Suntem un furnizor de apă potabilă în domeniul de aplicare al NIS 2?
Anexa I sectorul 6 al NIS 2 acoperă furnizorii și distribuitorii de apă destinată consumului uman. Pragul de mărime este întreprindere mijlocie sau mai mare. Pragul KRITIS de 22 de milioane de metri cubi pe an este un regim separat, mai strict, care se așază deasupra.
Pe scurt
NIS 2 listează apa potabilă ca Anexa I sectorul 6. Definiția apei potabile este preluată din Directiva (UE) 2020/2184, reformarea Directivei privind apa potabilă: apă destinată consumului uman, furnizată printr-o rețea de distribuție sau dintr-o cisternă, ori folosită în producția de alimente. Dacă entitatea dumneavoastră furnizează sau distribuie acea apă, sunteți în interiorul sectorului.
Articolul 2(1) NIS 2 adaugă testul de mărime: cel puțin 50 de angajați, sau peste 10 milioane euro cifră de afaceri și bilanț, măsurate conform Recomandării 2003/361/CE. O întreprindere municipală de apă, un Wasserverband regional sau brațul de apă al unui Stadtwerk trec de obicei acel prag cu o marjă largă. Regimul KRITIS intervine doar peste 22 de milioane de metri cubi pe an, ceea ce este un prag mult mai ridicat decât NIS 2.
Germania pune acest lucru în dreptul național prin §28 BSIG. KRITIS-Verordnung stabilește pragul de 22 de milioane de metri cubi pentru regimul KRITIS german. Majoritatea furnizorilor germani de apă potabilă sunt entități NIS 2, dar nu operatori KRITIS. Ambele niveluri sunt independente. Faptul că nu atingeți pragul KRITIS nu elimină NIS 2.
Directiva NIS 2 (2022/2555), Anexa I sectorul 6 Apă potabilă
Suppliers and distributors of water intended for human consumption as defined in point 1 of Article 2 of Directive (EU) 2020/2184 of the European Parliament and of the Council, but excluding distributors for whom distribution of water for human consumption is a non-essential part of their general activity of distributing other commodities and goods.
Testul de sector este binar. Dacă furnizați sau distribuiți apă potabilă ca activitate principală, se aplică sectorul 6. Derogarea este îngustă: ea elimină distribuitorii de alte produse care întâmplător transmit și apă potabilă ca activitate secundară. O întreprindere de apă, un Wasserverband, un Zweckverband sau brațul de apă al unui Stadtwerk nu intră sub acea derogare.
Articolul 2(1) NIS 2 plus Recomandarea 2003/361/CE plus KRITIS-Verordnung
This Directive applies to public or private entities of a type referred to in Annex I or Annex II which qualify as medium-sized enterprises under Article 2 of the Annex to Recommendation 2003/361/EC, or exceed the ceilings for medium-sized enterprises provided for in paragraph 1 of that Article.
Testul de mărime este întreprindere mijlocie sau mai mare: cel puțin 50 de angajați, sau peste 10 milioane euro cifră de afaceri anuală și bilanț. KRITIS folosește un prag separat, specific sectorului, pentru apa potabilă: peste 22 de milioane de metri cubi pe an, stabilit în KRITIS-Verordnung. Pragurile KRITIS nu condiționează NIS 2.
§28 BSIG (Germania)
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind natürliche oder juristische Personen oder rechtlich unselbständige Organisationseinheiten einer Gebietskörperschaft, die einer der in den Anlagen 1 oder 2 genannten Einrichtungsarten zuzuordnen sind und die Schwellenwerte nach Artikel 2 der Empfehlung 2003/361/EG erreichen oder überschreiten.
§28 BSIG este ușa de intrare germană în NIS 2. Apa potabilă se află în Anlage 1 (besonders wichtige Sektoren) ca Trinkwasser. Depășirea pragului KRITIS-Verordnung de 22 de milioane de metri cubi pe an adaugă nivelul Betreiber kritischer Anlagen cu ciclul de audit la trei ani conform §65 BSIG. Sub acel prag, un furnizor de apă potabilă este în continuare o besonders wichtige Einrichtung în sensul NIS 2.
Furnizați sau distribuiți apă potabilă?
Apa potabilă înseamnă apă destinată consumului uman conform articolului 2(1) din Directiva (UE) 2020/2184. Aceasta include apa furnizată printr-o rețea publică, apa dintr-o cisternă și apa folosită în producția de alimente. Dacă entitatea dumneavoastră captează, tratează, furnizează sau distribuie acea apă ca activitate principală, se aplică sectorul 6. Producătorii de apă îmbuteliată sunt în afara sectorului 6 (ei se află sub producția de alimente, un sector Anexa I diferit în proiectul inițial al directivei și acum în afara sectorului 6 NIS 2).
Sunteți cel puțin o întreprindere mijlocie?
Cel puțin 50 de angajați, sau peste 10 milioane euro cifră de afaceri anuală și bilanț. Numărul de angajați și plafoanele financiare provin din Recomandarea 2003/361/CE. Proprietatea publică nu schimbă testul. Un Zweckverband sau o întreprindere municipală numără angajații și cifra de afaceri la fel ca un GmbH privat.
Depășiți 22 de milioane de metri cubi pe an?
KRITIS-Verordnung stabilește un singur prag pentru apa potabilă: peste 22 de milioane de metri cubi de apă furnizată pe an. Depășiți acea linie și regimul KRITIS se aplică deasupra NIS 2: audit independent la fiecare trei ani conform §65 BSIG, obligații suplimentare de raportare, înregistrare ca Betreiber einer kritischen Anlage. Sub acea linie, datorați doar NIS 2. Aproximativ 80 la sută dintre furnizorii germani de apă potabilă se află sub pragul KRITIS, dar în interiorul NIS 2.
Derogarea pentru activitatea secundară este îngustă
Anexa I sectorul 6 derogă distribuitorii pentru care apa potabilă este o parte neesențială a activității lor generale de distribuție a altor produse. Acea clauză există pentru comercianții cu amănuntul și firmele de logistică care întâmplător transmit apă îmbuteliată alături de alte bunuri. Ea nu scutește o întreprindere de apă sau brațul de apă al unui Stadtwerk. Dacă apa potabilă este o linie de activitate denumită, derogarea nu se aplică.
Apă potabilă plus ape uzate plus electricitate este o singură entitate NIS 2
O întreprindere municipală care furnizează apă potabilă, tratează ape uzate și operează o rețea electrică atinge trei sectoare Anexa I deodată. În cadrul unei singure entități juridice, aceasta este în continuare o singură obligație NIS 2. O singură înregistrare la BSI. O singură aprobare a organului de conducere. Un singur registru al riscurilor care acoperă OT și IT în toate trei. Împărțirea muncii pe unitate de activitate produce dovezi suprapuse și lacune la îmbinări.
BSI / §28 BSIG și KRITIS-Verordnung
BSI este autoritatea cibernetică pentru apa potabilă. Operează portalul de înregistrare conform §33 BSIG, primește notificările de incidente semnificative conform §32 BSIG și publică branchenspezifischer Sicherheitsstandard Wasser. Dacă furnizorul este și KRITIS, BSI este destinatarul pentru dovezile de audit la fiecare trei ani conform §65 BSIG.
Umweltbundesamt și Gesundheitsämter
Calitatea apei, nu partea cibernetică, se află la Umweltbundesamt și la oficiile regionale de sănătate conform Trinkwasserverordnung germane (care transpune Directiva (UE) 2020/2184). NIS 2 nu schimbă asta. Obligațiile cibernetice conform §28 BSIG funcționează în paralel cu obligațiile de calitate a apei conform Trinkwasserverordnung.
Ghidul tehnic de punere în aplicare al ENISA
TIG-ul ENISA acoperă explicit Anexa I sectorul 6. Explică cum se aplică catalogul de controale al articolului 21 operatorilor de apă potabilă și cum se mapează la activitatea existentă ISO 27001 sau NIST CSF 2.0 prin tabelul oficial de mapare TIG. Un furnizor care rulează deja un ISMS are o corelație documentată cu dovezile NIS 2.
Furnizorii de apă potabilă din alte părți
Alte state membre transpun NIS 2 cu aceeași definiție a sectorului (Anexa I este drept UE). Austria îl rulează prin NISG, Țările de Jos prin Cyberbeveiligingswet, Belgia prin NIS2-Wet. Ce diferă este autoritatea de supraveghere și calendarul oricărui ciclu de audit specific sectorului. Pragul de 22 de milioane de metri cubi este o regulă KRITIS germană, nu o regulă NIS 2 a UE.
Suntem mult sub 22 de milioane de metri cubi pe an, deci NIS 2 nu ni se aplică.
Pragul de 22 de milioane de metri cubi condiționează regimul KRITIS, nu NIS 2. Un Wasserverband care furnizează 4 milioane de metri cubi pe an este sub KRITIS, dar tot o entitate NIS 2 conform Anexei I sectorul 6 și §28 BSIG, cu întregul catalog de controale al articolului 21, înregistrarea conform §33 BSIG și obligațiile de raportare a incidentelor conform §32 BSIG. NIS 2 începe la 50 de angajați sau 10 milioane euro, nu la un prag de volum.
Îmbuteliem apă minerală pentru comerțul cu amănuntul, deci suntem un furnizor de apă potabilă conform NIS 2.
Anexa I sectorul 6 acoperă furnizorii și distribuitorii de apă destinată consumului uman, conform definiției din Directiva (UE) 2020/2184. Acea directivă se ocupă de alimentarea publică cu apă, nu de apa minerală ambalată. Îmbuteliatorii sunt producători de alimente, nu furnizori de apă potabilă din sectorul 6. NIS 2 se poate aplica totuși printr-un alt sector (producția de alimente se află în Anexa II), dar nu prin sectorul 6.
Suntem un Wasserwerk mic deținut de municipalitate, deci directiva nu se poate referi la noi.
Anexa I se aplică entităților publice sau private. Proprietatea municipală nu scutește un Wasserwerk. Singura derogare pentru NIS 2 este pentru funcțiile de securitate națională și apărare. Un Wasserwerk cu 60 de angajați într-un Zweckverband este o besonders wichtige Einrichtung conform §28 BSIG la fel ca o întreprindere privată.
Un furnizor german tipic de apă, mic, cu 80 de angajați, care furnizează 6 milioane de metri cubi de apă potabilă pe an către aproximativ 40.000 de gospodării, se află fără ambiguitate în domeniul de aplicare al NIS 2 prin Anexa I sectorul 6. Testul de mărime este trecut confortabil. KRITIS nu se aplică, deci auditul la fiecare trei ani conform §65 BSIG nu intră în joc. Dar §28, §30, §32 și §33 BSIG se aplică toate integral: înregistrare la BSI, catalogul de controale al articolului 21, aprobarea organului de conducere, raportarea incidentelor semnificative în 24 și 72 de ore.
Registrul riscurilor trebuie să acopere OT și SCADA de la uzina de apă, stațiile de tratare, telemetria rețelei, IT-ul de facturare a clienților și serviciile de cloud folosite pentru monitorizare. Măsurile privind lanțul de aprovizionare conform articolului 21(2)(d) trebuie să ajungă la furnizorul de produse chimice și la furnizorul SCADA. Nimic din toate acestea nu este condiționat de atingerea a 22 de milioane de metri cubi. Pragul KRITIS este un nivel separat, mai strict, pe care aproape niciun Wasserwerk german nu îl atinge.
Verificarea aplicabilității pune câte o întrebare pe rând: furnizați sau distribuiți apă potabilă conform Directivei (UE) 2020/2184, câți angajați, care este cifra de afaceri, care este volumul anual în metri cubi. Ea returnează un răspuns clar pentru §28 BSIG și un răspuns separat pentru pragul KRITIS-Verordnung. Fără a confunda cele două niveluri.
Modulul de active captează inventarul OT din uzinele de apă, rețea și telemetrie într-un singur loc. Registrul riscurilor se așază deasupra acelui inventar, astfel încât SCADA de la o stație de tratare și IT-ul de facturare trăiesc în aceeași imagine de conformitate. Dacă furnizorul depășește ulterior pragul KRITIS, aceleași dovezi se transferă și ciclul de audit la fiecare trei ani se integrează fără un sistem paralel.
- Directiva (UE) 2022/2555 (NIS 2), Anexa I sectorul 6. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Directiva (UE) 2022/2555 (NIS 2), articolul 2(1). eur-lex.europa.eu/eli/dir/2022/2555/oj
- Directiva (UE) 2020/2184 (reformarea Directivei privind apa potabilă), articolul 2(1). eur-lex.europa.eu/eli/dir/2020/2184/oj
- Recomandarea 2003/361/CE a Comisiei privind definiția microîntreprinderilor și a întreprinderilor mici și mijlocii
- Legea BSI (BSIG), §28 (Anwendungsbereich), §32 (Meldepflichten) și §33 (Registrierung) astfel cum au fost modificate prin Legea de punere în aplicare a NIS2 și de consolidare a securității cibernetice
- KRITIS-Verordnung (BSI-Kritisverordnung), Anlage 1: pragul de 22 de milioane de metri cubi pe an pentru sectorul Trinkwasser
- BSI branchenspezifischer Sicherheitsstandard Wasser/Abwasser
- Trinkwasserverordnung (transpunerea germană a Directivei (UE) 2020/2184)