Czy jestem dostawcą energii zgodnie z NIS 2?
NIS 2 wymienia energię w sektorze 1 załącznika I z pięcioma podsektorami (energia elektryczna, ciepło i chłód sieciowy, ropa, gaz, wodór) oraz kilkoma rodzajami podmiotów na podsektor. Artykuł 2(1) NIS 2 dodaje następnie test wielkości. Progi KRITIS zgodnie z BSI-KritisV stoją odrębnie na wierzchu i nie decydują o zakresie NIS 2.
Wersja skrócona
Energia to sektor 1 załącznika I NIS 2. Dyrektywa wymienia pięć podsektorów (energia elektryczna, ciepło i chłód sieciowy, ropa, gaz, wodór) i dla każdego wskazuje rodzaje podmiotów w zakresie: wytwórcy, operatorzy systemów dystrybucyjnych, operatorzy systemów przesyłowych, dostawcy, wyznaczeni operatorzy rynku energii elektrycznej, uczestnicy rynku energii elektrycznej, operatorzy rafinerii i instalacji przetwórczych, operatorzy rurociągów i magazynów ropy, podmioty zajmujące się centralnym utrzymywaniem zapasów, operatorzy instalacji LNG gazu ziemnego, operatorzy produkcji i przesyłu wodoru. Jeden podsektor wystarczy, by objąć firmę zakresem.
Artykuł 2(1) NIS 2 dodaje test wielkości poprzez odesłanie do zalecenia 2003/361/WE: przedsiębiorstwo średniej wielkości lub większe, co oznacza co najmniej 50 pracowników lub ponad 10 milionów euro rocznego obrotu i sumy bilansowej. Większość firm energetycznych mieści się komfortowo powyżej tej granicy. Poniżej niej zwykle jesteście poza NIS 2, chyba że złapie was wyjątek 'niezależnie od wielkości' w artykule 2(2).
Niemcy transponują to poprzez §28 BSIG (Anwendungsbereich) oraz powiązany katalog podmiotów w Anlagen 1 i 2 BSIG. Odrębnie BSI-KritisV (KRITIS-Verordnung) ustanawia progi sektorowe dla surowszego reżimu KRITIS (na przykład przyłączonych odbiorców końcowych w dystrybucji energii elektrycznej lub roczne dostarczone wolumeny). Przekroczenie progu KRITIS dodaje obowiązki na wierzchu NIS 2 (niezależny audyt co trzy lata zgodnie z §65 BSIG). Nieprzekroczenie go nie usuwa NIS 2.
Dyrektywa NIS 2 (UE) 2022/2555, załącznik I sektor 1 (Energia)
Sektor 1 Energia: (a) Energia elektryczna, w tym przedsiębiorstwa energetyczne, operatorzy systemów dystrybucyjnych, operatorzy systemów przesyłowych, wytwórcy, wyznaczeni operatorzy rynku energii elektrycznej oraz uczestnicy rynku świadczący usługi agregacji, odpowiedzi odbioru lub magazynowania energii; (b) Ciepło i chłód sieciowy, w tym operatorzy ciepła sieciowego lub chłodu sieciowego; (c) Ropa, w tym operatorzy rurociągów przesyłowych ropy, operatorzy instalacji produkcji, rafinacji i przetwarzania ropy, magazynowania i przesyłu oraz podmioty zajmujące się centralnym utrzymywaniem zapasów; (d) Gaz, w tym przedsiębiorstwa dostawcze, operatorzy systemów dystrybucyjnych, operatorzy systemów przesyłowych, operatorzy systemów magazynowania, operatorzy systemów LNG, przedsiębiorstwa gazu ziemnego oraz operatorzy instalacji rafinacji i przetwarzania gazu ziemnego; (e) Wodór, w tym operatorzy produkcji, magazynowania i przesyłu wodoru.
Sektor 1 załącznika I wyznacza obwód. Jeśli prowadzicie którąkolwiek z tych działalności i przechodzicie test wielkości z artykułu 2(1), jesteście domyślnie wewnątrz NIS 2. Lista jest niewyczerpująca w obrębie każdej definicji rodzaju podmiotu, więc firma zajmująca się agregacją, odpowiedzią odbioru lub magazynowaniem po stronie energii elektrycznej jest wymieniona wprost, mimo że nie ma klasycznego kształtu zakładu użyteczności publicznej.
Artykuł 2(1) NIS 2 + zalecenie 2003/361/WE
Niniejszą dyrektywę stosuje się do podmiotów publicznych lub prywatnych rodzaju, o którym mowa w załączniku I lub załączniku II, które kwalifikują się jako przedsiębiorstwa średniej wielkości zgodnie z artykułem 2 załącznika do zalecenia 2003/361/WE lub przekraczają pułapy dla przedsiębiorstw średniej wielkości przewidziane w ustępie 1 tego artykułu.
Test wielkości to co najmniej 50 pracowników lub ponad 10 milionów euro rocznego obrotu i sumy bilansowej. Stosuje się do podmiotu prawnego, a nie do każdej jednostki biznesowej. 30-osobowy wytwórca wodoru z 8 milionami euro obrotu zwykle znalazłby się poniżej granicy. 200-osobowy komunalny operator systemu dystrybucyjnego energii elektrycznej jest komfortowo powyżej niej. Artykuł 2(2) wymienia wyjątki 'niezależnie od wielkości', które mogą wciągnąć mniejsze podmioty (na przykład jedynych dostawców usługi kluczowej w państwie członkowskim), ale standardową drogą jest test wielkości.
§28 BSIG plus BSI-KritisV (Niemcy)
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind natürliche oder juristische Personen oder rechtlich unselbständige Organisationseinheiten einer Gebietskörperschaft, die einer der in den Anlagen 1 oder 2 genannten Einrichtungsarten zuzuordnen sind und die Schwellenwerte nach Artikel 2 der Empfehlung 2003/361/EG erreichen oder überschreiten.
§28 BSIG to niemiecka brama wejściowa do zakresu NIS 2. Anlage 1 BSIG wymienia rodzaje podmiotów 'besonders wichtige' (kluczowe), Anlage 2 wymienia rodzaje 'wichtige' (ważne). Podsektory energetyczne w dużej mierze trafiają do Anlage 1. BSI-KritisV (Verordnung zur Bestimmung Kritischer Anlagen) ustanawia odrębne progi KRITIS. Firma energetyczna, która przekroczy próg KRITIS, jest również Betreiber einer Kritischen Anlage i trafia do surowszego koszyka 'besonders wichtige' na tej podstawie, z obowiązkiem audytu co trzy lata zgodnie z §65 BSIG.
Którą działalność energetyczną z załącznika I prowadzicie?
Przejdźcie przez pięć podsektorów: energia elektryczna, ciepło i chłód sieciowy, ropa, gaz, wodór. W obrębie każdego podsektora dyrektywa nazywa rodzaje podmiotów (wytwórcy, operatorzy systemów dystrybucyjnych, operatorzy systemów przesyłowych, dostawcy, operatorzy magazynowania i LNG, operatorzy rafinacji i przetwarzania, podmioty zajmujące się centralnym utrzymywaniem zapasów, operatorzy rynku i uczestnicy rynku). Jedno dopasowanie wystarczy. Wytwórcy energii odnawialnej, dostawcy biogazu i startupy wodorowe nie są zwolnieni z definicji: mieszczą się jako wytwórcy lub przedsiębiorstwa dostawcze.
Czy jesteście co najmniej przedsiębiorstwem średniej wielkości?
Zastosujcie test do podmiotu prawnego: co najmniej 50 pracowników lub ponad 10 milionów euro rocznego obrotu i sumy bilansowej. Większość ugruntowanych firm energetycznych przechodzi. Nowi gracze w energii odnawialnej lub wodorze często plasują się poniżej granicy i pozostają poza NIS 2, chyba że złapie ich wyjątek z artykułu 2(2). Struktury grupowe: stosują się zasady zalecenia 2003/361/WE dotyczące przedsiębiorstw powiązanych i partnerskich, więc mała operacyjna GmbH wewnątrz dużej grupy nadal może liczyć się jako duża.
Czy przekraczacie próg BSI-KritisV?
Progi sektorowe ustanowione w BSI-KritisV decydują o reżimie KRITIS, a nie NIS 2. Dobrze udokumentowany przykład dla dystrybucji energii elektrycznej to 100 000 przyłączonych odbiorców końcowych lub około 3 700 GWh rocznie dostarczonej energii elektrycznej. Porównywalne progi istnieją dla gazu, ciepła sieciowego i ropy. Przekroczcie jeden z nich, a surowsze obowiązki audytowe (niezależny audyt co trzy lata zgodnie z §65 BSIG) stosują się na wierzchu NIS 2. Plasujcie się poniżej wszystkich, a nadal jesteście zobowiązani do pełnego katalogu §28 BSIG i artykułu 21 NIS 2.
NIS 2 stoi na wierzchu EnWG, a nie obok niego
Firmy energetyczne w Niemczech już funkcjonują pod §11(1a) i §11(1b) EnWG, które wymagają katalogu bezpieczeństwa IT publikowanego przez Bundesnetzagentur we współpracy z BSI. NIS 2 tego nie zastępuje. Oba reżimy nakładają się na terytorium artykułu 21 (środki zarządzania ryzykiem), ale NIS 2 dodaje obowiązek rejestracji z §33 BSIG, cykl zgłaszania istotnych incydentów z §32 BSIG, obowiązek szkolenia kierownictwa zgodnie z artykułem 20 oraz obowiązki łańcucha dostaw zgodnie z artykułem 21(2)(d). Prowadzenie katalogu EnWG jest konieczne, ale niewystarczające.
Progi KRITIS są na podsektor, zakres NIS 2 jest na podmiot
Progi BSI-KritisV są napisane na działalność (dystrybucja energii elektrycznej, wytwarzanie energii elektrycznej, magazynowanie gazu itd.) i stosują się do eksploatowanej Anlage. Zakres NIS 2 zgodnie z §28 BSIG i artykułem 2(1) NIS 2 stosuje się do podmiotu prawnego. Pionowo zintegrowana firma energetyczna może być poniżej każdego pojedynczego progu KRITIS, a nadal być pełnym podmiotem NIS 2, ponieważ podmiot jako całość przekracza granicę wielkości.
BSI / §28 BSIG, zgłaszanie §32, rejestr §33
BSI jest organem cybernetycznym zgodnie z BSIG. Prowadzi portal rejestracji §33, w którym każdy podmiot energetyczny w zakresie NIS 2 przekazuje swoje dane firmowe oraz aktualizacje w ciągu dwóch tygodni zgodnie z artykułem 27(2). Przyjmuje zgłoszenia istotnych incydentów zgodnie z §32 BSIG w harmonogramie NIS 2. Jeśli podmiot jest również Betreiber einer Kritischen Anlage, BSI jest stroną audytową dla dowodów audytu co trzy lata zgodnie z §65 BSIG.
Bundesnetzagentur / katalog bezpieczeństwa IT EnWG §11
Bundesnetzagentur jest regulatorem sektorowym dla energii elektrycznej i gazu. §11(1a) i §11(1b) EnWG wymagają od operatorów sieci energetycznych i instalacji energetycznych wdrożenia katalogu bezpieczeństwa IT, który Bundesnetzagentur publikuje we współpracy z BSI. Katalog oraz środki artykułu 21 NIS 2 nakładają się w znacznym stopniu, ale są nadzorowane odrębnie. Bundesnetzagentur obsługuje również certyfikację audytową dla katalogu.
ENISA Technical Implementation Guidance
Technical Implementation Guidance ENISA wyjaśnia, jak wdrożyć środki artykułu 21 w podsektorach energetycznych. Inne państwa członkowskie transponują sektor 1 załącznika I identycznie (lista jest prawem UE). Organ wdrażający się różni: ACER i krajowe organy regulacyjne energii przejmują rolę sektorową, krajowe właściwe organy NIS przejmują rolę cybernetyczną. Transgraniczni operatorzy energetyczni trafiają pod więcej niż jeden regulator naraz.
Robimy już katalog bezpieczeństwa IT EnWG §11, więc NIS 2 jest pokryty.
Katalog pokrywa dużą część artykułu 21 NIS 2, ale nie całość. Rejestracja §33 BSIG jest odrębna. Zgłaszanie istotnych incydentów §32 BSIG jest odrębne. Obowiązek szkolenia kierownictwa z artykułu 20 NIS 2 jest odrębny. Obowiązek łańcucha dostaw z artykułu 21(2)(d) wykracza poza zakres katalogu. Prowadzenie katalogu to mocny punkt wyjścia, a nie substytut.
Jesteśmy poniżej progu BSI-KritisV, więc NIS 2 nie ma zastosowania.
Progi KRITIS warunkują reżim KRITIS, a nie NIS 2. Operator systemu dystrybucyjnego energii elektrycznej z 60 000 przyłączonych odbiorców końcowych jest poniżej udokumentowanego progu 100 000 i nie jest Betreiber einer Kritischen Anlage. Ten sam operator jest nadal podmiotem NIS 2 zgodnie z §28 BSIG i jest zobowiązany do pełnego katalogu artykułu 21, rejestracji §33 i zgłaszania incydentów §32.
Jesteśmy firmą energii odnawialnej (wiatr, słońce, biogaz, zielony wodór), więc NIS 2 nas nie dotyczy.
Sektor 1 załącznika I wymienia wytwórców energii elektrycznej bez rozróżniania technologii wytwarzania. Wiatr, słońce, woda, biogaz i wodór wszystkie się liczą. Operator energii odnawialnej, który przechodzi test wielkości z artykułu 2(1), jest w zakresie na dokładnie tych samych warunkach co konwencjonalny wytwórca. Jedynym wyjściem jest niezdanie testu wielkości, a nie źródło wytwarzania.
Typowa średniej wielkości niemiecka firma energetyczna z 150 pracownikami, ramieniem dystrybucji energii elektrycznej obsługującym około 40 000 odbiorców końcowych, ramieniem dostawy gazu oraz małym portfelem wytwarzania energii odnawialnej mieści się w zakresie NIS 2 poprzez sektor 1 załącznika I (podsektory energii elektrycznej i gazu). Test wielkości jest zdany na poziomie podmiotu. Progi BSI-KritisV dla ramienia dystrybucji nie są przekroczone, więc obowiązek audytu §65 nie ma zastosowania, ale §28 BSIG ma. Katalog EnWG §11 jest już wdrożony dla sieci, więc większość artykułu 21 jest w toku, zanim rozpoczną się prace NIS 2.
Rejestr ryzyka §30 musi objąć OT i SCADA w sieci dystrybucyjnej, sterowanie siecią gazową oraz portfel wytwarzania w jednym miejscu. Zgłaszanie §32 przepływa przez BSI w harmonogramie NIS 2. Rejestracja §33 to jedno zgłoszenie dla całego podmiotu prawnego. Szkolenie kierownictwa z artykułu 20 NIS 2 jest nowe dla większości zarządów w tym segmencie i nie jest objęte katalogiem EnWG. Kontrole łańcucha dostaw zgodnie z artykułem 21(2)(d) są drugą dużą różnicą względem świata EnWG.
Kontrola zakresu prowadzi was przez podsektory sektora 1 załącznika I, pyta o liczbę pracowników i obrót na poziomie podmiotu oraz mówi wam, do którego koszyka §28 BSIG trafiacie i czy któraś działalność wciąga również KRITIS. Wynikiem jest gotowe do wklejenia memorandum, które mogą przeczytać zarówno wasz organ zarządzający, jak i wasz odpowiednik w Bundesnetzagentur.
Tam, gdzie artykuł 21 NIS 2 i katalog EnWG §11 nakładają się, platforma mapuje wymagania raz i pozwala temu samemu dowodowi liczyć się dla obu. Moduł zasobów ujmuje inwentarz OT i IT we wszystkich podsektorach w jednym miejscu. Proces rejestracji §33 pozostaje na platformie, łącznie z dwutygodniowym cyklem aktualizacji zgodnie z artykułem 27(2).
- Dyrektywa (UE) 2022/2555 (NIS 2), załącznik I sektor 1 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Dyrektywa (UE) 2022/2555 (NIS 2), artykuł 2(1) i artykuł 2(2) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Zalecenie Komisji 2003/361/WE dotyczące definicji mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw
- Ustawa BSI (BSIG), §28 (Anwendungsbereich), §32 (Meldepflichten), §33 (Registrierung), §65 (audyty) w brzmieniu zmienionym ustawą o wdrożeniu NIS2 i wzmocnieniu cyberbezpieczeństwa — gesetze-im-internet.de
- Verordnung zur Bestimmung Kritischer Anlagen (BSI-KritisV) — progi sektorowe dla Energie
- Energiewirtschaftsgesetz (EnWG), §11(1a) i §11(1b) — gesetze-im-internet.de
- Katalog bezpieczeństwa IT Bundesnetzagentur dla operatorów sieci energetycznych i instalacji energetycznych