Czy jesteśmy dostawcą wody pitnej objętym zakresem NIS 2?
Załącznik I sektor 6 NIS 2 obejmuje dostawców i dystrybutorów wody przeznaczonej do spożycia przez ludzi. Próg wielkości to średnie przedsiębiorstwo lub większe. Próg KRITIS wynoszący 22 miliony metrów sześciennych rocznie to odrębny, surowszy reżim, który nakłada się na to.
W skrócie
NIS 2 wymienia wodę pitną jako załącznik I sektor 6. Definicja wody pitnej pochodzi z dyrektywy (UE) 2020/2184, przekształconej dyrektywy w sprawie wody pitnej: woda przeznaczona do spożycia przez ludzi, dostarczana przez sieć dystrybucyjną lub z cysterny, albo używana w produkcji żywności. Jeśli Twój podmiot dostarcza lub dystrybuuje tę wodę, mieścisz się w tym sektorze.
Artykuł 2 ust. 1 NIS 2 dodaje test wielkości: co najmniej 50 pracowników albo ponad 10 milionów euro obrotu i sumy bilansowej, mierzone zgodnie z zaleceniem 2003/361/WE. Komunalne przedsiębiorstwo wodociągowe, regionalny Wasserverband lub wodne ramię Stadtwerk zwykle przekracza tę poprzeczkę z dużym zapasem. Reżim KRITIS wkracza dopiero powyżej 22 milionów metrów sześciennych rocznie, co jest znacznie wyższą poprzeczką niż NIS 2.
Niemcy wprowadzają to do prawa krajowego przez §28 BSIG. KRITIS-Verordnung wyznacza próg 22 milionów metrów sześciennych dla niemieckiego reżimu KRITIS. Większość niemieckich dostawców wody pitnej to podmioty NIS 2, ale nie operatorzy KRITIS. Obie warstwy są niezależne. Niespełnienie progu KRITIS nie usuwa NIS 2.
Dyrektywa NIS 2 (2022/2555), załącznik I sektor 6 Woda pitna
Suppliers and distributors of water intended for human consumption as defined in point 1 of Article 2 of Directive (EU) 2020/2184 of the European Parliament and of the Council, but excluding distributors for whom distribution of water for human consumption is a non-essential part of their general activity of distributing other commodities and goods.
Test sektorowy jest binarny. Jeśli dostarczasz lub dystrybuujesz wodę pitną jako działalność podstawową, sektor 6 ma zastosowanie. Wyłączenie jest wąskie: usuwa dystrybutorów innych towarów, którzy przy okazji przekazują też wodę pitną jako działalność uboczną. Przedsiębiorstwo wodociągowe, Wasserverband, Zweckverband lub wodne ramię Stadtwerk nie podpada pod to wyłączenie.
Artykuł 2 ust. 1 NIS 2 + zalecenie 2003/361/WE + KRITIS-Verordnung
This Directive applies to public or private entities of a type referred to in Annex I or Annex II which qualify as medium-sized enterprises under Article 2 of the Annex to Recommendation 2003/361/EC, or exceed the ceilings for medium-sized enterprises provided for in paragraph 1 of that Article.
Test wielkości to średnie przedsiębiorstwo lub większe: co najmniej 50 pracowników albo ponad 10 milionów euro rocznego obrotu i sumy bilansowej. KRITIS używa odrębnego progu charakterystycznego dla sektora wody pitnej: ponad 22 miliony metrów sześciennych rocznie, ustalonego w KRITIS-Verordnung. Progi KRITIS nie warunkują NIS 2.
§28 BSIG (Niemcy)
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind natürliche oder juristische Personen oder rechtlich unselbständige Organisationseinheiten einer Gebietskörperschaft, die einer der in den Anlagen 1 oder 2 genannten Einrichtungsarten zuzuordnen sind und die Schwellenwerte nach Artikel 2 der Empfehlung 2003/361/EG erreichen oder überschreiten.
§28 BSIG to niemieckie wejście do NIS 2. Woda pitna mieści się w Anlage 1 (besonders wichtige Sektoren) jako Trinkwasser. Przekroczenie progu KRITIS-Verordnung wynoszącego 22 miliony metrów sześciennych rocznie dodaje warstwę Betreiber kritischer Anlagen z trzyletnim cyklem audytowym na podstawie §65 BSIG. Poniżej tego progu dostawca wody pitnej nadal jest besonders wichtige Einrichtung w rozumieniu NIS 2.
Czy dostarczasz lub dystrybuujesz wodę pitną?
Woda pitna oznacza wodę przeznaczoną do spożycia przez ludzi zgodnie z artykułem 2 ust. 1 dyrektywy (UE) 2020/2184. Obejmuje to wodę dostarczaną przez sieć publiczną, wodę z cysterny oraz wodę używaną w produkcji żywności. Jeśli Twój podmiot ujmuje, uzdatnia, dostarcza lub dystrybuuje tę wodę jako działalność podstawową, sektor 6 ma zastosowanie. Producenci wody butelkowanej są poza sektorem 6 (mieszczą się w produkcji żywności, innym sektorze załącznika I w pierwotnym projekcie dyrektywy, a obecnie poza sektorem 6 NIS 2).
Czy jesteś co najmniej średnim przedsiębiorstwem?
Co najmniej 50 pracowników albo ponad 10 milionów euro rocznego obrotu i sumy bilansowej. Liczba pracowników i pułapy finansowe pochodzą z zalecenia 2003/361/WE. Własność publiczna nie zmienia testu. Zweckverband lub komunalne przedsiębiorstwo liczy pracowników i obrót tak samo jak prywatne GmbH.
Czy przekraczasz 22 miliony metrów sześciennych rocznie?
KRITIS-Verordnung wyznacza jeden próg dla wody pitnej: ponad 22 miliony metrów sześciennych dostarczonej wody rocznie. Przekrocz tę linię, a reżim KRITIS ma zastosowanie ponad NIS 2: niezależny audyt co trzy lata na podstawie §65 BSIG, dodatkowe obowiązki sprawozdawcze, rejestracja jako Betreiber einer kritischen Anlage. Poniżej tej linii jesteś zobowiązany tylko do NIS 2. Mniej więcej 80 procent niemieckich dostawców wody pitnej mieści się poniżej progu KRITIS, ale w zakresie NIS 2.
Wyłączenie dla działalności ubocznej jest wąskie
Załącznik I sektor 6 wyłącza dystrybutorów, dla których woda pitna jest nieistotną częścią ich ogólnej działalności polegającej na dystrybucji innych towarów. Ta klauzula istnieje dla detalistów i firm logistycznych, które przy okazji przekazują wodę butelkowaną obok innych towarów. Nie zwalnia ona przedsiębiorstwa wodociągowego ani wodnego ramienia Stadtwerk. Jeśli woda pitna jest nazwaną linią biznesową, wyłączenie nie ma zastosowania.
Woda pitna plus ścieki plus energia elektryczna to jeden podmiot NIS 2
Komunalne przedsiębiorstwo, które dostarcza wodę pitną, oczyszcza ścieki i prowadzi sieć elektroenergetyczną, dotyka trzech sektorów załącznika I naraz. Wewnątrz jednego podmiotu prawnego to nadal jeden obowiązek NIS 2. Jedna rejestracja w BSI. Jedno zatwierdzenie przez organ zarządzający. Jeden rejestr ryzyka obejmujący OT i IT we wszystkich trzech. Dzielenie pracy na jednostki biznesowe rodzi nakładające się dowody i luki na stykach.
BSI / §28 BSIG i KRITIS-Verordnung
BSI jest organem ds. cyberbezpieczeństwa dla wody pitnej. Prowadzi portal rejestracyjny §33 BSIG, przyjmuje powiadomienia o poważnych incydentach na podstawie §32 BSIG oraz publikuje branchenspezifischer Sicherheitsstandard Wasser. Jeśli dostawca jest również KRITIS, BSI jest adresatem dowodów z trzyletniego audytu na podstawie §65 BSIG.
Umweltbundesamt i Gesundheitsämter
Jakość wody, a nie cyber, leży w gestii Umweltbundesamt oraz regionalnych urzędów zdrowia na podstawie niemieckiego Trinkwasserverordnung (które transponuje dyrektywę (UE) 2020/2184). NIS 2 tego nie zmienia. Obowiązki cyber na podstawie §28 BSIG biegną równolegle do obowiązków dotyczących jakości wody na podstawie Trinkwasserverordnung.
ENISA Technical Implementation Guidance
TIG ENISA obejmuje wyraźnie załącznik I sektor 6. Wyjaśnia, jak katalog środków kontrolnych z artykułu 21 ma zastosowanie do operatorów wody pitnej i jak mapuje się na istniejące prace ISO 27001 lub NIST CSF 2.0 za pomocą oficjalnej tabeli mapowania TIG. Dostawca, który już prowadzi ISMS, ma udokumentowane odwzorowanie na dowody NIS 2.
Dostawcy wody pitnej gdzie indziej
Inne państwa członkowskie transponują NIS 2 z tą samą definicją sektora (załącznik I to prawo UE). Austria prowadzi to przez NISG, Niderlandy przez Cyberbeveiligingswet, Belgia przez NIS2-Wet. Różni się organ nadzorczy i czas ewentualnego cyklu audytowego charakterystycznego dla sektora. Próg 22 milionów metrów sześciennych to niemiecka reguła KRITIS, a nie unijna reguła NIS 2.
Jesteśmy znacznie poniżej 22 milionów metrów sześciennych rocznie, więc NIS 2 nas nie dotyczy.
Próg 22 milionów metrów sześciennych warunkuje reżim KRITIS, a nie NIS 2. Wasserverband dostarczający 4 miliony metrów sześciennych rocznie jest poniżej KRITIS, ale nadal jest podmiotem NIS 2 na podstawie załącznika I sektor 6 i §28 BSIG, z pełnym katalogiem środków kontrolnych z artykułu 21, rejestracją §33 BSIG oraz obowiązkami zgłaszania incydentów §32 BSIG. NIS 2 zaczyna się przy 50 pracownikach lub 10 milionach euro, a nie przy progu objętościowym.
Butelkujemy wodę mineralną do sprzedaży detalicznej, więc jesteśmy dostawcą wody pitnej w rozumieniu NIS 2.
Załącznik I sektor 6 obejmuje dostawców i dystrybutorów wody przeznaczonej do spożycia przez ludzi zgodnie z definicją w dyrektywie (UE) 2020/2184. Ta dyrektywa dotyczy publicznych dostaw wody, a nie pakowanej wody mineralnej. Butelkarze są producentami żywności, a nie dostawcami wody pitnej z sektora 6. NIS 2 może mimo to mieć zastosowanie przez inny sektor (produkcja żywności mieści się w załączniku II), ale nie przez sektor 6.
Jesteśmy małym Wasserwerk będącym własnością gminy, więc dyrektywa nie może dotyczyć nas.
Załącznik I ma zastosowanie do podmiotów publicznych lub prywatnych. Własność komunalna nie zwalnia Wasserwerk. Jedynym wyłączeniem dla NIS 2 są funkcje bezpieczeństwa narodowego i obronności. Wasserwerk z 60 pracownikami w Zweckverband jest besonders wichtige Einrichtung na podstawie §28 BSIG tak samo jak prywatne przedsiębiorstwo.
Typowy mały niemiecki dostawca wody z 80 pracownikami, dostarczający 6 milionów metrów sześciennych wody pitnej rocznie do około 40 000 gospodarstw domowych, mieści się jednoznacznie w zakresie NIS 2 przez załącznik I sektor 6. Test wielkości jest spełniony z zapasem. KRITIS nie ma zastosowania, więc trzyletni audyt na podstawie §65 BSIG nie wchodzi w grę. Ale §28, §30, §32 i §33 BSIG mają zastosowanie w pełni: rejestracja w BSI, katalog środków kontrolnych z artykułu 21, zatwierdzenie przez organ zarządzający, zgłaszanie poważnych incydentów w ciągu 24 i 72 godzin.
Rejestr ryzyka musi obejmować OT i SCADA w zakładach wodociągowych, stacje uzdatniania, telemetrię sieci, IT do rozliczeń klientów oraz usługi chmurowe używane do monitorowania. Środki dotyczące łańcucha dostaw na podstawie artykułu 21 ust. 2 lit. d) muszą sięgnąć do dostawcy chemikaliów i dostawcy SCADA. Nic z tego nie jest uzależnione od osiągnięcia 22 milionów metrów sześciennych. Poprzeczka KRITIS to odrębna, surowsza warstwa, której prawie żaden niemiecki Wasserwerk nie osiąga.
Kontrola stosowalności zadaje jedno pytanie naraz: czy dostarczasz lub dystrybuujesz wodę pitną na podstawie dyrektywy (UE) 2020/2184, ilu masz pracowników, jaki jest obrót, jaka jest roczna objętość w metrach sześciennych. Zwraca jasną odpowiedź dla §28 BSIG oraz odrębną odpowiedź dla progu KRITIS-Verordnung. Bez mieszania obu warstw.
Moduł aktywów rejestruje inwentarz OT we wszystkich zakładach wodociągowych, sieci i telemetrii w jednym miejscu. Rejestr ryzyka stoi na tym inwentarzu, dzięki czemu SCADA w stacji uzdatniania i IT do rozliczeń żyją w tym samym obrazie zgodności. Jeśli dostawca później przekroczy próg KRITIS, te same dowody przenoszą się dalej, a trzyletni cykl audytowy wskakuje bez równoległego systemu.
- Dyrektywa (UE) 2022/2555 (NIS 2), załącznik I sektor 6 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Dyrektywa (UE) 2022/2555 (NIS 2), artykuł 2 ust. 1 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Dyrektywa (UE) 2020/2184 (przekształcona dyrektywa w sprawie wody pitnej), artykuł 2 ust. 1 — eur-lex.europa.eu/eli/dir/2020/2184/oj
- Zalecenie Komisji 2003/361/WE dotyczące definicji mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw
- Ustawa o BSI (BSIG), §28 (Anwendungsbereich), §32 (Meldepflichten) oraz §33 (Registrierung) w brzmieniu zmienionym przez ustawę o wdrożeniu NIS2 i wzmocnieniu cyberbezpieczeństwa
- KRITIS-Verordnung (BSI-Kritisverordnung), Anlage 1 — próg 22 milionów metrów sześciennych rocznie dla sektora Trinkwasser
- BSI branchenspezifischer Sicherheitsstandard Wasser/Abwasser
- Trinkwasserverordnung (niemiecka transpozycja dyrektywy (UE) 2020/2184)