Somos um fornecedor de água potável no âmbito da NIS 2?
O Anexo I setor 6 da NIS 2 abrange os fornecedores e distribuidores de água destinada ao consumo humano. O limiar de dimensão é média empresa ou maior. O limiar KRITIS de 22 milhões de metros cúbicos por ano é um regime separado e mais rigoroso que assenta por cima.
A versão curta
A NIS 2 lista a água potável como Anexo I setor 6. A definição de água potável é retirada da Diretiva (UE) 2020/2184, a reformulação da Diretiva Água Potável: água destinada ao consumo humano, fornecida através de uma rede de distribuição ou a partir de uma cisterna, ou usada na produção de alimentos. Se a sua entidade fornece ou distribui essa água, está dentro do setor.
O Artigo 2(1) da NIS 2 acrescenta o teste de dimensão: pelo menos 50 trabalhadores, ou mais de 10 milhões de euros de volume de negócios e balanço, medidos nos termos da Recomendação 2003/361/CE. Uma empresa municipal de águas, um Wasserverband regional ou o ramo de água de uma Stadtwerk passam normalmente essa fasquia com larga margem. O regime KRITIS só entra acima de 22 milhões de metros cúbicos por ano, uma fasquia muito mais alta do que a da NIS 2.
A Alemanha inscreve isto na lei nacional através do §28 BSIG. A KRITIS-Verordnung fixa o limiar de 22 milhões de metros cúbicos para o regime KRITIS alemão. A maioria dos fornecedores alemães de água potável são entidades NIS 2, mas não operadores KRITIS. As duas camadas são independentes. Não atingir o limiar KRITIS não retira a NIS 2.
Diretiva NIS 2 (2022/2555), Anexo I setor 6 Água potável
Suppliers and distributors of water intended for human consumption as defined in point 1 of Article 2 of Directive (EU) 2020/2184 of the European Parliament and of the Council, but excluding distributors for whom distribution of water for human consumption is a non-essential part of their general activity of distributing other commodities and goods.
O teste de setor é binário. Se fornece ou distribui água potável como atividade central, aplica-se o setor 6. A exclusão é estreita: retira os distribuidores de outros bens que, por acaso, também repassam água potável como atividade acessória. Uma empresa de águas, um Wasserverband, um Zweckverband ou o ramo de água de uma Stadtwerk não caem nessa exclusão.
Artigo 2(1) NIS 2 mais Recomendação 2003/361/CE mais KRITIS-Verordnung
This Directive applies to public or private entities of a type referred to in Annex I or Annex II which qualify as medium-sized enterprises under Article 2 of the Annex to Recommendation 2003/361/EC, or exceed the ceilings for medium-sized enterprises provided for in paragraph 1 of that Article.
O teste de dimensão é média empresa ou maior: pelo menos 50 trabalhadores, ou mais de 10 milhões de euros de volume de negócios anual e balanço. O KRITIS usa um limiar separado e específico do setor para a água potável: mais de 22 milhões de metros cúbicos por ano, fixado na KRITIS-Verordnung. Os limiares KRITIS não condicionam a NIS 2.
§28 BSIG (Alemanha)
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind natürliche oder juristische Personen oder rechtlich unselbständige Organisationseinheiten einer Gebietskörperschaft, die einer der in den Anlagen 1 oder 2 genannten Einrichtungsarten zuzuordnen sind und die Schwellenwerte nach Artikel 2 der Empfehlung 2003/361/EG erreichen oder überschreiten.
O §28 BSIG é a porta de entrada alemã na NIS 2. A água potável situa-se na Anlage 1 (besonders wichtige Sektoren) como Trinkwasser. Ultrapassar o limiar da KRITIS-Verordnung de 22 milhões de metros cúbicos por ano acrescenta a camada Betreiber kritischer Anlagen com o ciclo de auditoria trienal ao abrigo do §65 BSIG. Abaixo desse limiar, um fornecedor de água potável continua a ser uma besonders wichtige Einrichtung no sentido da NIS 2.
Fornece ou distribui água potável?
Água potável significa água destinada ao consumo humano nos termos do Artigo 2(1) da Diretiva (UE) 2020/2184. Inclui água fornecida através de uma rede pública, água a partir de uma cisterna e água usada na produção de alimentos. Se a sua entidade capta, trata, fornece ou distribui essa água como atividade central, aplica-se o setor 6. Os produtores de água engarrafada ficam fora do setor 6 (enquadram-se na produção de alimentos, um setor diferente do Anexo I no projeto original da diretiva e agora fora do setor 6 da NIS 2).
É pelo menos uma média empresa?
Pelo menos 50 trabalhadores, ou mais de 10 milhões de euros de volume de negócios anual e balanço. O número de efetivos e os limiares financeiros vêm da Recomendação 2003/361/CE. A propriedade pública não altera o teste. Um Zweckverband ou uma empresa municipal contam trabalhadores e volume de negócios da mesma forma que uma GmbH privada.
Ultrapassa os 22 milhões de metros cúbicos por ano?
A KRITIS-Verordnung fixa um único limiar para a água potável: mais de 22 milhões de metros cúbicos de água fornecida por ano. Ultrapasse essa linha e o regime KRITIS aplica-se por cima da NIS 2: auditoria independente de três em três anos ao abrigo do §65 BSIG, deveres adicionais de notificação, registo como Betreiber einer kritischen Anlage. Abaixo dessa linha, deve apenas a NIS 2. Cerca de 80 por cento dos fornecedores alemães de água potável situam-se abaixo do limiar KRITIS, mas dentro da NIS 2.
A exclusão de atividade acessória é estreita
O Anexo I setor 6 exclui os distribuidores para quem a água potável é uma parte não essencial da sua atividade geral de distribuição de outros bens. Essa cláusula existe para retalhistas e empresas de logística que, por acaso, repassam água engarrafada juntamente com outros produtos. Não isenta uma empresa de águas nem o ramo de água de uma Stadtwerk. Se a água potável é uma linha de negócio identificada, a exclusão não se aplica.
Água potável mais águas residuais mais eletricidade é uma só entidade NIS 2
Uma empresa municipal que fornece água potável, trata águas residuais e gere uma rede elétrica toca em três setores do Anexo I de uma só vez. Dentro de uma entidade jurídica, continua a ser uma só obrigação NIS 2. Um registo junto do BSI. Uma aprovação do órgão de direção. Um registo de risco que cobre a OT e a TI nos três. Repartir o trabalho por unidade de negócio produz evidências sobrepostas e lacunas nas junções.
BSI / §28 BSIG e KRITIS-Verordnung
O BSI é a autoridade cibernética para a água potável. Gere o portal de registo do §33 BSIG, recebe as notificações de incidentes significativos do §32 BSIG, e publica a branchenspezifischer Sicherheitsstandard Wasser. Se o fornecedor for também KRITIS, o BSI é o destinatário das evidências de auditoria trienal ao abrigo do §65 BSIG.
Umweltbundesamt e Gesundheitsämter
A qualidade da água, não a cibersegurança, está com o Umweltbundesamt e com os serviços regionais de saúde ao abrigo da Trinkwasserverordnung alemã (que transpõe a Diretiva (UE) 2020/2184). A NIS 2 não altera isso. Os deveres cibernéticos ao abrigo do §28 BSIG correm em paralelo com os deveres de qualidade da água ao abrigo da Trinkwasserverordnung.
ENISA Technical Implementation Guidance
A TIG da ENISA cobre o Anexo I setor 6 explicitamente. Explica como o catálogo de controlos do Artigo 21 se aplica aos operadores de água potável e como se relaciona com trabalho ISO 27001 ou NIST CSF 2.0 já existente através da tabela oficial de correspondência da TIG. Um fornecedor que já opera um ISMS tem um cruzamento documentado para as evidências NIS 2.
Fornecedores de água potável noutros países
Outros Estados-Membros transpõem a NIS 2 com a mesma definição de setor (o Anexo I é direito da UE). A Áustria fá-lo através da NISG, os Países Baixos através da Cyberbeveiligingswet, a Bélgica através da NIS2-Wet. O que difere é a autoridade de supervisão e o momento de qualquer ciclo de auditoria específico do setor. O limiar de 22 milhões de metros cúbicos é uma regra KRITIS alemã, não uma regra NIS 2 da UE.
Estamos muito abaixo dos 22 milhões de metros cúbicos por ano, por isso a NIS 2 não se aplica a nós.
O limiar de 22 milhões de metros cúbicos condiciona o regime KRITIS, não a NIS 2. Um Wasserverband que fornece 4 milhões de metros cúbicos por ano está abaixo do KRITIS, mas continua a ser uma entidade NIS 2 ao abrigo do Anexo I setor 6 e do §28 BSIG, com o catálogo completo de controlos do Artigo 21, o registo do §33 BSIG e os deveres de notificação de incidentes do §32 BSIG. A NIS 2 começa nos 50 trabalhadores ou 10 milhões de euros, não num limiar de volume.
Engarrafamos água mineral para retalho, por isso somos um fornecedor de água potável ao abrigo da NIS 2.
O Anexo I setor 6 abrange fornecedores e distribuidores de água destinada ao consumo humano tal como definida na Diretiva (UE) 2020/2184. Essa diretiva trata do abastecimento público de água, não de água mineral embalada. Os engarrafadores são produtores de alimentos, não fornecedores de água potável do setor 6. A NIS 2 pode ainda aplicar-se por outro setor (a produção de alimentos situa-se no Anexo II), mas não pelo setor 6.
Somos um pequeno Wasserwerk detido pelo município, por isso a diretiva não pode referir-se a nós.
O Anexo I aplica-se a entidades públicas ou privadas. A propriedade municipal não isenta um Wasserwerk. A única exclusão da NIS 2 é para funções de segurança nacional e de defesa. Um Wasserwerk com 60 trabalhadores num Zweckverband é uma besonders wichtige Einrichtung ao abrigo do §28 BSIG tal como uma empresa privada.
Um fornecedor alemão típico de pequena dimensão com 80 trabalhadores, que fornece 6 milhões de metros cúbicos de água potável por ano a cerca de 40 000 agregados, situa-se inequivocamente dentro do âmbito da NIS 2 pelo Anexo I setor 6. O teste de dimensão passa-se com folga. O KRITIS não se aplica, pelo que a auditoria trienal ao abrigo do §65 BSIG não entra em jogo. Mas os §28, §30, §32 e §33 BSIG aplicam-se na íntegra: registo junto do BSI, o catálogo de controlos do Artigo 21, aprovação do órgão de direção, notificação de incidentes significativos em 24 e 72 horas.
O registo de risco precisa de cobrir a OT e o SCADA na estação de tratamento de águas, as estações de tratamento, a telemetria de rede, a TI de faturação de clientes, e os serviços de nuvem usados para monitorização. As medidas de cadeia de abastecimento ao abrigo do Artigo 21(2)(d) precisam de alcançar o fornecedor de produtos químicos e o fornecedor de SCADA. Nada disto depende de atingir 22 milhões de metros cúbicos. A fasquia KRITIS é uma camada separada e mais rigorosa que quase nenhum Wasserwerk alemão alcança.
A verificação de aplicabilidade faz uma pergunta de cada vez: fornece ou distribui água potável ao abrigo da Diretiva (UE) 2020/2184, quantos trabalhadores, qual é o volume de negócios, qual é o volume anual em metros cúbicos. Devolve uma resposta limpa para o §28 BSIG e uma resposta separada para o limiar da KRITIS-Verordnung. Sem confundir as duas camadas.
O módulo de ativos capta o inventário de OT em estações de tratamento, rede e telemetria num só lugar. O registo de risco assenta sobre esse inventário, de modo que o SCADA numa estação de tratamento e a TI de faturação vivem no mesmo quadro de conformidade. Se o fornecedor ultrapassar mais tarde o limiar KRITIS, as mesmas evidências transitam e o ciclo de auditoria trienal encaixa sem um sistema paralelo.
- Diretiva (UE) 2022/2555 (NIS 2), Anexo I setor 6. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Diretiva (UE) 2022/2555 (NIS 2), Artigo 2(1). eur-lex.europa.eu/eli/dir/2022/2555/oj
- Diretiva (UE) 2020/2184 (reformulação da Diretiva Água Potável), Artigo 2(1). eur-lex.europa.eu/eli/dir/2020/2184/oj
- Recomendação 2003/361/CE da Comissão relativa à definição de micro, pequenas e médias empresas
- Lei do BSI (BSIG), §28 (Anwendungsbereich), §32 (Meldepflichten) e §33 (Registrierung) na redação dada pela Lei de Implementação da NIS2 e de Reforço da Cibersegurança
- KRITIS-Verordnung (BSI-Kritisverordnung), Anlage 1. limiar de 22 milhões de metros cúbicos por ano para o setor Trinkwasser
- BSI branchenspezifischer Sicherheitsstandard Wasser/Abwasser
- Trinkwasserverordnung (transposição alemã da Diretiva (UE) 2020/2184)