Anhang I Sektor 1 NIS 2

Sunt furnizor de energie conform NIS 2?

NIS 2 listează energia în Anexa I sectorul 1 cu cinci subsectoare (electricitate, încălzire și răcire centralizată, petrol, gaz, hidrogen) și mai multe tipuri de entități pentru fiecare subsector. Articolul 2(1) NIS 2 adaugă apoi testul de dimensiune. Pragurile KRITIS conform BSI-KritisV se află separat, pe deasupra, și nu decid domeniul de aplicare al NIS 2.

Simon OrzelSimon Orzel·

Pe scurt

Energia este sectorul 1 din NIS 2 Anexa I. Directiva numește cinci subsectoare (electricitate, încălzire și răcire centralizată, petrol, gaz, hidrogen) și pentru fiecare listează tipurile de entități vizate: producători, operatori de sisteme de distribuție, operatori de sisteme de transport, furnizori, operatori de piață de energie electrică nominalizați, participanți la piața de energie electrică, operatori de rafinării și instalații de tratare, operatori de conducte și depozite de petrol, entități centrale de stocare, operatori de instalații GNL de gaze naturale, operatori de producție și transport de hidrogen. Un singur subsector este suficient pentru a aduce o companie în domeniul de aplicare.

Articolul 2(1) NIS 2 adaugă testul de dimensiune prin trimitere la Recomandarea 2003/361/CE: întreprindere mijlocie sau mai mare, adică cel puțin 50 de angajați sau peste 10 milioane de euro cifră de afaceri anuală și bilanț. Majoritatea companiilor de energie se află confortabil peste acest prag. Sub el, sunteți în mod normal în afara NIS 2, cu excepția cazului în care o derogare „indiferent de dimensiune” din articolul 2(2) vă prinde.

Germania transpune aceasta prin §28 BSIG (Anwendungsbereich) și catalogul de entități aferent din Anlagen 1 și 2 BSIG. Separat, BSI-KritisV (KRITIS-Verordnung) stabilește praguri specifice pe sector pentru regimul KRITIS, mai strict (de exemplu clienții finali conectați în distribuția de electricitate sau volumele livrate anual). Depășirea unui prag KRITIS adaugă obligații pe deasupra NIS 2 (audit independent la fiecare trei ani conform §65 BSIG). Nedepășirea lui nu elimină NIS 2.

Sursa juridică
Trei straturi suprapuse. Directiva numește sectorul și tipurile de entități. Testul de dimensiune se află în articolul 2(1) NIS 2 plus Recomandarea 2003/361/CE. Transpunerea germană le reunește pe ambele în §28 BSIG, cu KRITIS ca regim separat, mai strict, alături.

Directiva NIS 2 (UE) 2022/2555, Anexa I sectorul 1 (Energie)

Sectorul 1 Energie: (a) Energie electrică, inclusiv întreprinderi din domeniul energiei electrice, operatori de sisteme de distribuție, operatori de sisteme de transport, producători, operatori de piață de energie electrică nominalizați și participanți la piață care furnizează servicii de agregare, de consum dispecerizabil sau de stocare a energiei; (b) Încălzire și răcire centralizată, inclusiv operatori de încălzire centralizată sau de răcire centralizată; (c) Petrol, inclusiv operatori de conducte de transport al petrolului, operatori de instalații de producție, rafinare și tratare a petrolului, de stocare și transport, și entități centrale de stocare; (d) Gaze, inclusiv întreprinderi de furnizare, operatori de sisteme de distribuție, operatori de sisteme de transport, operatori de sisteme de înmagazinare, operatori de sisteme GNL, întreprinderi din sectorul gazelor naturale și operatori de instalații de rafinare și tratare a gazelor naturale; (e) Hidrogen, inclusiv operatori de producție, înmagazinare și transport al hidrogenului.

Anexa I sectorul 1 stabilește perimetrul. Dacă desfășurați oricare dintre aceste activități și treceți testul de dimensiune din articolul 2(1), sunteți în interiorul NIS 2 în mod implicit. Lista este neexhaustivă în cadrul fiecărei definiții de tip de entitate, astfel încât o companie care se ocupă de agregare, consum dispecerizabil sau stocare pe partea de electricitate este numită explicit, chiar dacă nu are forma clasică de furnizor de utilități.

Articolul 2(1) NIS 2 + Recomandarea 2003/361/CE

Prezenta directivă se aplică entităților publice sau private de un tip menționat în Anexa I sau Anexa II care se califică drept întreprinderi mijlocii în temeiul articolului 2 din anexa la Recomandarea 2003/361/CE sau care depășesc plafoanele pentru întreprinderile mijlocii prevăzute la alineatul (1) din articolul respectiv.

Testul de dimensiune este de cel puțin 50 de angajați sau peste 10 milioane de euro cifră de afaceri anuală și bilanț. Se aplică entității juridice, nu fiecărei unități de afaceri. Un producător de hidrogen cu 30 de persoane și 8 milioane de euro cifră de afaceri ar cădea în mod normal sub prag. Un operator municipal de distribuție de electricitate cu 200 de persoane este confortabil peste acesta. Articolul 2(2) listează derogări „indiferent de dimensiune” care pot atrage entități mai mici (de exemplu furnizorii unici ai unui serviciu esențial într-un stat membru), dar ruta standard este testul de dimensiune.

§28 BSIG plus BSI-KritisV (Germania)

Besonders wichtige Einrichtungen und wichtige Einrichtungen sind natürliche oder juristische Personen oder rechtlich unselbständige Organisationseinheiten einer Gebietskörperschaft, die einer der in den Anlagen 1 oder 2 genannten Einrichtungsarten zuzuordnen sind und die Schwellenwerte nach Artikel 2 der Empfehlung 2003/361/EG erreichen oder überschreiten.

§28 BSIG este ușa de intrare germană în domeniul de aplicare al NIS 2. Anlage 1 BSIG listează tipurile de entități „besonders wichtige” (esențiale), Anlage 2 listează tipurile „wichtige” (importante). Subsectoarele energetice se încadrează în mare parte în Anlage 1. BSI-KritisV (Verordnung zur Bestimmung Kritischer Anlagen) stabilește pragurile KRITIS separate. O companie de energie care depășește un prag KRITIS este de asemenea Betreiber einer Kritischen Anlage și ajunge în categoria mai strictă „besonders wichtige” pe această bază, cu obligația de audit la fiecare trei ani conform §65 BSIG.

Trei întrebări de lămurit
Trei teste în ordine. Mai întâi subsectorul, apoi dimensiunea, apoi KRITIS. Primele două decid dacă se aplică NIS 2. Al treilea decide dacă regimul KRITIS, mai strict, se așază pe deasupra.
Subsector

Ce activitate energetică din Anexa I desfășurați?

Parcurgeți cele cinci subsectoare: electricitate, încălzire și răcire centralizată, petrol, gaz, hidrogen. În cadrul fiecărui subsector, directiva numește tipurile de entități (producători, operatori de sisteme de distribuție, operatori de sisteme de transport, furnizori, operatori de înmagazinare și GNL, operatori de rafinare și tratare, entități centrale de stocare, operatori de piață și participanți la piață). O singură potrivire este suficientă. Producătorii din surse regenerabile, furnizorii de biogaz și startupurile de hidrogen nu sunt exceptați prin definiție: se încadrează la producători sau la întreprinderi de furnizare.

Dimensiune

Sunteți cel puțin o întreprindere mijlocie?

Aplicați testul entității juridice: cel puțin 50 de angajați sau peste 10 milioane de euro cifră de afaceri anuală și bilanț. Majoritatea companiilor de energie consacrate trec. Noii intrați în surse regenerabile sau hidrogen se află adesea sub prag și rămân în afara NIS 2, cu excepția cazului în care o derogare din articolul 2(2) îi prinde. Structuri de grup: se aplică regulile din Recomandarea 2003/361/CE privind întreprinderile legate și partenere, astfel încât un mic GmbH operațional din interiorul unui grup mare poate fi totuși considerat mare.

KRITIS

Depășiți un prag BSI-KritisV?

Pragurile specifice pe sector stabilite în BSI-KritisV decid regimul KRITIS, nu NIS 2. Exemplul bine documentat pentru distribuția de electricitate este 100.000 de clienți finali conectați sau aproximativ 3.700 GWh de electricitate livrată anual. Praguri comparabile există pentru gaz, încălzire centralizată și petrol. Depășiți unul dintre ele și obligațiile de audit mai stricte (audit independent la fiecare trei ani conform §65 BSIG) se aplică pe deasupra NIS 2. Rămâneți sub toate și datorați totuși întregul catalog din §28 BSIG și articolul 21 NIS 2.

Două principii care decid majoritatea cazurilor limită
Ambele decurg direct din directivă și din transpunerea germană. Ambele apar la aproape fiecare apel din domeniul energiei.

NIS 2 se așază pe deasupra EnWG, nu alături de el

Companiile de energie din Germania trăiesc deja sub §11(1a) și §11(1b) EnWG, care impun un catalog de securitate IT publicat de Bundesnetzagentur în cooperare cu BSI. NIS 2 nu îl înlocuiește. Cele două regimuri se suprapun pe teritoriul articolului 21 (măsuri de management al riscului), dar NIS 2 adaugă obligația de înregistrare conform §33 BSIG, ciclul de raportare a incidentelor semnificative conform §32 BSIG, obligația de instruire a conducerii conform articolului 20 și obligațiile privind lanțul de aprovizionare conform articolului 21(2)(d). Aplicarea catalogului EnWG este necesară, nu suficientă.

Pragurile KRITIS sunt pe subsector, domeniul de aplicare NIS 2 este pe entitate

Pragurile BSI-KritisV sunt scrise pe activitate (distribuție de electricitate, generare de electricitate, înmagazinare de gaz etc.) și se aplică instalației (Anlage) operate. Domeniul de aplicare NIS 2 conform §28 BSIG și articolului 2(1) NIS 2 se aplică entității juridice. O companie de energie integrată vertical poate fi sub fiecare prag KRITIS individual și totuși poate fi o entitate NIS 2 completă, deoarece entitatea în ansamblu depășește pragul de dimensiune.

Cine ce supraveghează
Companiile de energie comunică cu mai multe autorități în paralel. BSI este autoritatea de reglementare cibernetică conform NIS 2. Bundesnetzagentur deține reglementarea sectorului energetic și catalogul de securitate IT. ENISA scrie interpretarea la nivel UE pe care converg celelalte state membre.
Germania

BSI / §28 BSIG, raportare §32, registru §33

BSI este autoritatea cibernetică conform BSIG. Operează portalul de înregistrare §33 unde fiecare entitate energetică din domeniul de aplicare NIS 2 își transmite datele companiei și actualizările în termen de două săptămâni conform articolului 27(2). Acceptă notificările de incidente semnificative conform §32 BSIG pe calendarul NIS 2. Dacă entitatea este și Betreiber einer Kritischen Anlage, BSI este partea de audit pentru dovezile de audit la fiecare trei ani conform §65 BSIG.

Germania

Bundesnetzagentur / catalogul de securitate IT EnWG §11

Bundesnetzagentur este autoritatea de reglementare a sectorului pentru electricitate și gaz. §11(1a) și §11(1b) EnWG impun operatorilor de rețele energetice și de instalații energetice să implementeze catalogul de securitate IT pe care Bundesnetzagentur îl publică în cooperare cu BSI. Catalogul și măsurile din articolul 21 NIS 2 se suprapun puternic, dar sunt supravegheate separat. Bundesnetzagentur gestionează de asemenea certificarea de audit pentru catalog.

La nivelul UE

Ghidul tehnic de implementare ENISA

Ghidul tehnic de implementare al ENISA explică cum se pun în aplicare măsurile din articolul 21 în toate subsectoarele energetice. Celelalte state membre transpun Anexa I sectorul 1 în mod identic (lista este drept UE). Autoritatea de implementare diferă: ACER și autoritățile naționale de reglementare a energiei preiau rolul de sector, autoritățile naționale competente NIS preiau rolul cibernetic. Operatorii energetici transfrontalieri ajung sub mai mult de o autoritate de reglementare în același timp.

Trei capcane pe care le întâlnim la apelurile din domeniul energiei
Toate trei apar în aproape fiecare conversație cu un producător, furnizor sau operator de rețea. Toate trei sunt greșite.

  • Facem deja catalogul de securitate IT EnWG §11, deci NIS 2 este acoperit.

    Catalogul acoperă o parte mare din articolul 21 NIS 2, dar nu pe tot. Înregistrarea §33 BSIG este separată. Raportarea incidentelor semnificative conform §32 BSIG este separată. Obligația de instruire a conducerii conform articolului 20 NIS 2 este separată. Obligația privind lanțul de aprovizionare din articolul 21(2)(d) depășește domeniul de aplicare al catalogului. Aplicarea catalogului este un avans puternic, nu un înlocuitor.

  • Suntem sub pragul BSI-KritisV, deci NIS 2 nu se aplică.

    Pragurile KRITIS condiționează regimul KRITIS, nu NIS 2. Un operator de distribuție de electricitate cu 60.000 de clienți finali conectați este sub pragul documentat de 100.000 și nu este Betreiber einer Kritischen Anlage. Același operator este totuși o entitate NIS 2 conform §28 BSIG și datorează întregul catalog din articolul 21, înregistrarea §33 și raportarea incidentelor §32.

  • Suntem o companie din surse regenerabile (eolian, solar, biogaz, hidrogen verde), deci NIS 2 nu ni se aplică.

    Anexa I sectorul 1 listează producătorii de electricitate fără a distinge tehnologia de generare. Eolian, solar, hidro, biogaz și hidrogen contează toate. Un operator din surse regenerabile care trece testul de dimensiune din articolul 2(1) intră în domeniul de aplicare exact pe aceiași termeni ca un generator convențional. Singura ușă de ieșire este nereușita testului de dimensiune, nu sursa de generare.

Cum arată aceasta în practică

O companie germană de energie de dimensiune medie tipică, cu 150 de angajați, o ramură de distribuție de electricitate care deservește aproximativ 40.000 de clienți finali, o ramură de furnizare de gaz și un mic portofoliu de generare din surse regenerabile, se află în domeniul de aplicare NIS 2 prin Anexa I sectorul 1 (subsectoarele electricitate și gaz). Testul de dimensiune este trecut la nivelul entității. Pragurile BSI-KritisV pentru ramura de distribuție nu sunt depășite, așa că obligația de audit §65 nu se aplică, dar §28 BSIG da. Catalogul EnWG §11 este deja implementat pentru rețea, așa că cea mai mare parte din articolul 21 este în desfășurare înainte de a începe munca NIS 2.

Registrul de risc §30 trebuie să acopere OT și SCADA în rețeaua de distribuție, controlul rețelei de gaz și portofoliul de generare, într-un singur loc. Raportarea §32 trece prin BSI pe calendarul NIS 2. Înregistrarea §33 este o singură transmitere pentru întreaga entitate juridică. Instruirea conducerii conform articolului 20 NIS 2 este nouă pentru majoritatea consiliilor din acest segment și nu este acoperită de catalogul EnWG. Controalele lanțului de aprovizionare conform articolului 21(2)(d) reprezintă a doua mare diferență față de lumea EnWG.

Cum tratăm aceasta pe platformă

Verificarea aplicabilității vă conduce prin subsectoarele din Anexa I sectorul 1, solicită numărul de angajați și cifra de afaceri la nivel de entitate și vă spune în ce categorie §28 BSIG vă încadrați și dacă vreo activitate atrage și KRITIS. Rezultatul este o notă gata de copiat pe care atât organul dvs. de conducere, cât și omologul dvs. de la Bundesnetzagentur o pot citi.

Acolo unde articolul 21 NIS 2 și catalogul EnWG §11 se suprapun, platforma mapează cerințele o singură dată și permite ca aceleași dovezi să conteze pentru ambele. Modulul de active captează inventarul OT și IT în toate subsectoarele într-un singur loc. Fluxul de înregistrare §33 rămâne pe platformă, inclusiv ciclul de actualizare la două săptămâni conform articolului 27(2).

Surse
  • Directiva (UE) 2022/2555 (NIS 2), Anexa I sectorul 1. eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Directiva (UE) 2022/2555 (NIS 2), articolul 2(1) și articolul 2(2). eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Recomandarea 2003/361/CE a Comisiei privind definirea microîntreprinderilor și a întreprinderilor mici și mijlocii
  • Legea BSI (BSIG), §28 (Anwendungsbereich), §32 (Meldepflichten), §33 (Registrierung), §65 (Audituri) astfel cum a fost modificată prin Legea de punere în aplicare a NIS2 și de consolidare a securității cibernetice. gesetze-im-internet.de
  • Verordnung zur Bestimmung Kritischer Anlagen (BSI-KritisV). praguri specifice pe sector pentru energie (Energie)
  • Energiewirtschaftsgesetz (EnWG), §11(1a) și §11(1b). gesetze-im-internet.de
  • Catalogul de securitate IT al Bundesnetzagentur pentru operatorii de rețele energetice și instalații energetice
Rulați verificarea aplicabilității pentru compania dvs. de energie
Bifați subsectoarele din Anexa I pe care le desfășurați, introduceți numărul de angajați și cifra de afaceri, obțineți un singur răspuns pentru entitatea juridică plus o notă pe care organul dvs. de conducere o poate semna. Kostenlos, Open Source, kein Lock-in.
Deschideți verificarea aplicabilității