Czy jesteśmy operatorem ścieków objętym zakresem NIS 2?
NIS 2 załącznik I sektor 7 obejmuje przedsiębiorstwa, które zbierają, usuwają lub oczyszczają ścieki komunalne, bytowe lub przemysłowe. Test wielkości z artykułu 2 ust. 1 to druga brama. KRITIS to surowszy reżim, który nakłada się na to w przypadku największych oczyszczalni, ale nie warunkuje NIS 2.
W skrócie
Jeśli Twój podmiot zbiera, usuwa lub oczyszcza ścieki komunalne, ścieki bytowe lub ścieki przemysłowe jako działalność podstawową, mieścisz się w NIS 2 załącznik I sektor 7. Dyrektywa definiuje te trzy rodzaje ścieków przez odesłanie do dyrektywy Rady 91/271/EWG (dyrektywa dotycząca oczyszczania ścieków komunalnych). Jedno zdanie załącznika I rozstrzyga kwestię sektora.
Artykuł 2 ust. 1 NIS 2 dodaje test wielkości: średnie przedsiębiorstwo lub większe, czyli co najmniej 50 pracowników albo ponad 10 milionów euro obrotu i ponad 10 milionów euro sumy bilansowej. Większość operatorów komunalnych prowadzących oczyszczalnię o jakiejkolwiek znaczącej skali przechodzi ten test, gdy zliczysz razem eksploatację, utrzymanie i administrację.
KRITIS-Verordnung wyznacza odrębny, surowszy próg dla niemieckiego reżimu KRITIS: równoważnik 500 000 mieszkańców dla oczyszczania ścieków. Oczyszczalnia poniżej tej liczby nie jest KRITIS, ale nadal jest podmiotem NIS 2 na podstawie §28 BSIG. Reżim KRITIS dodaje obowiązki ponad NIS 2. Nie zastępuje NIS 2 i nie warunkuje go.
Dyrektywa NIS 2 (UE) 2022/2555, załącznik I sektor 7 Ścieki
Undertakings collecting, disposing of or treating urban waste water, domestic waste water or industrial waste water as defined in point (1), (2) and (3) of Article 2 of Council Directive 91/271/EEC, excluding undertakings for which collecting, disposing of or treating urban waste water, domestic waste water or industrial waste water is a non-essential part of their general activity.
Trzy rzeczy do uważnego odczytania. Po pierwsze, definicje działalności pochodzą z dyrektywy dotyczącej oczyszczania ścieków komunalnych 91/271/EWG, a nie z samego NIS 2. Po drugie, liczą się wszystkie trzy rodzaje ścieków: komunalne, bytowe i przemysłowe. Po trzecie, jedyne wyłączenie dotyczy podmiotów, dla których praca przy ściekach jest działalnością uboczną. Jeśli oczyszczanie lub usuwanie jest częścią Twojej działalności podstawowej, mieścisz się w sektorze 7.
Artykuł 2 ust. 1 NIS 2 plus zalecenie 2003/361/WE
This Directive applies to public or private entities of a type referred to in Annex I or Annex II which qualify as medium-sized enterprises under Article 2 of the Annex to Recommendation 2003/361/EC, or exceed the ceilings for medium-sized enterprises provided for in paragraph 1 of that Article.
Średnie przedsiębiorstwo oznacza co najmniej 50 pracowników albo ponad 10 milionów euro obrotu i ponad 10 milionów euro sumy bilansowej. Zastosuj test do podmiotu prawnego, który prowadzi działalność ściekową. Zweckverband, spółka córka Stadtwerk, Eigenbetrieb czy prywatny operator są traktowani tak samo, gdy przejdą test wielkości.
§28 BSIG (Niemcy) plus KRITIS-Verordnung
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind natürliche oder juristische Personen oder rechtlich unselbständige Organisationseinheiten einer Gebietskörperschaft, die einer der in den Anlagen 1 oder 2 genannten Einrichtungsarten zuzuordnen sind und die Schwellenwerte nach Artikel 2 der Empfehlung 2003/361/EG erreichen oder überschreiten.
§28 BSIG to niemieckie wejście do NIS 2. Anlage 1 wymienia typy 'besonders wichtige' (kluczowe), Anlage 2 wymienia typy 'wichtige' (ważne). Ścieki mieszczą się na tej liście. Oczyszczalnia, która dodatkowo przekracza próg KRITIS wynoszący 500 000 równoważnych mieszkańców w KRITIS-Verordnung, liczy się jako 'Betreiber einer Kritischen Anlage' i trafia dodatkowo do surowszego koszyka 'besonders wichtige'.
Czy zbierasz, usuwasz lub oczyszczasz ścieki jako działalność podstawową?
Przejdź trzy kategorie dyrektywy 91/271/EWG. Ścieki komunalne to mieszanina ścieków bytowych ze ściekami przemysłowymi lub spływem deszczowym. Ścieki bytowe pochodzą z budynków mieszkalnych. Ścieki przemysłowe pochodzą z produkcji. Jeśli którykolwiek z tych strumieni przepływa przez Twoją kanalizację, Twoje przepompownie lub Twoją oczyszczalnię jako część działalności podstawowej, mieścisz się w sektorze 7.
Czy jesteś co najmniej średnim przedsiębiorstwem?
Co najmniej 50 pracowników albo ponad 10 milionów euro obrotu i ponad 10 milionów euro sumy bilansowej. Licz cały podmiot prawny, a nie oczyszczalnię w izolacji. Zweckverband z 65 pracownikami w eksploatacji, pracy laboratoryjnej i administracji przechodzi test, nawet jeśli sama oczyszczalnia pracuje z małą zmianą nocną. Poniżej poprzeczki wąski zestaw podmiotów może nadal być objęty zakresem, gdy artykuł 2 ust. 2 wciąga je niezależnie od wielkości, ale ogólną regułą dla sektora 7 jest test wielkości.
Czy przekraczasz próg KRITIS wynoszący 500 000 równoważnych mieszkańców?
KRITIS-Verordnung wyznacza niemiecki próg ścieków na równoważniku 500 000 mieszkańców. Przekrocz tę liczbę, a jesteś również 'Betreiber einer Kritischen Anlage', z trzyletnim cyklem audytowym na podstawie §65 BSIG i surowszą klasyfikacją. Większość komunalnych oczyszczalni w Niemczech mieści się znacznie poniżej 500 000 RLM. Nie są KRITIS, ale nadal są podmiotami NIS 2 na podstawie §28 BSIG.
Uboczne ścieki nie wciągają Cię do sektora 7
Wyłączenie z załącznika I jest wyraźne. Jeśli praca przy ściekach jest nieistotną częścią Twojej ogólnej działalności (zakładowa jednostka wstępnego oczyszczania w fabryce, separator oleju na parkingu wielopoziomowym, mała wewnętrzna oczyszczalnia w odległym obiekcie), operator nie jest z tego tytułu w sektorze 7. Sama fabryka może nadal być objęta zakresem przez inny sektor załącznika I lub II. To praca przy ściekach wypada poza, a nie podmiot prawny.
Wewnątrz Stadtwerk ścieki to jeden z kilku sektorów
Stadtwerk często prowadzi energię elektryczną, wodę pitną i ścieki w ramach jednego podmiotu prawnego. NIS 2 nadal traktuje to jako jeden podmiot z jedną rejestracją. Działalność ściekowa nie dostaje osobnej teczki. Rejestr ryzyka, moduł aktywów i zgłaszanie incydentów obejmują wszystkie sektory w jednym miejscu. Zobacz artykuł o Stadtwerk, aby zapoznać się z pełnym ujęciem wielosektorowym.
BSI na podstawie §28, §32 i §33 BSIG
BSI jest organem ds. cyberbezpieczeństwa dla ścieków na podstawie §28 BSIG. Prowadzi portal rejestracyjny §33 BSIG, przyjmuje powiadomienia o poważnych incydentach na podstawie §32 BSIG oraz, dla operatorów KRITIS powyżej 500 000 RLM, przyjmuje dowody z trzyletniego audytu na podstawie §65 BSIG. Dla operatorów poniżej progu KRITIS nie ma obowiązku audytu, ale rejestracja i sprawozdawczość nadal obowiązują.
Umweltbundesamt i KA-Sicherheitsstandard
Umweltbundesamt i branżowe stowarzyszenia ściekowe (DWA, BDEW) utrzymują charakterystyczny dla sektora standard cyberbezpieczeństwa dla oczyszczalni ścieków (B3S Wasser/Abwasser). B3S to to, co BSI akceptuje jako uznany standard bezpieczeństwa dla sektora na podstawie §31 BSIG dla operatorów KRITIS. Operatorzy NIS 2 spoza KRITIS nie są zobowiązani do przestrzegania B3S, ale w praktyce używają go jako roboczego podręcznika.
Kraje związkowe (organy wodne)
Środowiskowa strona ścieków (pozwolenia na zrzuty, jakość oczyszczania, gospodarka osadami) leży w gestii Landesbehörden für Wasserwirtschaft na podstawie prawa wodnego kraju związkowego. NIS 2 nic z tego nie zmienia. Wojewódzki organ wodny to inna rozmowa niż rozmowa z BSI. Incydent cyber, który ma też wpływ na środowisko, może wymagać powiadomień obu linii.
ENISA Technical Implementation Guidance
TIG ENISA obejmuje wyraźnie sektor 7 i mapuje katalog środków kontrolnych z artykułu 21 na ISO 27001 i NIST CSF 2.0. Operatorzy, którzy już prowadzą środowiskowy system zarządzania ISO, mają częściową przewagę na starcie. TIG jest niewiążący, ale jest ogólnounijnym punktem odniesienia dla tego, jak wygląda 'odpowiednie i proporcjonalne' na podstawie artykułu 21 ust. 1.
Oczyszczamy własne ścieki fabryczne na miejscu, więc jesteśmy operatorem sektora 7.
Załącznik I sektor 7 wyłącza operatorów, dla których praca przy ściekach jest nieistotną częścią ogólnej działalności. Zakładowa jednostka wstępnego oczyszczania w zakładzie chemicznym nie czyni zakładu chemicznego podmiotem sektora 7. Zakład może nadal być objęty zakresem NIS 2 przez inny sektor załącznika I lub II (chemikalia, produkcja, żywność), ale nie przez linię ściekową.
Nasza oczyszczalnia jest poniżej 500 000 RLM, więc NIS 2 nie ma zastosowania.
Liczba 500 000 równoważnych mieszkańców to próg KRITIS z KRITIS-Verordnung. Warunkuje on reżim KRITIS, a nie NIS 2. Oczyszczalnia przy 80 000 RLM jest poniżej KRITIS, ale typowym operatorem ścieków wielkości Mittelstand powyżej testu wielkości z artykułu 2 ust. 1. Jest podmiotem NIS 2 na podstawie §28 BSIG z pełnym katalogiem środków kontrolnych z artykułu 21, rejestracją i obowiązkami zgłaszania incydentów.
Jesteśmy Eigenbetrieb miasta, więc NIS 2 nie ma zastosowania.
Załącznik I obejmuje 'podmioty publiczne lub prywatne'. Forma prawna (Eigenbetrieb, Zweckverband, Anstalt des öffentlichen Rechts, GmbH) nie zmienia testu sektorowego. Jedyne wąskie wyłączenie sektora publicznego w NIS 2 dotyczy funkcji bezpieczeństwa narodowego i obronności. Komunalna działalność ściekowa nią nie jest.
Typowy operator ścieków, z którym rozmawiamy, prowadzi oczyszczalnię o wielkości 80 000 do 200 000 równoważnych mieszkańców, sieć kanalizacyjną, kilka przepompowni i małe laboratorium. Liczba pracowników mieści się między 30 a 90. Forma prawna to Zweckverband, Eigenbetrieb albo GmbH będąca własnością miasta. KRITIS nie ma zastosowania. NIS 2 ma, przez załącznik I sektor 7 plus test wielkości, plus §28 BSIG.
Rejestr ryzyka §30 BSIG musi obejmować SCADA na oczyszczalni, telemetrię na przepompowniach, karty SIM w czujnikach poziomu, IT laboratorium oraz IT biurowe. Zgłaszanie incydentów §32 płynie do BSI. Rejestracja §33 to jedno zgłoszenie dla podmiotu prawnego. B3S Wasser/Abwasser jest roboczym podręcznikiem nawet tam, gdzie obowiązek audytu nie ma zastosowania, ponieważ jest dokumentem, który BSI zna.
Kontrola stosowalności przechodzi definicję sektora 7 dokładnie tak, jak zapisuje ją załącznik I: ścieki komunalne, bytowe, przemysłowe, z wyłączeniem dla działalności ubocznej jako osobnym pytaniem. Test wielkości z artykułu 2 ust. 1 to drugi krok. Próg KRITIS-Verordnung wynoszący 500 000 RLM to trzeci i jest przedstawiany jako 'ponad NIS 2', a nie jako brama.
Moduł aktywów obejmuje SCADA, telemetrię, przepompownie i IT laboratorium w jednym inwentarzu. Środki kontrolne B3S Wasser/Abwasser wskakują do katalogu artykułu 21 ust. 2 bez równoległej listy. Jeśli dodatkowo przekroczysz próg KRITIS, trzyletni cykl audytowy na podstawie §65 BSIG włącza się jako odrębny przepływ pracy ponad tymi samymi dowodami.
- Dyrektywa (UE) 2022/2555 (NIS 2), załącznik I sektor 7 Ścieki — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Dyrektywa (UE) 2022/2555 (NIS 2), artykuł 2 ust. 1 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Dyrektywa Rady 91/271/EWG dotycząca oczyszczania ścieków komunalnych, artykuł 2 pkt (1), (2), (3)
- Zalecenie Komisji 2003/361/WE dotyczące definicji mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw
- BSIG, §28 (Anwendungsbereich), §32 (Meldepflichten), §33 (Registrierung), §65 (Nachweise) w brzmieniu zmienionym przez ustawę o wdrożeniu NIS2 i wzmocnieniu cyberbezpieczeństwa
- BSI-Kritisverordnung (KRITIS-Verordnung), Anhang 1 Teil 2 Wasser — równoważnik 500 000 mieszkańców dla oczyszczania ścieków
- Branchenspezifischer Sicherheitsstandard Wasser/Abwasser (B3S), DWA / BDEW