Operadores de instalações críticas ao abrigo da NIS 2 e do KRITIS em simultâneo
Um operador KRITIS não escolhe entre a NIS 2 e o KRITIS. Aplicam-se ambos. As medidas NIS 2 do Artigo 21 são o piso. Os deveres específicos do KRITIS ao abrigo do §29, §32 e §65 BSIG ficam por cima. A BSI gere ambos os regimes a partir da mesma evidência.
A versão curta
Cerca de 1.500 a 2.000 entidades na Alemanha operam uma 'kritische Anlage' tal como definida pela BSI-KritisV. Distribuição de eletricidade acima de 500 GWh por ano, água potável acima de 22 milhões de metros cúbicos por ano, centros de dados acima de 3,5 megawatts de capacidade contratada, e uma longa lista de outros limiares setoriais. Estes operadores não vivem no seu próprio mundo separado. Estão dentro da NIS 2 como qualquer outra entidade essencial, e os deveres KRITIS empilham-se por cima.
A base vem do Artigo 21 da Diretiva NIS 2: dez medidas de gestão de risco de cibersegurança, proporcionais ao risco. A Alemanha copia isso para o §30 BSIG. A camada KRITIS acrescenta três coisas: uma fasquia de proporcionalidade mais alta ao abrigo do Artigo 21(1) porque as consequências de uma falha são maiores, um ciclo obrigatório de evidência de três anos ao abrigo do §29 BSIG, e a banda de sanção mais alta ao abrigo do §65 BSIG (até 10 milhões de euros ou 2 por cento do volume de negócios do grupo).
Um único regulador gere ambos os regimes. A BSI regista a entidade ao abrigo do §33 BSIG, analisa a evidência do §29, recebe os relatórios de incidentes do §32 e aplica a lei ao abrigo do §65. A mesma base de evidência alimenta ambas as camadas. Esta página expõe a estrutura jurídica, os elementos KRITIS adicionais, os dois princípios que decidem cada caso fronteiriço, e os três mitos que ouvimos com mais frequência.
Artigo 21(1) e 21(2) Diretiva NIS 2 (UE) 2022/2555
Os Estados-Membros asseguram que as entidades essenciais e importantes tomam medidas técnicas, operacionais e organizativas adequadas e proporcionadas para gerir os riscos que se colocam à segurança das redes e dos sistemas de informação. Essas medidas asseguram um nível de segurança das redes e dos sistemas de informação adequado aos riscos existentes, tendo em conta o estado da arte e, se for caso disso, as normas europeias e internacionais pertinentes, bem como o custo da implementação.
O Artigo 21(1) fixa a cláusula de proporcionalidade. 'Adequadas e proporcionadas' significa que a profundidade das medidas tem de corresponder ao risco. Um operador KRITIS situa-se no topo dessa escala: grande área de abastecimento, dependência pública, efeitos em cascata. As mesmas dez medidas do Artigo 21(2) aplicam-se, mas um operador KRITIS tem de as implementar com mais profundidade do que uma pequena entidade do Anexo II.
§28, §30, §32, §33 e §65 BSIG (transposição alemã)
Besonders wichtige Einrichtungen, wichtige Einrichtungen und Betreiber kritischer Anlagen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen.
O BSIG empilha os deveres numa única lei. O §28 fixa o âmbito (essencial, importante, operador KRITIS). O §30 fixa as dez medidas. O §32 fixa a cascata de reporte de incidentes (aviso prévio em 24 horas, notificação em 72 horas, relatório final em um mês). O §33 fixa o dever de registo junto da BSI. O §65 fixa a banda de sanção: até 10 milhões de euros ou 2 por cento do volume de negócios do grupo para entidades essenciais e operadores KRITIS, até 7 milhões de euros ou 1,4 por cento para entidades importantes. Os operadores KRITIS ficam na banda mais alta, mesmo que o seu setor fosse de outro modo Anexo II.
§29 BSIG e BSI-KritisV
Betreiber kritischer Anlagen müssen mindestens alle drei Jahre dem Bundesamt für Sicherheit in der Informationstechnik die Erfüllung der Anforderungen nachweisen. Der Nachweis erfolgt durch Sicherheitsaudits, Prüfungen oder Zertifizierungen.
O §29 BSIG é o ciclo de evidência específico do KRITIS. De três em três anos, o operador entrega à BSI uma auditoria, uma inspeção ou uma certificação que mostre que as medidas do §30 estão efetivamente a funcionar. A Anlage é definida pela BSI-KritisV: limiares quantitativos específicos por setor (distribuição de eletricidade a 500 GWh por ano, água potável a 22 milhões de metros cúbicos por ano, centros de dados a 3,5 megawatts de capacidade de TI contratada, e assim por diante). Atinja um limiar e é Betreiber kritischer Anlage. O ciclo do §29 acopla-se automaticamente.
Base da NIS 2 (Artigo 21 / §30 BSIG)
As dez medidas de gestão de risco do Artigo 21(2): análise de risco, tratamento de incidentes, continuidade do negócio, cadeia de fornecimento, desenvolvimento seguro, tratamento de vulnerabilidades, formação, criptografia, controlo de acesso, MFA. Proporcionais ao risco ao abrigo do Artigo 21(1). A mesma lista que toda a entidade essencial e importante tem de implementar. Os operadores KRITIS começam aqui, não noutro sítio.
Nachweis de três anos ao abrigo do §29 BSIG
Por cima da base da NIS 2, um operador KRITIS entrega à BSI um pacote de evidência de três em três anos: um relatório de auditoria, uma inspeção ou uma certificação reconhecida que cubra as medidas do §30. O ciclo é fixo, não baseado no risco. Falhar o prazo aciona a aplicação da lei ao abrigo do §65 BSIG. O registo ao abrigo do §33 também tem campos extra para operadores KRITIS: serviço crítico, métricas de abastecimento, a localização da Anlage e um ponto de contacto 24/7.
Banda de sanção mais alta e proporcionalidade mais profunda
Ao abrigo do §65 BSIG, os operadores KRITIS ficam na mesma banda de sanção que as entidades essenciais: até 10 milhões de euros ou 2 por cento do volume de negócios do grupo. As entidades importantes (Anexo II sem uma Anlage KRITIS) ficam uma banda abaixo, em 7 milhões de euros ou 1,4 por cento. O teste de proporcionalidade do Artigo 21(1) também se desloca: o argumento do custo de implementação é mais difícil de defender quando a falha da Anlage afeta centenas de milhares de pessoas abastecidas.
Um regulador, uma base de evidência, duas camadas
A BSI gere ambos os regimes a partir do mesmo gabinete de Bona. A auditoria que entrega ao abrigo do §29 BSIG é a mesma auditoria que prova as suas medidas do §30 para a NIS 2. O registo de fornecedores que mantém para o Artigo 21(2)(d) é o mesmo registo que a BSI lê durante uma inspeção do §29. O KRITIS não duplica a evidência da NIS 2. Apenas lhe pede para provar as medidas NIS 2 num ciclo fixo, com a banda de sanção mais alta como rede de segurança.
O KRITIS é aditivo, não um substituto
Uma leitura errada comum: 'somos KRITIS, por isso as regras da NIS 2 não se aplicam.' Direção errada. O KRITIS fica por cima da NIS 2 no BSIG, não ao lado dela. O §28 lista os operadores KRITIS além das entidades essenciais e importantes. O §30 (medidas), o §32 (reporte) e o §33 (registo) aplicam-se aos três. O §29 (Nachweis de três anos) e a banda mais alta do §65 são os extras específicos do KRITIS. Largue as medidas NIS 2 e viola o Artigo 21 da Diretiva.
A BSI gere ambos os regimes
O Bundesamt für Sicherheit in der Informationstechnik é a autoridade central competente ao abrigo do §40 BSIG. Regista os operadores KRITIS, analisa a evidência do §29, recebe os relatórios de incidentes do §32 e aplica a lei ao abrigo do §65. O mesmo gabinete de Bona trata de um fabricante do Anexo II com 60 pessoas e de um distribuidor de eletricidade com 5.000 pessoas. Escala diferente, mesmo regulador, mesma estrutura jurídica.
Energia e telecomunicações têm um segundo regulador
Dois setores não têm apenas a BSI. Os operadores de energia respondem à Bundesnetzagentur pela segurança da rede ao abrigo do §11 EnWG. As telecomunicações respondem à Bundesnetzagentur pela integridade da rede ao abrigo do §165 TKG. Estas sobreposições ficam ao lado do BSIG, não em vez dele. Um distribuidor de eletricidade KRITIS reporta à BSI os incidentes NIS 2 e à BNetzA os eventos relevantes para a rede. Mesmo edifício, duas caixas de entrada.
Sem equivalente direto do KRITIS ao nível da UE
A Diretiva NIS 2 não contém um regime KRITIS. A ENISA não gere um ciclo de evidência de três anos. A construção comparável mais próxima é a Diretiva CER (2022/2557) sobre a resiliência das entidades críticas, que trata de resiliência física, não de cibersegurança. Os outros Estados-Membros transpõem o Artigo 21 e o Artigo 23 da mesma forma, mas a camada KRITIS adicional alemã é uma escolha nacional herdada da IT-Sicherheitsgesetz de 2015. As subsidiárias estrangeiras de um operador KRITIS alemão não adquirem o dever do §29 no estrangeiro.
Somos KRITIS, por isso as novas regras da NIS 2 não se aplicam a nós.
Direção errada. O §28 BSIG lista os operadores KRITIS como uma de três categorias reguladas, a par das entidades essenciais e importantes. O §30 (medidas), o §32 (reporte), o §33 (registo) e a base do Artigo 21 aplicam-se aos três. Os extras específicos do KRITIS são o §29 (Nachweis de três anos) e a banda de sanção do §65. Se largar as medidas NIS 2 porque 'o KRITIS já cobre isso', viola o Artigo 21 da Diretiva e a transposição alemã.
Estamos abaixo do limiar da KRITIS-V, por isso estamos fora da NIS 2 também.
O limiar da BSI-KritisV (por exemplo, 500 GWh por ano para distribuição de eletricidade, 22 milhões de metros cúbicos por ano para água, 3,5 megawatts para centros de dados) decide o KRITIS, não a NIS 2. Uma utility municipal que abastece 80.000 pessoas está abaixo do limiar KRITIS mas continua no Anexo I setor 1 (energia) e é quase de certeza uma média empresa. Isso coloca-a em âmbito da NIS 2 enquanto entidade essencial, com obrigações do §30, §32 e §33. Apenas sem o ciclo de três anos do §29 e com a banda de sanção mais baixa do §65.
Acabámos de passar a nossa auditoria do §29, por isso também estamos despachados quanto à NIS 2.
Passar um Nachweis do §29 cobre o ciclo de evidência. Não desliga o resto da NIS 2. A cascata de reporte de incidentes do §32 (24 horas / 72 horas / um mês) corre continuamente. Os dados de registo do §33 têm de ser mantidos atualizados no prazo de duas semanas após qualquer alteração (Artigo 27(2) NIS 2). O risco de fornecedor ao abrigo do §30(2) ponto 4 corre como uma obrigação contínua. A auditoria do §29 é um instantâneo. O resto do BSIG é o sistema operativo.
Considere uma utility municipal (Stadtwerk) numa cidade de 200.000. Distribuição de eletricidade, água potável, aquecimento urbano, transportes públicos, e uma subsidiária de fibra. Ponha a BSI-KritisV ao lado do organograma da empresa. A distribuição de eletricidade acima de 500 GWh por ano atravessa o limiar. A água potável acima de 22 milhões de metros cúbicos por ano atravessa-o. O aquecimento urbano abaixo do limiar não. Os transportes públicos ficam no Anexo II da Diretiva mas não têm classificação de Anlage na Alemanha.
O resultado é uma empresa sob três níveis de leitura em simultâneo. Duas linhas de negócio (Strom, Wasser) são Anlagen KRITIS com o ciclo completo de Nachweis do §29 por cima. Uma linha de negócio (Fernwärme) é Anexo I setor 1 mas abaixo do limiar KRITIS, por isso NIS 2 essencial sem o §29. Uma linha de negócio (ÖPNV) é transporte do Anexo II. A subsidiária de fibra é Anexo I setor 8 se atravessar o limiar de dimensão por si só. Um único registo do §33 cobre a pessoa coletiva. A auditoria do §29 cobre apenas as Anlagen KRITIS. As medidas do §30 cobrem tudo.
A verificação de aplicabilidade percorre os limiares da BSI-KritisV linha a linha: que Anlage, que setor, que métrica quantitativa, que limiar. Se atravessar um, a página sinaliza o ciclo de Nachweis do §29 e muda o perfil da empresa para operador KRITIS. O módulo de registo faz então surgir os campos adicionais do §33 (serviço crítico, métricas de abastecimento, localização, contacto 24/7). A calculadora de sanções muda para a banda mais alta do §65.
A base de evidência é partilhada. Os mesmos controlos que satisfazem o §30 BSIG produzem o registo de auditoria que entrega à BSI ao abrigo do §29. O registo de fornecedores ao abrigo do Artigo 21(2)(d) é o mesmo registo que é analisado durante uma inspeção do §29. O formulário de reporte de incidentes cobre a cascata do §32 (24 horas / 72 horas / um mês) para ambos os regimes. Uma base de evidência, dois destinos de reporte quando necessário (a BSI mais, para energia e telecomunicações, a BNetzA).
- Diretiva (UE) 2022/2555 (NIS 2), Artigo 21(1) (proporcionalidade), Artigo 21(2) (dez medidas), Artigo 27 (atualização do registo). eur-lex.europa.eu/eli/dir/2022/2555/oj
- BSIG (NIS2-Umsetzungsgesetz), §28 (âmbito), §29 (Nachweis de três anos para operadores KRITIS), §30 (medidas), §32 (reporte de incidentes), §33 (registo), §65 (sanções). gesetze-im-internet.de/bsig_2009
- BSI-KritisV (Verordnung zur Bestimmung kritischer Anlagen), limiares específicos por setor para eletricidade, água, alimentação, saúde, transportes, finanças, TI e telecomunicações, resíduos, espaço. gesetze-im-internet.de/bsi-kritisv
- BSI, pacote informativo 'Kritische Infrastrukturen' e FAQ da NIS 2. bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen
- Bundesnetzagentur, IT-Sicherheitskatalog nos termos do §11 EnWG (sobreposição do setor de energia). bundesnetzagentur.de
- Diretiva (UE) 2022/2557 (CER) sobre a resiliência das entidades críticas (resiliência física, distinta da NIS 2). eur-lex.europa.eu/eli/dir/2022/2557/oj