Czy nasze Stadtwerk podlega NIS 2?
Stadtwerke sytuują się jednocześnie na kilku sektorach z załącznika I do NIS 2: energia elektryczna, woda pitna, ścieki, czasem miejski oddział telekomunikacyjny. Każdy z nich wciąga podmiot w zakres. Test wielkości stosuje się do podmiotu jako całości, a nie do poszczególnych jednostek biznesowych.
Wersja skrócona
Typowe Stadtwerk prowadzi w ramach jednej spółki cztery rodzaje działalności: dystrybucję i dostawę energii elektrycznej, wodę pitną, ścieki, a czasem telekomunikację lub ciepłownictwo. Każdy z nich jest odrębnym sektorem w rozumieniu załącznika I do NIS 2. Jeden sektor wystarczy, aby objąć cię zakresem. Cztery sektory nie obejmują cię czterokrotnie. Jeden podmiot prawny, jedna rejestracja NIS 2.
Artykuł 2 ust. 1 NIS 2 dodaje test wielkości: średnie przedsiębiorstwo lub większe (co najmniej 50 pracowników albo ponad 10 milionów euro obrotu i sumy bilansowej). Stadtwerke niemal zawsze przekraczają ten próg. Jeżeli prowadzisz działalność krytyczną powyżej progu KRITIS właściwego dla danego sektora (na przykład 100 000 przyłączy energii elektrycznej albo ponad 22 miliony metrów sześciennych wody pitnej rocznie), podlegasz dodatkowo, ponad NIS 2, surowszemu reżimowi KRITIS. Poniżej progu nadal jesteś zobowiązany na podstawie NIS 2.
Niemcy wprowadzają to do prawa krajowego poprzez §28 BSIG. KRITIS-Verordnung ustala progi wielkości wyłącznie dla reżimu KRITIS, który stanowi odrębną, surowszą warstwę. NIS 2 nie zależy od progów KRITIS.
Dyrektywa NIS 2 (2022/2555), załącznik I sektory 1, 6, 7, 8
Sektor 1 Energetyka obejmuje (a) energię elektryczną, (b) systemy ciepłownicze i chłodnicze, (c) ropę naftową, (d) gaz, (e) wodór oraz obejmuje operatorów systemów dystrybucyjnych, operatorów systemów przesyłowych, producentów i przedsiębiorstwa zajmujące się dostawą energii. Sektor 6 Woda pitna obejmuje dostawców i dystrybutorów wody przeznaczonej do spożycia przez ludzi. Sektor 7 Ścieki obejmuje przedsiębiorstwa zbierające, odprowadzające lub oczyszczające ścieki komunalne, bytowe lub przemysłowe. Sektor 8 Infrastruktura cyfrowa obejmuje dostawców publicznych sieci łączności elektronicznej oraz publicznie dostępnych usług łączności elektronicznej.
Pojedyncze Stadtwerk, które prowadzi sieć energii elektrycznej, dostarcza wodę pitną, oczyszcza ścieki i obsługuje miejską sieć światłowodową, styka się z czterema różnymi sektorami z tej listy. Każdy rodzaj działalności samodzielnie uruchamia NIS 2.
Artykuł 2 ust. 1 NIS 2 + Zalecenie 2003/361/WE + KRITIS-Verordnung
Niniejsza dyrektywa ma zastosowanie do podmiotów publicznych lub prywatnych rodzaju, o którym mowa w załączniku I lub II, które kwalifikują się jako średnie przedsiębiorstwa na mocy art. 2 załącznika do zalecenia 2003/361/WE lub przekraczają pułapy dla średnich przedsiębiorstw przewidziane w ust. 1 tego artykułu.
Test wielkości to średnie przedsiębiorstwo lub większe (co najmniej 50 pracowników albo ponad 10 milionów euro obrotu i sumy bilansowej). KRITIS-Verordnung ustala odrębne progi właściwe dla danego sektora dla niemieckiego reżimu KRITIS: na przykład 100 000 przyłączy w dystrybucji energii elektrycznej albo ponad 22 miliony metrów sześciennych dostawy wody pitnej rocznie. Progi KRITIS nie warunkują NIS 2.
§28 BSIG (Niemcy)
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind natürliche oder juristische Personen oder rechtlich unselbständige Organisationseinheiten einer Gebietskörperschaft, die einer der in den Anlagen 1 oder 2 genannten Einrichtungsarten zuzuordnen sind und die Schwellenwerte nach Artikel 2 der Empfehlung 2003/361/EG erreichen oder überschreiten.
§28 BSIG to niemieckie wejście do zakresu NIS 2. Anlage 1 wymienia typy 'besonders wichtige' (kluczowe), Anlage 2 wymienia typy 'wichtige' (ważne). Stadtwerk, które przekracza próg KRITIS w co najmniej jednym rodzaju działalności, jest również 'Betreiber einer Kritischen Anlage' i na tej podstawie trafia do surowszej kategorii 'besonders wichtige'.
Które rodzaje działalności z załącznika I prowadzisz?
Przejdź listę. Energia elektryczna (produkcja, dystrybucja, dostawa). Ciepłownictwo lub chłodnictwo. Gaz. Woda pitna. Ścieki. Publiczna sieć lub usługa łączności elektronicznej. Jeżeli jako Stadtwerk prowadzisz choćby jeden z nich, ten sektor jest objęty. Wymień je wszystkie, ponieważ każdy z nich wymaga zastosowania środków do systemów, które go obsługują.
Czy jesteś co najmniej średnim przedsiębiorstwem?
Co najmniej 50 pracowników albo ponad 10 milionów euro obrotu i sumy bilansowej. Zastosuj test do podmiotu prawnego, a nie do poszczególnych jednostek biznesowych. Stadtwerke niemal zawsze przekraczają ten próg, gdy zliczy się łącznie eksploatację sieci, wodę i ścieki. Poniżej progu istnieją wąskie wyłączenia dla niektórych sektorów, lecz nie dla energetyki ani wody.
Czy przekraczasz próg KRITIS-Verordnung?
Właściwy dla danego sektora. Dystrybucja energii elektrycznej: 100 000 przyłączonych odbiorców końcowych. Woda pitna: 22 miliony metrów sześciennych rocznie. Ścieki: 500 000 równoważnych mieszkańców. Przekrocz dowolny próg w dowolnym rodzaju działalności, a KRITIS będzie mieć zastosowanie do tego rodzaju działalności, ponad NIS 2. Reżim KRITIS wprowadza surowsze obowiązki audytowe (niezależny audyt co trzy lata, §65 BSIG) oraz dodatkowe raportowanie.
Jeden podmiot prawny to jeden podmiot NIS 2
Jeżeli twoje jednostki biznesowe zajmujące się energią elektryczną, wodą, ściekami i telekomunikacją mieszczą się w ramach tej samej GmbH, to GmbH jest podmiotem NIS 2. Jedna rejestracja w BSI. Jeden rejestr ryzyka obejmujący całą OT i IT we wszystkich sektorach. Jeden organ zarządzający, który dokonuje zatwierdzenia. Rozdzielanie prac NIS 2 między jednostki operacyjne nie dzieli obowiązku. Czyni go jedynie trudniejszym do skoordynowania.
NIS 2 to nie to samo co KRITIS
Przekroczenie progu KRITIS dodaje reżim. Nie zastępuje NIS 2. Nieprzekroczenie progu KRITIS usuwa reżim KRITIS, lecz nie usuwa NIS 2. Zakres §28 BSIG sytuuje się poniżej KRITIS i powyżej 'zbyt małe, by się tym zajmować'. Stadtwerke niemal zawsze trafiają w to pasmo, nawet gdy ich sieć ma poniżej 100 000 przyłączy.
BSI / §28 BSIG i KRITIS-Verordnung
BSI jest organem właściwym dla cyberbezpieczeństwa w energetyce, wodzie i ściekach. Prowadzi portal rejestracyjny §33 BSIG, przyjmuje zgłoszenia poważnych incydentów na podstawie §32 BSIG i publikuje wytyczne właściwe dla danego sektora (Branchenspezifische Sicherheitsstandards) dla Energie, Wasser i Abwasser. Jeżeli twoje Stadtwerk jest również KRITIS, to BSI jest tym, komu składasz dowody z audytu przeprowadzanego co trzy lata.
Bundesnetzagentur
Jeżeli twoje Stadtwerk prowadzi publiczną sieć lub usługę łączności elektronicznej (na przykład miejski oddział światłowodowy), organem regulacyjnym dla tego sektora jest Bundesnetzagentur. Obowiązki w zakresie cyberbezpieczeństwa na podstawie §28 BSIG nadal przebiegają przez BSI, lecz warstwa właściwa dla telekomunikacji sytuuje się przy Bundesnetzagentur.
Wytyczne techniczne dotyczące wdrażania ENISA
TIG opracowane przez ENISA wyjaśnia, jak wdrożyć środki z artykułu 21 w poszczególnych sektorach. Sektory 1, 6 i 7 załącznika I są objęte wprost. Istniejące prace zgodne z ISO 27001 lub NIST CSF 2.0 odwzorowują się poprzez tabelę mapowania TIG, dzięki czemu Stadtwerk, które już prowadzi ISMS dla jednej jednostki biznesowej, ma przewagę startową w pozostałych.
Komunalne przedsiębiorstwa użyteczności publicznej w innych krajach
Inne państwa członkowskie transponują NIS 2 z zasadniczo porównywalnym zakresem dla komunalnych przedsiębiorstw użyteczności publicznej: Austria poprzez NISG, Niderlandy poprzez Cyberbeveiligingswet, Belgia poprzez NIS2-Wet. Lista sektorów jest identyczna (załącznik I to prawo UE). Różni się: z którym organem rozmawiasz i jak rozłożony jest w czasie cykl audytowy.
Jesteśmy publicznym Stadtwerk będącym własnością miasta, więc NIS 2 nas nie dotyczy.
Załącznik I nie zwalnia podmiotów sektora publicznego. Ma zastosowanie wprost do 'podmiotów publicznych lub prywatnych'. To, czy GmbH jest własnością miasta, holdingu czy prywatnych udziałowców, nie zmienia testu sektorowego. Jedyne wąskie wyłączenie dla sektora publicznego w NIS 2 dotyczy funkcji w zakresie bezpieczeństwa narodowego i obrony, a nie eksploatacji przedsiębiorstw użyteczności publicznej.
Jesteśmy poniżej progu KRITIS, więc nie podlegamy zakresowi.
Progi KRITIS warunkują reżim KRITIS, a nie NIS 2. Stadtwerk z 60 000 przyłączy energii elektrycznej jest poniżej progu KRITIS wynoszącego 100 000, więc surowszy cykl audytowy nie ma zastosowania. To samo Stadtwerk nadal jest podmiotem NIS 2 na podstawie §28 BSIG, z pełnym katalogiem środków z artykułu 21, rejestracją i obowiązkami zgłaszania incydentów.
Każda jednostka użyteczności publicznej zajmuje się własną zgodnością z NIS 2.
Wewnątrz jednego podmiotu prawnego istnieje jeden obowiązek NIS 2. Jedna rejestracja. Jedno zatwierdzenie przez organ zarządzający. Jeden rejestr ryzyka, który musi obejmować OT i IT we wszystkich sektorach. Traktowanie każdej jednostki biznesowej jako osobnego silosu zgodności prowadzi do nakładającej się pracy, luk na stykach oraz audytowej narracji, która się nie trzyma.
Typowe Stadtwerk z 200 pracownikami, siecią energii elektrycznej obsługującą 60 000 odbiorców, dostawą wody pitnej na poziomie około 8 milionów metrów sześciennych rocznie i niewielkim oddziałem światłowodowym mieści się jednoznacznie w zakresie NIS 2 poprzez sektory 1, 6, 7 i 8 załącznika I. Test wielkości jest spełniony z zapasem. Progi KRITIS nie są osiągnięte, więc obowiązki audytowe na podstawie §65 BSIG nie mają zastosowania, lecz obowiązki z §28 BSIG mają.
Rejestr ryzyka z §30 musi obejmować OT i SCADA w energii elektrycznej, wodzie i ściekach w jednym miejscu. Zgłaszanie incydentów z §32 przebiega przez BSI. Rejestracja z §33 to jedno zgłoszenie dla całej spółki. Jeżeli dodatkowo przekraczasz próg KRITIS w dowolnym rodzaju działalności, twoja klasyfikacja na podstawie §28 awansuje do 'besonders wichtige Einrichtung', a ponad to wchodzi audyt KRITIS przeprowadzany co trzy lata.
Test stosowalności przeprowadza cię bezpośrednio przez przypadek jednego podmiotu w wielu sektorach. Zaznaczasz każdy rodzaj działalności z załącznika I, który prowadzi twoje Stadtwerk, platforma agreguje je względem testu wielkości i wskazuje, do której kategorii §28 BSIG trafiasz oraz czy któryś rodzaj działalności wciąga dodatkowo KRITIS.
Moduł aktywów ujmuje inwentarz OT i IT we wszystkich podsektorach w jednym miejscu. Rejestr ryzyka opiera się na tym jednym inwentarzu, dzięki czemu plan postępowania zastosowany do systemu sterowania SCADA w zakładzie wodnym i do dyspozytorni sieci sytuują się obok siebie, a nie w dwóch osobnych segregatorach zgodności.
- Dyrektywa (UE) 2022/2555 (NIS 2), załącznik I sektory 1, 6, 7 i 8 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Dyrektywa (UE) 2022/2555 (NIS 2), artykuł 2 ust. 1 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Zalecenie Komisji 2003/361/WE dotyczące definicji mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw
- Ustawa o BSI (BSIG), §28 (Anwendungsbereich) i §33 (Registrierung) w brzmieniu nadanym ustawą o wdrożeniu NIS2 i wzmocnieniu cyberbezpieczeństwa
- KRITIS-Verordnung (BSI-Kritisverordnung) — progi właściwe dla danego sektora dla Energie, Wasser i Abwasser
- Wytyczne sektorowe BSI dla Energie, Wasser i Abwasser (Branchenspezifische Sicherheitsstandards)