Somos um operador de águas residuais no âmbito da NIS 2?
O Anexo I setor 7 da NIS 2 abrange as empresas que recolhem, eliminam ou tratam águas residuais urbanas, domésticas ou industriais. O teste de dimensão do Artigo 2(1) é a segunda porta. O KRITIS é um regime mais rigoroso que assenta por cima para as maiores estações, mas não condiciona a NIS 2.
A versão curta
Se a sua entidade recolhe, elimina ou trata águas residuais urbanas, águas residuais domésticas ou águas residuais industriais como atividade central, está dentro do Anexo I setor 7 da NIS 2. A Diretiva define esses três tipos de águas residuais por remissão para a Diretiva 91/271/CEE do Conselho (Diretiva relativa ao Tratamento de Águas Residuais Urbanas). Uma frase do Anexo I decide a questão do setor.
O Artigo 2(1) da NIS 2 acrescenta o teste de dimensão: média empresa ou maior, ou seja, pelo menos 50 trabalhadores, ou mais de 10 milhões de euros de volume de negócios e mais de 10 milhões de euros de balanço. A maioria dos operadores municipais que gerem uma estação de tratamento de qualquer dimensão relevante passa esse teste assim que se contam, em conjunto, as operações, a manutenção e a administração.
A KRITIS-Verordnung fixa um limiar separado e mais rigoroso para o regime KRITIS alemão: um equivalente de população de 500 000 para o tratamento de águas residuais. Uma estação abaixo desse valor não é KRITIS, mas continua a ser uma entidade NIS 2 ao abrigo do §28 BSIG. O regime KRITIS acrescenta deveres por cima da NIS 2. Não substitui a NIS 2 nem a condiciona.
Diretiva NIS 2 (UE) 2022/2555, Anexo I setor 7 Águas residuais
Undertakings collecting, disposing of or treating urban waste water, domestic waste water or industrial waste water as defined in point (1), (2) and (3) of Article 2 of Council Directive 91/271/EEC, excluding undertakings for which collecting, disposing of or treating urban waste water, domestic waste water or industrial waste water is a non-essential part of their general activity.
Três coisas a ler com atenção. Primeira, as definições de atividade vêm da Diretiva relativa ao Tratamento de Águas Residuais Urbanas 91/271/CEE, não da própria NIS 2. Segunda, contam os três tipos de águas residuais: urbanas, domésticas e industriais. Terceira, a única exclusão é para entidades em que o trabalho de águas residuais é uma atividade acessória. Se o tratamento ou a eliminação fazem parte das suas operações centrais, está dentro do setor 7.
Artigo 2(1) NIS 2 mais Recomendação 2003/361/CE
This Directive applies to public or private entities of a type referred to in Annex I or Annex II which qualify as medium-sized enterprises under Article 2 of the Annex to Recommendation 2003/361/EC, or exceed the ceilings for medium-sized enterprises provided for in paragraph 1 of that Article.
Média empresa significa pelo menos 50 trabalhadores, ou mais de 10 milhões de euros de volume de negócios e mais de 10 milhões de euros de balanço. Aplique o teste à entidade jurídica que opera a atividade de águas residuais. Um Zweckverband, uma empresa filial de uma Stadtwerk, um Eigenbetrieb ou um operador privado são todos tratados da mesma forma assim que passam o teste de dimensão.
§28 BSIG (Alemanha) mais KRITIS-Verordnung
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind natürliche oder juristische Personen oder rechtlich unselbständige Organisationseinheiten einer Gebietskörperschaft, die einer der in den Anlagen 1 oder 2 genannten Einrichtungsarten zuzuordnen sind und die Schwellenwerte nach Artikel 2 der Empfehlung 2003/361/EG erreichen oder überschreiten.
O §28 BSIG é a entrada alemã na NIS 2. A Anlage 1 lista os tipos 'besonders wichtige' (essenciais), a Anlage 2 lista os tipos 'wichtige' (importantes). As águas residuais constam desta lista. Uma estação que também ultrapasse o limiar KRITIS de 500 000 equivalentes de população na KRITIS-Verordnung conta como 'Betreiber einer Kritischen Anlage' e cai na categoria 'besonders wichtige', mais rigorosa, por cima.
Recolhe, elimina ou trata águas residuais como atividade central?
Percorra as três categorias da Diretiva 91/271/CEE. As águas residuais urbanas são a mistura de águas residuais domésticas com águas residuais industriais ou águas pluviais. As águas residuais domésticas provêm de edifícios residenciais. As águas residuais industriais provêm da produção. Se algum desses fluxos passa pelos seus coletores, pelas suas estações de bombagem ou pela sua estação de tratamento como parte das suas operações centrais, está dentro do setor 7.
É pelo menos uma média empresa?
Pelo menos 50 trabalhadores, ou mais de 10 milhões de euros de volume de negócios e mais de 10 milhões de euros de balanço. Conte a entidade jurídica inteira, não a estação isolada. Um Zweckverband com 65 trabalhadores entre operações, laboratório e administração passa o teste mesmo que a própria estação funcione com um pequeno turno noturno. Abaixo da fasquia, um conjunto restrito de entidades pode ainda estar no âmbito quando o Artigo 2(2) as inclui independentemente da dimensão, mas a regra geral para o setor 7 é o teste de dimensão.
Ultrapassa o limiar KRITIS de 500 000 equivalentes de população?
A KRITIS-Verordnung fixa o limiar alemão de águas residuais num equivalente de população de 500 000. Ultrapasse esse valor e passa a ser também 'Betreiber einer Kritischen Anlage', com o ciclo de auditoria trienal ao abrigo do §65 BSIG e a classificação mais rigorosa. A maioria das estações municipais na Alemanha situa-se bem abaixo dos 500 000 EW. Não são KRITIS, mas continuam a ser entidades NIS 2 ao abrigo do §28 BSIG.
Águas residuais como subproduto não o colocam no setor 7
A exclusão do Anexo I é explícita. Se o trabalho de águas residuais é uma parte não essencial da sua atividade geral (uma unidade de pré-tratamento no local de uma fábrica, um separador de óleos de um parque de estacionamento, uma pequena estação de tratamento interna num local remoto), o operador não está no setor 7 por essa via. A própria fábrica pode ainda estar no âmbito por um setor diferente do Anexo I ou II. É o trabalho de águas residuais que fica de fora, não a entidade jurídica.
Dentro de uma Stadtwerk, as águas residuais são um de vários setores
Uma Stadtwerk gere muitas vezes eletricidade, água potável e águas residuais sob uma entidade jurídica. A NIS 2 continua a tratar isso como uma só entidade com um só registo. A atividade de águas residuais não recebe um dossiê separado. O registo de risco, o módulo de ativos e a notificação de incidentes cobrem todos os setores num só lugar. Veja o artigo sobre Stadtwerk para o tratamento multissetorial completo.
BSI ao abrigo dos §28, §32 e §33 BSIG
O BSI é a autoridade cibernética para as águas residuais ao abrigo do §28 BSIG. Gere o portal de registo do §33 BSIG, aceita as notificações de incidentes significativos do §32 BSIG e, para operadores KRITIS acima de 500 000 EW, recebe as evidências de auditoria trienal ao abrigo do §65 BSIG. Para operadores abaixo do limiar KRITIS não há dever de auditoria, mas o registo e a notificação continuam a aplicar-se.
Umweltbundesamt e KA-Sicherheitsstandard
O Umweltbundesamt e as associações do setor das águas residuais (DWA, BDEW) mantêm a norma de cibersegurança específica do setor para estações de águas residuais (B3S Wasser/Abwasser). O B3S é o que o BSI aceita como a norma de segurança reconhecida para o setor ao abrigo do §31 BSIG para operadores KRITIS. Os operadores NIS 2 não KRITIS não são obrigados a seguir o B3S, mas na prática usam-no como guia de trabalho.
Estados federados (autoridades de águas)
O lado ambiental das águas residuais (licenças de descarga, qualidade do tratamento, gestão de lamas) está com as Landesbehörden für Wasserwirtschaft ao abrigo do direito das águas dos Estados federados. A NIS 2 não altera nada disso. A autoridade estadual das águas é uma conversa diferente da conversa com o BSI. Um incidente cibernético que também tenha impacto ambiental pode exigir notificações às duas linhas.
ENISA Technical Implementation Guidance
A TIG da ENISA cobre o setor 7 explicitamente e relaciona o catálogo de controlos do Artigo 21 com a ISO 27001 e o NIST CSF 2.0. Os operadores que já operam um sistema de gestão ambiental ISO têm uma vantagem parcial de partida. A TIG não é vinculativa, mas é a referência à escala da UE para o que 'adequado e proporcionado' ao abrigo do Artigo 21(1) significa.
Tratamos as nossas próprias águas residuais da fábrica no local, por isso somos um operador do setor 7.
O Anexo I setor 7 exclui os operadores em que o trabalho de águas residuais é uma parte não essencial da atividade geral. Uma unidade de pré-tratamento no local de uma fábrica de produtos químicos não faz da fábrica de produtos químicos uma entidade do setor 7. A fábrica pode ainda estar no âmbito da NIS 2 por um setor diferente do Anexo I ou II (produtos químicos, fabrico, alimentação), mas não pela linha das águas residuais.
A nossa estação está abaixo de 500 000 EW, por isso a NIS 2 não se aplica.
O valor de 500 000 equivalentes de população é o limiar KRITIS da KRITIS-Verordnung. Condiciona o regime KRITIS, não a NIS 2. Uma estação com 80 000 EW está abaixo do KRITIS, mas é um operador de águas residuais de dimensão típica de Mittelstand acima do teste de dimensão do Artigo 2(1). É uma entidade NIS 2 ao abrigo do §28 BSIG com o catálogo completo de controlos do Artigo 21, o registo e os deveres de notificação de incidentes.
Somos um Eigenbetrieb da cidade, por isso a NIS 2 não se aplica.
O Anexo I abrange 'entidades públicas ou privadas'. A forma jurídica (Eigenbetrieb, Zweckverband, Anstalt des öffentlichen Rechts, GmbH) não altera o teste de setor. A única exclusão estreita do setor público na NIS 2 é para funções de segurança nacional e de defesa. Uma operação municipal de águas residuais não é isso.
Um operador de águas residuais típico com quem falamos gere uma estação de tratamento entre 80 000 e 200 000 equivalentes de população, uma rede de coletores, algumas estações de bombagem e um pequeno laboratório. Os efetivos situam-se entre 30 e 90. A forma jurídica é um Zweckverband, um Eigenbetrieb ou uma GmbH detida pela cidade. O KRITIS não se aplica. A NIS 2 aplica-se, pelo Anexo I setor 7 mais o teste de dimensão, mais o §28 BSIG.
O registo de risco do §30 BSIG tem de cobrir o SCADA na estação de tratamento, a telemetria nas estações de bombagem, os cartões SIM nos sensores de nível, a TI do laboratório e a TI de escritório. A notificação de incidentes do §32 flui para o BSI. O registo do §33 é uma só submissão para a entidade jurídica. O B3S Wasser/Abwasser é o guia de trabalho mesmo onde o dever de auditoria não se aplica, porque é o documento que o BSI conhece.
A verificação de aplicabilidade percorre a definição do setor 7 exatamente como o Anexo I a redige: águas residuais urbanas, domésticas, industriais, com a exclusão de atividade acessória como pergunta separada. O teste de dimensão do Artigo 2(1) é o segundo passo. O limiar da KRITIS-Verordnung de 500 000 EW é o terceiro, e é apresentado como 'por cima da NIS 2', não como uma porta.
O módulo de ativos cobre SCADA, telemetria, estações de bombagem e TI de laboratório sob um só inventário. Os controlos do B3S Wasser/Abwasser encaixam no catálogo do Artigo 21(2) sem uma lista paralela. Se também ultrapassar o limiar KRITIS, o ciclo de auditoria trienal ao abrigo do §65 BSIG ativa-se como um fluxo de trabalho separado por cima das mesmas evidências.
- Diretiva (UE) 2022/2555 (NIS 2), Anexo I setor 7 Águas residuais. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Diretiva (UE) 2022/2555 (NIS 2), Artigo 2(1). eur-lex.europa.eu/eli/dir/2022/2555/oj
- Diretiva 91/271/CEE do Conselho relativa ao tratamento de águas residuais urbanas, Artigo 2 pontos (1), (2), (3)
- Recomendação 2003/361/CE da Comissão relativa à definição de micro, pequenas e médias empresas
- BSIG, §28 (Anwendungsbereich), §32 (Meldepflichten), §33 (Registrierung), §65 (Nachweise) na redação dada pela Lei de Implementação da NIS2 e de Reforço da Cibersegurança
- BSI-Kritisverordnung (KRITIS-Verordnung), Anhang 1 Teil 2 Wasser. equivalente de população de 500 000 para o tratamento de águas residuais
- Branchenspezifischer Sicherheitsstandard Wasser/Abwasser (B3S), DWA / BDEW