale articolo.
Il test dimensionale è media o superiore (almeno 50 dipendenti, oppure più di 10 milioni di euro di fatturato e di totale di bilancio). La KRITIS-Verordnung fissa soglie separate specifiche del settore per il regime KRITIS tedesco: per esempio 100.000 utenze nella distribuzione di elettricità, oppure più di 22 milioni di metri cubi di fornitura di acqua potabile all'anno. Le soglie KRITIS non condizionano NIS 2.
§28 BSIG (Germania)
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind natürliche oder juristische Personen oder rechtlich unselbständige Organisationseinheiten einer Gebietskörperschaft, die einer der in den Anlagen 1 oder 2 genannten Einrichtungsarten zuzuordnen sind und die Schwellenwerte nach Artikel 2 der Empfehlung 2003/361/EG erreichen oder überschreiten.
Il §28 BSIG è la porta d'ingresso tedesca all'ambito di NIS 2. L'Allegato 1 elenca i tipi 'besonders wichtige' (essenziali), l'Allegato 2 elenca i tipi 'wichtige' (importanti). Una Stadtwerk che supera una soglia KRITIS su almeno un'attività è anche 'Betreiber einer Kritischen Anlage' e, su questa base, ricade nel più severo gruppo 'besonders wichtige'.
Quali attività dell'Allegato I svolgete?
Percorrete l'elenco. Elettricità (produzione, distribuzione, fornitura). Teleriscaldamento o teleraffrescamento. Gas. Acqua potabile. Acque reflue. Rete o servizio pubblico di comunicazione elettronica. Se come Stadtwerk gestite anche solo una di queste, quel settore è incluso. Elencateli tutti, perché ciascuno richiede l'applicazione delle misure ai sistemi che lo gestiscono.
Siete almeno una media impresa?
Almeno 50 dipendenti, oppure più di 10 milioni di euro di fatturato e di totale di bilancio. Applicate il test alla persona giuridica, non a ciascuna unità di business. Le Stadtwerke sono quasi sempre al di sopra di questa soglia una volta che si contano insieme l'esercizio della rete, l'acqua e le acque reflue. Al di sotto della soglia esistono esenzioni ristrette per alcuni settori ma non per l'energia o l'acqua.
Superate una soglia della KRITIS-Verordnung?
Specifica del settore. Distribuzione di elettricità: 100.000 clienti finali connessi. Acqua potabile: 22 milioni di metri cubi all'anno. Acque reflue: 500.000 abitanti equivalenti. Se superate una qualsiasi soglia su una qualsiasi attività, KRITIS si applica a quell'attività, in aggiunta a NIS 2. Il regime KRITIS comporta obblighi di audit più severi (audit indipendente ogni tre anni, §65 BSIG) e ulteriori obblighi di comunicazione.
Una persona giuridica è una entità NIS 2
Se le vostre unità di business di elettricità, acqua, acque reflue e telecomunicazioni si trovano all'interno della stessa GmbH, la GmbH è l'entità NIS 2. Una registrazione presso il BSI. Un registro dei rischi che copre tutta l'OT e l'IT in tutti i settori. Un organo di gestione che approva. Suddividere il lavoro NIS 2 tra le unità operative non suddivide l'obbligo. Lo rende solo più difficile da coordinare.
NIS 2 non è la stessa cosa di KRITIS
Il superamento della soglia KRITIS aggiunge un regime. Non sostituisce NIS 2. Il mancato superamento della soglia KRITIS rimuove il regime KRITIS, ma non rimuove NIS 2. L'ambito del §28 BSIG si colloca al di sotto di KRITIS e al di sopra di 'troppo piccolo per preoccuparsene'. Le Stadtwerke ricadono quasi sempre all'interno di questa fascia anche quando la loro rete è al di sotto delle 100.000 utenze.
BSI / §28 BSIG e KRITIS-Verordnung
Il BSI è l'autorità per il versante cyber di energia, acqua e acque reflue. Gestisce il portale di registrazione §33 BSIG, riceve le notifiche di incidenti significativi ai sensi del §32 BSIG e pubblica orientamenti specifici di settore (Branchenspezifische Sicherheitsstandards) per Energie, Wasser e Abwasser. Se la vostra Stadtwerk è anche KRITIS, il BSI è il destinatario a cui inviate le prove dell'audit triennale.
Bundesnetzagentur
Se la vostra Stadtwerk gestisce una rete o un servizio pubblico di comunicazione elettronica (un ramo in fibra cittadino, per esempio), la Bundesnetzagentur è il regolatore di settore. Gli obblighi cyber ai sensi del §28 BSIG continuano a passare per il BSI, ma lo strato specifico delle telecomunicazioni è in capo alla Bundesnetzagentur.
ENISA Technical Implementation Guidance
La TIG di ENISA spiega come attuare le misure dell'articolo 21 nei vari settori. I settori 1, 6 e 7 dell'Allegato I sono trattati esplicitamente. Il lavoro già svolto su ISO 27001 o NIST CSF 2.0 si mappa tramite la tabella di mappatura della TIG, quindi una Stadtwerk che già gestisce un ISMS per un'unità di business parte avvantaggiata per le altre.
Utility municipali altrove
Altri Stati membri recepiscono NIS 2 con un ambito ampiamente comparabile per le utility municipali: l'Austria tramite NISG, i Paesi Bassi tramite Cyberbeveiligingswet, il Belgio tramite NIS2-Wet. L'elenco dei settori è identico (l'Allegato I è diritto dell'UE). Ciò che differisce: con quale autorità si dialoga e come è scandito il ciclo di audit.
Siamo una Stadtwerk pubblica di proprietà del Comune, quindi NIS 2 non si applica.
L'Allegato I non esenta i soggetti del settore pubblico. Si applica esplicitamente a 'soggetti pubblici o privati'. Che la GmbH sia di proprietà del Comune, di una holding o di azionisti privati non cambia il test settoriale. L'unica ristretta esenzione per il settore pubblico in NIS 2 riguarda le funzioni di sicurezza nazionale e difesa, non l'esercizio di utility.
Siamo al di sotto della soglia KRITIS, quindi non rientriamo nell'ambito.
Le soglie KRITIS condizionano il regime KRITIS, non NIS 2. Una Stadtwerk con 60.000 utenze elettriche è al di sotto della soglia KRITIS di 100.000, quindi il più severo ciclo di audit non si applica. La stessa Stadtwerk è comunque un'entità NIS 2 ai sensi del §28 BSIG, con l'intero catalogo di misure dell'articolo 21, la registrazione e gli obblighi di comunicazione degli incidenti.
Ogni unità di utility gestisce la propria conformità NIS 2.
All'interno di una persona giuridica c'è un solo obbligo NIS 2. Una registrazione. Un'approvazione dell'organo di gestione. Un registro dei rischi che deve coprire l'OT e l'IT in tutti i settori. Trattare ciascuna unità di business come un silos di conformità separato produce lavoro sovrapposto, lacune ai punti di giunzione e una narrazione di audit che non regge.
Una tipica Stadtwerk con 200 dipendenti, una rete elettrica con 60.000 clienti, una fornitura di acqua potabile intorno a 8 milioni di metri cubi all'anno e un piccolo ramo in fibra rientra senza ambiguità nell'ambito di NIS 2 attraverso i settori 1, 6, 7 e 8 dell'Allegato I. Il test dimensionale è ampiamente superato. Le soglie KRITIS non sono raggiunte, quindi gli obblighi di audit ai sensi del §65 BSIG non si applicano, ma gli obblighi del §28 BSIG sì.
Il registro dei rischi §30 deve coprire in un unico luogo l'OT e lo SCADA su elettricità, acqua e acque reflue. La comunicazione degli incidenti §32 passa per il BSI. La registrazione §33 è un'unica presentazione per l'intera società. Se inoltre superate una soglia KRITIS su una qualsiasi attività, la vostra classificazione ai sensi del §28 sale a 'besonders wichtige Einrichtung' e l'audit triennale KRITIS si attiva in aggiunta.
Il controllo di applicabilità vi guida direttamente attraverso il caso multisettoriale a entità unica. Spuntate ogni attività dell'Allegato I che la vostra Stadtwerk svolge, la piattaforma le aggrega rispetto al test dimensionale e vi dice in quale gruppo del §28 BSIG ricadete e se una qualsiasi attività attira anche KRITIS.
Il modulo degli asset acquisisce in un unico luogo l'inventario OT e IT di tutti i sottosettori. Il registro dei rischi si appoggia su quell'unico inventario, così un piano di trattamento applicato a un sistema di controllo SCADA presso l'impianto idrico e alla sala di controllo della rete si trovano fianco a fianco, non in due raccoglitori di conformità separati.
- Direttiva (UE) 2022/2555 (NIS 2), Allegato I settori 1, 6, 7 e 8 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Direttiva (UE) 2022/2555 (NIS 2), Articolo 2(1) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Raccomandazione 2003/361/CE della Commissione relativa alla definizione di micro, piccole e medie imprese
- BSI Act (BSIG), §28 (Anwendungsbereich) e §33 (Registrierung) come modificato dal NIS2 Implementation and Cybersecurity Strengthening Act
- KRITIS-Verordnung (BSI-Kritisverordnung) — soglie specifiche di settore per Energie, Wasser e Abwasser
- Orientamenti settoriali del BSI per Energie, Wasser e Abwasser (Branchenspezifische Sicherheitsstandards)