Sou um fornecedor de energia ao abrigo da NIS 2?
A NIS 2 lista a energia no Anexo I setor 1 com cinco subsetores (eletricidade, aquecimento e arrefecimento urbano, petróleo, gás, hidrogénio) e vários tipos de entidade por subsetor. O Artigo 2(1) NIS 2 acrescenta depois o teste de dimensão. Os limiares KRITIS ao abrigo da BSI-KritisV situam-se separadamente por cima e não decidem o âmbito da NIS 2.
A versão curta
A energia é o setor 1 do Anexo I da NIS 2. A diretiva nomeia cinco subsetores (eletricidade, aquecimento e arrefecimento urbano, petróleo, gás, hidrogénio) e, para cada um, lista os tipos de entidade abrangidos: produtores, operadores de redes de distribuição, operadores de redes de transporte, comercializadores, operadores nomeados do mercado de eletricidade, participantes no mercado de eletricidade, operadores de refinarias e instalações de tratamento, operadores de oleodutos e armazenamento, entidades centrais de armazenamento, operadores de instalações de GNL de gás natural, operadores de produção e transporte de hidrogénio. Um único subsetor basta para colocar uma empresa em âmbito.
O Artigo 2(1) NIS 2 acrescenta o teste de dimensão por referência à Recomendação 2003/361/CE: média empresa ou maior, ou seja, pelo menos 50 trabalhadores ou mais de 10 milhões de euros de volume de negócios e balanço anuais. A maioria das empresas de energia situa-se confortavelmente acima dessa fasquia. Abaixo dela, fica normalmente fora da NIS 2, a menos que uma exceção 'independentemente da dimensão' no Artigo 2(2) o apanhe.
A Alemanha transpõe isto através do §28 BSIG (Anwendungsbereich) e do catálogo de entidades associado nas Anlagen 1 e 2 BSIG. Separadamente, a BSI-KritisV (KRITIS-Verordnung) estabelece limiares específicos por setor para o regime KRITIS, mais rigoroso (por exemplo, clientes finais ligados na distribuição de eletricidade, ou volumes anuais entregues). Atravessar um limiar KRITIS acrescenta deveres por cima da NIS 2 (auditoria independente de 3 em 3 anos ao abrigo do §65 BSIG). Não o atravessar não remove a NIS 2.
Diretiva NIS 2 (UE) 2022/2555, Anexo I setor 1 (Energia)
Setor 1 Energia: (a) Eletricidade, incluindo empresas de eletricidade, operadores de redes de distribuição, operadores de redes de transporte, produtores, operadores nomeados do mercado de eletricidade e participantes no mercado que prestam serviços de agregação, resposta da procura ou armazenamento de energia; (b) Aquecimento e arrefecimento urbano, incluindo operadores de aquecimento ou arrefecimento urbano; (c) Petróleo, incluindo operadores de oleodutos de transporte de petróleo, operadores de instalações de produção, refinação e tratamento de petróleo, armazenamento e transporte, e entidades centrais de armazenamento; (d) Gás, incluindo empresas de comercialização, operadores de redes de distribuição, operadores de redes de transporte, operadores de sistemas de armazenamento, operadores de sistemas de GNL, empresas de gás natural e operadores de instalações de refinação e tratamento de gás natural; (e) Hidrogénio, incluindo operadores de produção, armazenamento e transporte de hidrogénio.
O Anexo I setor 1 define o perímetro. Se exerce qualquer destas atividades e passa o teste de dimensão do Artigo 2(1), está dentro da NIS 2 por defeito. A lista não é exaustiva dentro de cada definição de tipo de entidade, pelo que uma empresa que faz agregação, resposta da procura ou armazenamento no lado da eletricidade é nomeada explicitamente, mesmo não tendo a forma clássica de uma utility.
Artigo 2(1) NIS 2 + Recomendação 2003/361/CE
A presente diretiva aplica-se às entidades públicas ou privadas de um tipo referido no Anexo I ou no Anexo II que reúnam as condições para serem consideradas médias empresas nos termos do artigo 2.o do Anexo da Recomendação 2003/361/CE, ou que excedam os limiares aplicáveis às médias empresas previstos no n.o 1 desse artigo.
O teste de dimensão é pelo menos 50 trabalhadores, ou mais de 10 milhões de euros de volume de negócios e balanço anuais. Aplica-se à pessoa coletiva, não a cada unidade de negócio. Um produtor de hidrogénio com 30 pessoas e 8 milhões de euros de volume de negócios ficaria normalmente abaixo da fasquia. Um operador municipal de distribuição de eletricidade com 200 pessoas está confortavelmente acima dela. O Artigo 2(2) lista exceções 'independentemente da dimensão' que podem puxar entidades menores para dentro (por exemplo, fornecedores únicos de um serviço essencial num Estado-Membro), mas a via padrão é o teste de dimensão.
§28 BSIG mais BSI-KritisV (Alemanha)
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind natürliche oder juristische Personen oder rechtlich unselbständige Organisationseinheiten einer Gebietskörperschaft, die einer der in den Anlagen 1 oder 2 genannten Einrichtungsarten zuzuordnen sind und die Schwellenwerte nach Artikel 2 der Empfehlung 2003/361/EG erreichen oder überschreiten.
O §28 BSIG é a porta de entrada alemã para o âmbito da NIS 2. A Anlage 1 BSIG lista os tipos de entidade 'besonders wichtige' (essenciais), a Anlage 2 lista os tipos 'wichtige' (importantes). Os subsetores de energia recaem em grande parte na Anlage 1. A BSI-KritisV (Verordnung zur Bestimmung Kritischer Anlagen) estabelece os limiares KRITIS separados. Uma empresa de energia que atravessa um limiar KRITIS é também Betreiber einer Kritischen Anlage e fica no balde 'besonders wichtige', mais rigoroso, com base nisso, com o dever de auditoria trienal ao abrigo do §65 BSIG.
Que atividade de energia do Anexo I exerce?
Percorra os cinco subsetores: eletricidade, aquecimento e arrefecimento urbano, petróleo, gás, hidrogénio. Dentro de cada subsetor a diretiva nomeia os tipos de entidade (produtores, operadores de redes de distribuição, operadores de redes de transporte, comercializadores, operadores de armazenamento e GNL, operadores de refinação e tratamento, entidades centrais de armazenamento, operadores de mercado e participantes no mercado). Uma correspondência basta. Os produtores de renováveis, os fornecedores de biogás e as start-ups de hidrogénio não estão isentos por definição: enquadram-se em produtores ou empresas de comercialização.
É pelo menos uma média empresa?
Aplique o teste à pessoa coletiva: pelo menos 50 trabalhadores, ou mais de 10 milhões de euros de volume de negócios e balanço anuais. A maioria das empresas de energia estabelecidas passa. Os novos operadores em renováveis ou hidrogénio situam-se muitas vezes abaixo da fasquia e ficam fora da NIS 2, a menos que uma exceção do Artigo 2(2) os apanhe. Estruturas de grupo: aplicam-se as regras da Recomendação 2003/361/CE sobre empresas associadas e parceiras, pelo que uma pequena GmbH operacional dentro de um grande grupo pode ainda contar como grande.
Atravessa um limiar da BSI-KritisV?
Os limiares específicos por setor fixados na BSI-KritisV decidem o regime KRITIS, não a NIS 2. O exemplo bem documentado para a distribuição de eletricidade é 100.000 clientes finais ligados ou cerca de 3.700 GWh de eletricidade entregue por ano. Existem limiares comparáveis para gás, aquecimento urbano e petróleo. Atravesse um deles e os deveres de auditoria mais rigorosos (auditoria independente de 3 em 3 anos ao abrigo do §65 BSIG) aplicam-se por cima da NIS 2. Fique abaixo de todos eles e ainda deve o catálogo completo do §28 BSIG e do Artigo 21 NIS 2.
A NIS 2 fica por cima do EnWG, não ao lado dele
As empresas de energia na Alemanha já vivem sob o §11(1a) e o §11(1b) EnWG, que exigem um catálogo de segurança de TI publicado pela Bundesnetzagentur em cooperação com a BSI. A NIS 2 não substitui isso. Os dois regimes sobrepõem-se no território do Artigo 21 (medidas de gestão de risco), mas a NIS 2 acrescenta o dever de registo do §33 BSIG, o ciclo de reporte de incidentes significativos do §32 BSIG, o dever de formação da gestão ao abrigo do Artigo 20 e os deveres de cadeia de fornecimento ao abrigo do Artigo 21(2)(d). Cumprir o catálogo EnWG é necessário, não suficiente.
Os limiares KRITIS são por subsetor, o âmbito da NIS 2 é por entidade
Os limiares da BSI-KritisV são escritos por atividade (distribuição de eletricidade, produção de eletricidade, armazenamento de gás, etc.) e aplicam-se à Anlage operada. O âmbito da NIS 2 ao abrigo do §28 BSIG e do Artigo 2(1) NIS 2 aplica-se à pessoa coletiva. Uma empresa de energia verticalmente integrada pode estar abaixo de cada limiar KRITIS individual e ainda assim ser uma entidade NIS 2 completa, porque a entidade no seu conjunto atravessa a fasquia de dimensão.
BSI / §28 BSIG, reporte do §32, registo do §33
A BSI é a autoridade cibernética ao abrigo do BSIG. Gere o portal de registo do §33, onde cada entidade de energia em âmbito da NIS 2 submete os seus dados de empresa e atualizações no prazo de duas semanas ao abrigo do Artigo 27(2). Aceita notificações de incidentes significativos ao abrigo do §32 BSIG no calendário da NIS 2. Se a entidade for também Betreiber einer Kritischen Anlage, a BSI é a contraparte de auditoria para a evidência de auditoria trienal ao abrigo do §65 BSIG.
Bundesnetzagentur / catálogo de segurança de TI do §11 EnWG
A Bundesnetzagentur é o regulador setorial da eletricidade e do gás. O §11(1a) e o §11(1b) EnWG exigem que os operadores de redes de energia e de instalações de energia implementem o catálogo de segurança de TI que a Bundesnetzagentur publica em cooperação com a BSI. O catálogo e as medidas do Artigo 21 NIS 2 sobrepõem-se fortemente, mas são supervisionados separadamente. A Bundesnetzagentur trata também da certificação de auditoria do catálogo.
ENISA Technical Implementation Guidance
A Technical Implementation Guidance da ENISA explica como implementar as medidas do Artigo 21 nos subsetores de energia. Os outros Estados-Membros transpõem o Anexo I setor 1 de forma idêntica (a lista é direito da UE). A autoridade de execução difere: a ACER e os reguladores nacionais de energia assumem o papel setorial, as autoridades nacionais competentes em matéria de NIS assumem o papel cibernético. Os operadores de energia transfronteiriços ficam sob mais do que um regulador em simultâneo.
Já cumprimos o catálogo de segurança de TI do §11 EnWG, por isso a NIS 2 está coberta.
O catálogo cobre uma grande fatia do Artigo 21 NIS 2, mas não a totalidade. O registo do §33 BSIG é separado. O reporte de incidentes significativos do §32 BSIG é separado. O dever de formação da gestão do Artigo 20 NIS 2 é separado. O dever de cadeia de fornecimento do Artigo 21(2)(d) vai além do âmbito do catálogo. Cumprir o catálogo é um forte avanço, não um substituto.
Estamos abaixo do limiar da BSI-KritisV, por isso a NIS 2 não se aplica.
Os limiares KRITIS condicionam o regime KRITIS, não a NIS 2. Um operador de distribuição de eletricidade com 60.000 clientes finais ligados está abaixo do limiar documentado de 100.000 e não é Betreiber einer Kritischen Anlage. O mesmo operador continua a ser uma entidade NIS 2 ao abrigo do §28 BSIG e deve o catálogo completo do Artigo 21, o registo do §33 e o reporte de incidentes do §32.
Somos uma empresa de renováveis (eólica, solar, biogás, hidrogénio verde), por isso a NIS 2 não se aplica a nós.
O Anexo I setor 1 lista os produtores de eletricidade sem distinguir a tecnologia de geração. Eólica, solar, hídrica, biogás e hidrogénio contam todos. Um operador de renováveis que passa o teste de dimensão do Artigo 2(1) está em âmbito exatamente nos mesmos termos que um gerador convencional. A única porta de saída é falhar o teste de dimensão, não a fonte de geração.
Uma empresa de energia alemã típica de média dimensão, com 150 trabalhadores, um ramo de distribuição de eletricidade que abastece cerca de 40.000 clientes finais, um ramo de comercialização de gás e uma pequena carteira de geração de renováveis, situa-se dentro do âmbito da NIS 2 através do Anexo I setor 1 (subsetores de eletricidade e gás). O teste de dimensão é passado ao nível da entidade. Os limiares da BSI-KritisV para o ramo de distribuição não são atravessados, pelo que o dever de auditoria do §65 não se aplica, mas o §28 BSIG aplica-se. O catálogo do §11 EnWG já está implementado para a rede, pelo que a maior parte do Artigo 21 está em curso antes de o trabalho da NIS 2 começar.
O registo de risco do §30 tem de cobrir OT e SCADA na rede de distribuição, o controlo da rede de gás e a carteira de geração num só sítio. O reporte do §32 flui através da BSI no calendário da NIS 2. O registo do §33 é uma única submissão para a pessoa coletiva inteira. A formação da gestão do Artigo 20 NIS 2 é novidade para a maioria dos conselhos de administração neste segmento e não é coberta pelo catálogo EnWG. Os controlos de cadeia de fornecimento ao abrigo do Artigo 21(2)(d) são o segundo grande delta face ao mundo do EnWG.
A verificação de aplicabilidade guia-o pelos subsetores do Anexo I setor 1, pede o número de trabalhadores e o volume de negócios ao nível da entidade, e diz-lhe em que balde do §28 BSIG recai e se alguma atividade também puxa o KRITIS para dentro. O resultado é uma nota pronta a colar que tanto o seu órgão de gestão como a sua contraparte na Bundesnetzagentur conseguem ler.
Onde o Artigo 21 NIS 2 e o catálogo do §11 EnWG se sobrepõem, a plataforma mapeia os requisitos uma vez e deixa a mesma evidência contar para ambos. O módulo de ativos capta o inventário de OT e TI em todos os subsetores num só sítio. O fluxo de registo do §33 mantém-se na plataforma, incluindo o ciclo de atualização de duas semanas ao abrigo do Artigo 27(2).
- Diretiva (UE) 2022/2555 (NIS 2), Anexo I setor 1. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Diretiva (UE) 2022/2555 (NIS 2), Artigo 2(1) e Artigo 2(2). eur-lex.europa.eu/eli/dir/2022/2555/oj
- Recomendação 2003/361/CE da Comissão relativa à definição de micro, pequenas e médias empresas
- Lei da BSI (BSIG), §28 (Anwendungsbereich), §32 (Meldepflichten), §33 (Registrierung), §65 (auditorias), com a redação dada pela Lei de Execução da NIS2 e de Reforço da Cibersegurança. gesetze-im-internet.de
- Verordnung zur Bestimmung Kritischer Anlagen (BSI-KritisV). Limiares específicos por setor para a Energie
- Energiewirtschaftsgesetz (EnWG), §11(1a) e §11(1b). gesetze-im-internet.de
- Catálogo de segurança de TI da Bundesnetzagentur para operadores de redes de energia e instalações de energia