A nossa empresa municipal está no âmbito da NIS 2?
As empresas municipais assentam em vários setores do Anexo I da NIS 2 ao mesmo tempo: eletricidade, água potável, águas residuais, por vezes um braço municipal de telecomunicações. Cada um deles arrasta a entidade para o âmbito. O teste de dimensão aplica-se à entidade no seu todo, não a cada unidade de negócio.
A versão curta
Uma empresa municipal típica corre quatro tipos de atividade sob uma única empresa: distribuição e comercialização de eletricidade, água potável, águas residuais e, por vezes, telecomunicações ou aquecimento urbano. Cada uma dessas é o seu próprio setor ao abrigo do Anexo I da NIS 2. Um setor basta para a colocar no âmbito. Quatro setores não a colocam no âmbito quatro vezes. Uma pessoa coletiva, um registo NIS 2.
O artigo 2.o, n.o 1, da NIS 2 acrescenta o teste de dimensão: empresa média ou maior (pelo menos 50 colaboradores, ou mais de 10 milhões de euros de volume de negócios e de balanço). As empresas municipais quase sempre ultrapassam essa fasquia. Se operar uma atividade crítica acima do limiar KRITIS específico do setor (por exemplo, 100 000 ligações de eletricidade, ou mais de 22 milhões de metros cúbicos de água potável por ano), fica também abrangida pelo regime mais rigoroso KRITIS, para além da NIS 2. Abaixo do limiar continua a dever cumprir a NIS 2.
A Alemanha transpõe isto para o direito nacional através do §28 BSIG. A KRITIS-Verordnung fixa os limiares de dimensão especificamente para o regime KRITIS, que é uma camada separada e mais rigorosa. A NIS 2 não depende dos limiares KRITIS.
Diretiva NIS 2 (2022/2555), Anexo I, setores 1, 6, 7, 8
O setor 1 Energia inclui (a) eletricidade, (b) aquecimento e arrefecimento urbano, (c) petróleo, (d) gás, (e) hidrogénio, e abrange operadores de redes de distribuição, operadores de redes de transporte, produtores e empresas de comercialização de energia. O setor 6 Água potável abrange fornecedores e distribuidores de água destinada ao consumo humano. O setor 7 Águas residuais abrange empresas de recolha, eliminação ou tratamento de águas residuais urbanas, domésticas ou industriais. O setor 8 Infraestrutura digital inclui os fornecedores de redes públicas de comunicações eletrónicas e de serviços de comunicações eletrónicas acessíveis ao público.
Uma única empresa municipal que opera uma rede de eletricidade, fornece água potável, trata águas residuais e explora uma rede municipal de fibra está a tocar quatro setores diferentes desta lista. Cada atividade aciona independentemente a NIS 2.
Artigo 2.o, n.o 1, da NIS 2 + Recomendação 2003/361/CE + KRITIS-Verordnung
A presente diretiva aplica-se às entidades públicas ou privadas de um tipo referido no Anexo I ou no Anexo II que se qualifiquem como médias empresas nos termos do artigo 2.o do anexo da Recomendação 2003/361/CE, ou que excedam os limiares para médias empresas previstos no n.o 1 desse artigo.
O teste de dimensão é média ou maior (pelo menos 50 colaboradores, ou mais de 10 milhões de euros de volume de negócios e de balanço). A KRITIS-Verordnung fixa limiares específicos do setor para o regime alemão KRITIS: por exemplo, 100 000 ligações na distribuição de eletricidade, ou mais de 22 milhões de metros cúbicos de fornecimento de água potável por ano. Os limiares KRITIS não condicionam a NIS 2.
§28 BSIG (Alemanha)
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind natürliche oder juristische Personen oder rechtlich unselbständige Organisationseinheiten einer Gebietskörperschaft, die einer der in den Anlagen 1 oder 2 genannten Einrichtungsarten zuzuordnen sind und die Schwellenwerte nach Artikel 2 der Empfehlung 2003/361/EG erreichen oder überschreiten.
O §28 BSIG é a porta de entrada alemã para o âmbito da NIS 2. O Anexo 1 enumera os tipos 'besonders wichtige' (essenciais), o Anexo 2 enumera os tipos 'wichtige' (importantes). Uma empresa municipal que ultrapasse um limiar KRITIS em pelo menos uma atividade é também 'Betreiber einer Kritischen Anlage' e fica, com esse fundamento, na categoria mais rigorosa 'besonders wichtige'.
Que atividades do Anexo I corre?
Percorra a lista. Eletricidade (produção, distribuição, comercialização). Aquecimento ou arrefecimento urbano. Gás. Água potável. Águas residuais. Rede ou serviço público de comunicações eletrónicas. Se, enquanto empresa municipal, opera apenas uma destas, esse setor entra. Enumere todas, porque cada uma exige os controlos aplicados aos sistemas que a fazem funcionar.
É pelo menos uma empresa média?
Pelo menos 50 colaboradores, ou mais de 10 milhões de euros de volume de negócios e de balanço. Aplique o teste à pessoa coletiva, não a cada unidade de negócio. As empresas municipais estão quase sempre acima desta fasquia quando se contam em conjunto as operações de rede, a água e as águas residuais. Abaixo da fasquia existem isenções estreitas para alguns setores, mas não para a energia nem para a água.
Ultrapassa um limiar da KRITIS-Verordnung?
Específico do setor. Distribuição de eletricidade: 100 000 clientes finais ligados. Água potável: 22 milhões de metros cúbicos por ano. Águas residuais: 500 000 equivalentes de população. Se ultrapassar qualquer limiar em qualquer atividade, a KRITIS aplica-se a essa atividade, para além da NIS 2. O regime KRITIS traz deveres de auditoria mais rigorosos (auditoria independente de três em três anos, §65 BSIG) e relatórios adicionais.
Uma pessoa coletiva é uma entidade NIS 2
Se as suas unidades de negócio de eletricidade, água, águas residuais e telecomunicações estão dentro da mesma GmbH, a GmbH é a entidade NIS 2. Um registo junto do BSI. Um registo de risco que cobre todo o OT e IT em todos os setores. Um órgão de gestão que aprova. Dividir o trabalho de NIS 2 pelas unidades operacionais não divide a obrigação. Só torna a coordenação mais difícil.
A NIS 2 não é o mesmo que KRITIS
Ultrapassar o limiar KRITIS acrescenta um regime. Não substitui a NIS 2. Não ultrapassar o limiar KRITIS retira o regime KRITIS, mas não retira a NIS 2. O âmbito do §28 BSIG situa-se abaixo de KRITIS e acima de 'demasiado pequeno para se importar'. As empresas municipais quase sempre caem dentro dessa faixa, mesmo quando a sua rede tem menos de 100 000 ligações.
BSI / §28 BSIG e KRITIS-Verordnung
O BSI é a autoridade para o lado cibernético da energia, da água e das águas residuais. Opera o portal de registo do §33 BSIG, aceita notificações de incidentes significativos do §32 BSIG e publica orientações específicas do setor (Branchenspezifische Sicherheitsstandards) para Energie, Wasser e Abwasser. Se a sua empresa municipal também for KRITIS, é ao BSI que submete as provas da auditoria trienal.
Bundesnetzagentur
Se a sua empresa municipal explora uma rede ou serviço público de comunicações eletrónicas (um braço municipal de fibra, por exemplo), a Bundesnetzagentur é o regulador do setor. Os deveres cibernéticos ao abrigo do §28 BSIG continuam a passar pelo BSI, mas a camada específica das telecomunicações fica na Bundesnetzagentur.
Orientações Técnicas de Implementação da ENISA
A TIG da ENISA explica como aplicar os controlos do artigo 21.o em todos os setores. Os setores 1, 6 e 7 do Anexo I estão cobertos explicitamente. O trabalho já feito em ISO 27001 ou NIST CSF 2.0 mapeia-se através da tabela de correspondência da TIG, pelo que uma empresa municipal que já corre um ISMS numa unidade de negócio tem vantagem nas restantes.
Empresas municipais de serviços noutros países
Outros Estados-Membros transpõem a NIS 2 com âmbito globalmente comparável para as empresas municipais: a Áustria através da NISG, os Países Baixos através da Cyberbeveiligingswet, a Bélgica através da NIS2-Wet. A lista de setores é idêntica (o Anexo I é direito da UE). O que difere: a autoridade com quem fala e o calendário do ciclo de auditoria.
Somos uma empresa municipal do setor público, propriedade do município, por isso a NIS 2 não se aplica.
O Anexo I não isenta as entidades do setor público. Aplica-se expressamente às 'entidades públicas ou privadas'. Que a GmbH seja propriedade do município, de uma holding ou de acionistas privados não altera o teste setorial. A única isenção estreita do setor público na NIS 2 é para funções de segurança nacional e de defesa, não para operações de serviços públicos.
Estamos abaixo do limiar KRITIS, por isso não estamos no âmbito.
Os limiares KRITIS condicionam o regime KRITIS, não a NIS 2. Uma empresa municipal com 60 000 ligações de eletricidade está abaixo do limiar KRITIS de 100 000, pelo que o ciclo de auditoria mais rigoroso não se aplica. A mesma empresa municipal continua a ser uma entidade NIS 2 ao abrigo do §28 BSIG, com o catálogo completo de controlos do artigo 21.o, registo e deveres de notificação de incidentes.
Cada unidade de serviços trata da sua própria conformidade NIS 2.
Dentro de uma pessoa coletiva existe uma obrigação NIS 2. Um registo. Uma aprovação do órgão de gestão. Um registo de risco que tem de cobrir o OT e o IT em todos os setores. Tratar cada unidade de negócio como um silo de conformidade separado produz trabalho sobreposto, lacunas nas costuras e uma história de auditoria que não se sustenta.
Uma empresa municipal típica com 200 colaboradores, uma rede de eletricidade de 60 000 clientes, um fornecimento de água potável de cerca de 8 milhões de metros cúbicos por ano e um pequeno braço de fibra situa-se inequivocamente dentro do âmbito da NIS 2, através dos setores 1, 6, 7 e 8 do Anexo I. O teste de dimensão é ultrapassado com folga. Os limiares KRITIS não são alcançados, pelo que os deveres de auditoria do §65 BSIG não se aplicam, mas os deveres do §28 BSIG aplicam-se.
O registo de risco do §30 tem de cobrir num só lugar o OT e o SCADA da eletricidade, da água e das águas residuais. A notificação de incidentes do §32 passa pelo BSI. O registo do §33 é uma única submissão para toda a empresa. Se também ultrapassar um limiar KRITIS em qualquer atividade, a sua classificação ao abrigo do §28 sobe para 'besonders wichtige Einrichtung' e a auditoria KRITIS trienal entra em ação por cima.
A verificação de aplicabilidade conduz diretamente pelo caso de entidade única multissetorial. Marca todas as atividades do Anexo I que a sua empresa municipal corre, a plataforma agrega-as face ao teste de dimensão e indica em que categoria do §28 BSIG cai e se alguma atividade também puxa o KRITIS.
O módulo de ativos capta o inventário de OT e IT em todos os subsetores num só lugar. O registo de risco assenta sobre esse inventário único, pelo que um plano de tratamento aplicado a um sistema de controlo SCADA na estação de água e à sala de controlo da rede fica lado a lado, e não em duas pastas de conformidade separadas.
- Diretiva (UE) 2022/2555 (NIS 2), Anexo I, setores 1, 6, 7 e 8. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Diretiva (UE) 2022/2555 (NIS 2), artigo 2.o, n.o 1. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Recomendação 2003/361/CE da Comissão relativa à definição de micro, pequenas e médias empresas
- Lei do BSI (BSIG), §28 (Anwendungsbereich) e §33 (Registrierung), com a redação dada pela Lei de Implementação da NIS2 e de Reforço da Cibersegurança
- KRITIS-Verordnung (BSI-Kritisverordnung). Limiares específicos do setor para Energie, Wasser e Abwasser
- Orientações setoriais do BSI para Energie, Wasser e Abwasser (Branchenspezifische Sicherheitsstandards)