Siamo un operatore di acque reflue nell'ambito di applicazione di NIS2?
L'Allegato I settore 7 di NIS2 copre le imprese che raccolgono, smaltiscono o trattano acque reflue urbane, domestiche o industriali. La verifica dimensionale dell'articolo 2, paragrafo 1, è la seconda soglia. KRITIS è un regime più rigoroso che si aggiunge sopra per gli impianti più grandi, ma non condiziona NIS2.
In breve
Se la vostra entità raccoglie, smaltisce o tratta acque reflue urbane, acque reflue domestiche o acque reflue industriali come attività principale, rientrate nell'Allegato I settore 7 di NIS2. La direttiva definisce questi tre tipi di acque reflue con rinvio alla direttiva 91/271/CEE del Consiglio (direttiva sul trattamento delle acque reflue urbane). Una sola frase dell'Allegato I decide la questione del settore.
L'articolo 2, paragrafo 1, di NIS2 aggiunge la verifica dimensionale: media impresa o più grande, ossia almeno 50 dipendenti, o più di 10 milioni di euro di fatturato e più di 10 milioni di euro di totale di bilancio. La maggior parte degli operatori municipali che gestiscono un impianto di trattamento di dimensioni significative supera quella verifica una volta contate insieme operazioni, manutenzione e amministrazione.
La KRITIS-Verordnung fissa una soglia separata e più rigorosa per il regime KRITIS tedesco: un abitante equivalente di 500.000 per il trattamento delle acque reflue. Un impianto al di sotto di tale cifra non è KRITIS, ma resta comunque un'entità soggetta a NIS2 ai sensi del §28 BSIG. Il regime KRITIS aggiunge obblighi in cima a NIS2. Non sostituisce NIS2 e non lo condiziona.
Direttiva NIS2 (UE) 2022/2555, Allegato I settore 7 Acque reflue
Undertakings collecting, disposing of or treating urban waste water, domestic waste water or industrial waste water as defined in point (1), (2) and (3) of Article 2 of Council Directive 91/271/EEC, excluding undertakings for which collecting, disposing of or treating urban waste water, domestic waste water or industrial waste water is a non-essential part of their general activity.
Tre cose da leggere con attenzione. Primo, le definizioni delle attività provengono dalla direttiva sul trattamento delle acque reflue urbane 91/271/CEE, non da NIS2 stessa. Secondo, contano tutti e tre i tipi di acque reflue: urbane, domestiche e industriali. Terzo, l'unica esclusione riguarda le entità per le quali il lavoro sulle acque reflue è un'attività secondaria. Se il trattamento o lo smaltimento fa parte delle vostre operazioni principali, rientrate nel settore 7.
Articolo 2, paragrafo 1, di NIS2 più raccomandazione 2003/361/CE
This Directive applies to public or private entities of a type referred to in Annex I or Annex II which qualify as medium-sized enterprises under Article 2 of the Annex to Recommendation 2003/361/EC, or exceed the ceilings for medium-sized enterprises provided for in paragraph 1 of that Article.
Media impresa significa almeno 50 dipendenti, o più di 10 milioni di euro di fatturato e più di 10 milioni di euro di totale di bilancio. Applicate la verifica all'entità giuridica che svolge l'attività relativa alle acque reflue. Uno Zweckverband, una società figlia di uno Stadtwerk, un Eigenbetrieb o un operatore privato sono tutti trattati allo stesso modo una volta superata la verifica dimensionale.
§28 BSIG (Germania) più KRITIS-Verordnung
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind natürliche oder juristische Personen oder rechtlich unselbständige Organisationseinheiten einer Gebietskörperschaft, die einer der in den Anlagen 1 oder 2 genannten Einrichtungsarten zuzuordnen sind und die Schwellenwerte nach Artikel 2 der Empfehlung 2003/361/EG erreichen oder überschreiten.
Il §28 BSIG è l'ingresso tedesco a NIS2. L'Anlage 1 elenca i tipi 'besonders wichtige' (essenziali), l'Anlage 2 elenca i tipi 'wichtige' (importanti). Le acque reflue rientrano in questo elenco. Un impianto che supera anche la soglia KRITIS di 500.000 abitanti equivalenti nella KRITIS-Verordnung conta come 'Betreiber einer Kritischen Anlage' e finisce inoltre nella categoria più rigorosa 'besonders wichtige'.
Raccogliete, smaltite o trattate acque reflue come attività principale?
Percorrete le tre categorie della direttiva 91/271/CEE. Le acque reflue urbane sono la miscela di acque reflue domestiche con acque reflue industriali o acque meteoriche di dilavamento. Le acque reflue domestiche provengono da edifici residenziali. Le acque reflue industriali provengono dalla produzione. Se uno di questi flussi attraversa le vostre fognature, le vostre stazioni di pompaggio o il vostro impianto di trattamento come parte delle vostre operazioni principali, rientrate nel settore 7.
Siete almeno una media impresa?
Almeno 50 dipendenti, o più di 10 milioni di euro di fatturato e più di 10 milioni di euro di totale di bilancio. Contate l'intera entità giuridica, non l'impianto isolatamente. Uno Zweckverband con 65 dipendenti tra operazioni, lavoro di laboratorio e amministrazione supera la verifica anche se l'impianto stesso opera con un piccolo turno notturno. Al di sotto della soglia, un ristretto gruppo di entità può comunque rientrare nell'ambito di applicazione laddove l'articolo 2, paragrafo 2, le include indipendentemente dalla dimensione, ma la regola generale per il settore 7 è la verifica dimensionale.
Superate la soglia KRITIS di 500.000 abitanti equivalenti?
La KRITIS-Verordnung fissa la soglia tedesca per le acque reflue a un abitante equivalente di 500.000. Superate quella cifra e siete anche 'Betreiber einer Kritischen Anlage', con il ciclo di audit triennale ai sensi del §65 BSIG e la classificazione più rigorosa. La maggior parte degli impianti municipali in Germania si colloca ben al di sotto di 500.000 AE. Non sono KRITIS, ma restano comunque entità soggette a NIS2 ai sensi del §28 BSIG.
Le acque reflue come sottoprodotto non vi inseriscono nel settore 7
L'esclusione dell'Allegato I è esplicita. Se il lavoro sulle acque reflue è una parte non essenziale della vostra attività generale (un'unità di pretrattamento in loco presso una fabbrica, un separatore d'olio di un parcheggio multipiano, un piccolo impianto di depurazione interno presso un sito remoto), l'operatore non rientra nel settore 7 su tale base. La fabbrica stessa può comunque rientrare nell'ambito di applicazione ai sensi di un diverso settore dell'Allegato I o II. È il lavoro sulle acque reflue a restare escluso, non l'entità giuridica.
All'interno di uno Stadtwerk, le acque reflue sono uno di più settori
Uno Stadtwerk spesso gestisce elettricità, acqua potabile e acque reflue sotto un'unica entità giuridica. NIS2 tratta comunque ciò come un'unica entità con una sola registrazione. L'attività relativa alle acque reflue non ottiene un fascicolo separato. Il registro dei rischi, il modulo asset e la segnalazione degli incidenti coprono tutti i settori in un unico luogo. Si veda l'articolo sullo Stadtwerk per il trattamento multisettoriale completo.
BSI ai sensi del §28, §32 e §33 BSIG
Il BSI è l'autorità cyber per le acque reflue ai sensi del §28 BSIG. Gestisce il portale di registrazione del §33 BSIG, accetta le notifiche di incidenti significativi del §32 BSIG e, per gli operatori KRITIS al di sopra di 500.000 AE, riceve le prove dell'audit triennale ai sensi del §65 BSIG. Per gli operatori al di sotto della soglia KRITIS non vi è obbligo di audit, ma la registrazione e la segnalazione si applicano comunque.
Umweltbundesamt e KA-Sicherheitsstandard
L'Umweltbundesamt e le associazioni di settore delle acque reflue (DWA, BDEW) mantengono lo standard di sicurezza informatica specifico per settore per gli impianti di acque reflue (B3S Wasser/Abwasser). Il B3S è ciò che il BSI accetta come standard di sicurezza riconosciuto per il settore ai sensi del §31 BSIG per gli operatori KRITIS. Gli operatori NIS2 non KRITIS non sono tenuti a seguire il B3S, ma nella pratica lo utilizzano come manuale operativo.
Länder (autorità idriche)
Il lato ambientale delle acque reflue (autorizzazioni allo scarico, qualità del trattamento, gestione dei fanghi) spetta alle Landesbehörden für Wasserwirtschaft ai sensi del diritto idrico dei Länder. NIS2 non cambia nulla di tutto ciò. L'autorità idrica del Land è una conversazione diversa dalla conversazione con il BSI. Un incidente cyber che ha anche un impatto ambientale può richiedere notifiche a entrambe le linee.
ENISA Technical Implementation Guidance
La TIG dell'ENISA copre esplicitamente il settore 7 e mappa il catalogo di controlli dell'articolo 21 su ISO 27001 e NIST CSF 2.0. Gli operatori che gestiscono già un sistema di gestione ambientale ISO hanno un parziale vantaggio iniziale. La TIG non è vincolante ma è il riferimento a livello UE per ciò che significa 'adeguate e proporzionate' ai sensi dell'articolo 21, paragrafo 1.
Trattiamo in loco le nostre acque reflue di fabbrica, quindi siamo un operatore del settore 7.
L'Allegato I settore 7 esclude gli operatori per i quali il lavoro sulle acque reflue è una parte non essenziale dell'attività generale. Un'unità di pretrattamento in loco presso un impianto chimico non rende l'impianto chimico un'entità del settore 7. L'impianto può comunque rientrare nell'ambito di applicazione di NIS2 ai sensi di un diverso settore dell'Allegato I o II (prodotti chimici, fabbricazione, alimenti), ma non attraverso la linea delle acque reflue.
Il nostro impianto è al di sotto di 500.000 AE, quindi NIS2 non si applica.
La cifra di 500.000 abitanti equivalenti è la soglia KRITIS della KRITIS-Verordnung. Condiziona il regime KRITIS, non NIS2. Un impianto a 80.000 AE è al di sotto di KRITIS ma è un tipico operatore di acque reflue di dimensioni Mittelstand al di sopra della verifica dimensionale dell'articolo 2, paragrafo 1. È un'entità soggetta a NIS2 ai sensi del §28 BSIG con l'intero catalogo di controlli dell'articolo 21, la registrazione e gli obblighi di segnalazione degli incidenti.
Siamo un Eigenbetrieb della città, quindi NIS2 non si applica.
L'Allegato I copre 'entità pubbliche o private'. La forma giuridica (Eigenbetrieb, Zweckverband, Anstalt des öffentlichen Rechts, GmbH) non modifica la verifica del settore. L'unica ristretta esclusione per il settore pubblico in NIS2 riguarda le funzioni di sicurezza nazionale e difesa. Un'attività municipale di acque reflue non è tale.
Un tipico operatore di acque reflue con cui parliamo gestisce un impianto di trattamento da 80.000 a 200.000 abitanti equivalenti, una rete fognaria, un paio di stazioni di pompaggio e un piccolo laboratorio. I dipendenti sono tra 30 e 90. La forma giuridica è uno Zweckverband, un Eigenbetrieb o una GmbH di proprietà della città. KRITIS non si applica. NIS2 sì, attraverso l'Allegato I settore 7 più la verifica dimensionale, più il §28 BSIG.
Il registro dei rischi del §30 BSIG deve coprire lo SCADA dell'impianto di trattamento, la telemetria delle stazioni di pompaggio, le schede SIM dei sensori di livello, l'IT del laboratorio e l'IT d'ufficio. La segnalazione degli incidenti del §32 confluisce al BSI. La registrazione del §33 è un'unica presentazione per l'entità giuridica. Il B3S Wasser/Abwasser è il manuale operativo anche dove l'obbligo di audit non si applica, perché è il documento che il BSI conosce.
La verifica di applicabilità percorre la definizione del settore 7 esattamente come la scrive l'Allegato I: acque reflue urbane, domestiche, industriali, con l'esclusione per attività secondaria come domanda separata. La verifica dimensionale dell'articolo 2, paragrafo 1, è il secondo passo. La soglia della KRITIS-Verordnung di 500.000 AE è il terzo, ed è presentata come 'in cima a NIS2', non come una condizione di accesso.
Il modulo asset copre SCADA, telemetria, stazioni di pompaggio e IT di laboratorio in un unico inventario. I controlli del B3S Wasser/Abwasser si inseriscono nel catalogo dell'articolo 21, paragrafo 2, senza un elenco parallelo. Se superate anche la soglia KRITIS, il ciclo di audit triennale ai sensi del §65 BSIG si attiva come flusso di lavoro separato sopra le stesse prove.
- Direttiva (UE) 2022/2555 (NIS2), Allegato I settore 7 Acque reflue — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Direttiva (UE) 2022/2555 (NIS2), articolo 2, paragrafo 1 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Direttiva 91/271/CEE del Consiglio concernente il trattamento delle acque reflue urbane, articolo 2 punti (1), (2), (3)
- Raccomandazione 2003/361/CE della Commissione relativa alla definizione delle microimprese, piccole e medie imprese
- BSIG, §28 (Anwendungsbereich), §32 (Meldepflichten), §33 (Registrierung), §65 (Nachweise) come modificata dalla legge di attuazione di NIS2 e di rafforzamento della sicurezza informatica
- BSI-Kritisverordnung (KRITIS-Verordnung), Anhang 1 Teil 2 Wasser — abitante equivalente di 500.000 per il trattamento delle acque reflue
- Branchenspezifischer Sicherheitsstandard Wasser/Abwasser (B3S), DWA / BDEW