Este Stadtwerk-ul nostru în domeniul de aplicare NIS 2?
Stadtwerke se află deasupra mai multor sectoare din Anexa I a NIS 2 în același timp: electricitate, apă potabilă, apă uzată, uneori o filială municipală de telecomunicații. Fiecare dintre acestea aduce entitatea în domeniul de aplicare. Testul de mărime se aplică entității în ansamblu, nu fiecărei unități de activitate.
Pe scurt
Un Stadtwerk tipic derulează patru tipuri de activitate în cadrul unei singure societăți: distribuția și furnizarea de electricitate, apă potabilă, apă uzată și uneori telecomunicații sau termoficare. Fiecare dintre acestea este un sector propriu în temeiul Anexei I la NIS 2. Un singur sector este suficient pentru a vă încadra. Patru sectoare nu vă încadrează de patru ori. O entitate juridică, o înregistrare NIS 2.
Articolul 2(1) NIS 2 adaugă testul de mărime: întreprindere mijlocie sau mai mare (cel puțin 50 de angajați, sau peste 10 milioane de euro cifră de afaceri și bilanț). Stadtwerke trec aproape întotdeauna de acest prag. Dacă operați o activitate critică peste pragul KRITIS specific sectorului (de exemplu 100.000 de racorduri de electricitate, sau peste 22 de milioane de metri cubi de apă potabilă pe an), intrați și sub regimul KRITIS mai strict, în plus față de NIS 2. Sub prag, datorați în continuare NIS 2.
Germania transpune acest lucru în dreptul național prin §28 BSIG. KRITIS-Verordnung stabilește pragurile de mărime specifice regimului KRITIS, care este un nivel separat, mai strict. NIS 2 nu depinde de pragurile KRITIS.
Directiva NIS 2 (2022/2555), Anexa I sectoarele 1, 6, 7, 8
Sectorul 1 Energie include (a) electricitatea, (b) termoficarea și răcirea centralizată, (c) petrolul, (d) gazele, (e) hidrogenul, și acoperă operatorii de sisteme de distribuție, operatorii de sisteme de transport, producătorii și întreprinderile de furnizare a energiei. Sectorul 6 Apă potabilă acoperă furnizorii și distribuitorii de apă destinată consumului uman. Sectorul 7 Apă uzată acoperă întreprinderile care colectează, elimină sau tratează apa uzată urbană, menajeră sau industrială. Sectorul 8 Infrastructură digitală include furnizorii de rețele publice de comunicații electronice și de servicii de comunicații electronice disponibile publicului.
Un singur Stadtwerk care operează o rețea de electricitate, furnizează apă potabilă, tratează apă uzată și operează o rețea municipală de fibră optică atinge patru sectoare diferite din această listă. Fiecare activitate declanșează NIS 2 în mod independent.
Articolul 2(1) NIS 2 + Recomandarea 2003/361/CE + KRITIS-Verordnung
Prezenta directivă se aplică entităților publice sau private de un tip menționat în Anexa I sau Anexa II care se califică drept întreprinderi mijlocii în temeiul articolului 2 din anexa la Recomandarea 2003/361/CE, sau care depășesc plafoanele pentru întreprinderi mijlocii prevăzute la alineatul (1) din respectivul articol.
Testul de mărime este mijlociu sau mai mare (cel puțin 50 de angajați, sau peste 10 milioane de euro cifră de afaceri și bilanț). KRITIS-Verordnung stabilește praguri separate, specifice sectorului, pentru regimul german KRITIS: de exemplu 100.000 de racorduri în distribuția de electricitate, sau peste 22 de milioane de metri cubi de furnizare de apă potabilă pe an. Pragurile KRITIS nu condiționează NIS 2.
§28 BSIG (Germania)
Besonders wichtige Einrichtungen und wichtige Einrichtungen sind natürliche oder juristische Personen oder rechtlich unselbständige Organisationseinheiten einer Gebietskörperschaft, die einer der in den Anlagen 1 oder 2 genannten Einrichtungsarten zuzuordnen sind und die Schwellenwerte nach Artikel 2 der Empfehlung 2003/361/EG erreichen oder überschreiten.
§28 BSIG este poarta germană de intrare în domeniul de aplicare NIS 2. Anexa 1 enumeră tipurile 'besonders wichtige' (esențiale), Anexa 2 enumeră tipurile 'wichtige' (importante). Un Stadtwerk care depășește un prag KRITIS pe cel puțin o activitate este și 'Betreiber einer Kritischen Anlage' și se încadrează pe această bază în categoria mai strictă 'besonders wichtige'.
Ce activități din Anexa I derulați?
Parcurgeți lista. Electricitate (producție, distribuție, furnizare). Termoficare sau răcire centralizată. Gaze. Apă potabilă. Apă uzată. Rețea sau serviciu public de comunicații electronice. Dacă operați chiar și una dintre acestea ca Stadtwerk, sectorul respectiv intră. Enumerați-le pe toate, pentru că fiecare are nevoie ca măsurile de control să fie aplicate sistemelor care îl operează.
Sunteți cel puțin o întreprindere mijlocie?
Cel puțin 50 de angajați, sau peste 10 milioane de euro cifră de afaceri și bilanț. Aplicați testul entității juridice, nu fiecărei unități de activitate. Stadtwerke se află aproape întotdeauna peste acest prag odată ce luați împreună operarea rețelei, apa și apa uzată. Sub prag, există excepții înguste pentru unele sectoare, dar nu pentru energie sau apă.
Depășiți un prag KRITIS-Verordnung?
Specific sectorului. Distribuția de electricitate: 100.000 de clienți finali racordați. Apă potabilă: 22 de milioane de metri cubi pe an. Apă uzată: 500.000 de echivalenți locuitori. Dacă depășiți orice prag pe orice activitate, KRITIS se aplică activității respective, în plus față de NIS 2. Regimul KRITIS aduce obligații de audit mai stricte (audit independent o dată la trei ani, §65 BSIG) și raportare suplimentară.
O entitate juridică este o entitate NIS 2
Dacă unitățile dumneavoastră de activitate de electricitate, apă, apă uzată și telecomunicații se află în cadrul aceleiași GmbH, GmbH este entitatea NIS 2. O înregistrare la BSI. Un registru de riscuri care acoperă întreaga OT și IT din toate sectoarele. Un organ de conducere care semnează. Împărțirea activității NIS 2 între unitățile de operare nu împarte obligația. Doar face coordonarea mai dificilă.
NIS 2 nu este același lucru cu KRITIS
Depășirea pragului KRITIS adaugă un regim. Nu înlocuiește NIS 2. Nedepășirea pragului KRITIS elimină regimul KRITIS, dar nu elimină NIS 2. Domeniul de aplicare al §28 BSIG se află sub KRITIS și peste 'prea mic ca să conteze'. Stadtwerke se încadrează aproape întotdeauna în această bandă chiar și când rețeaua lor are sub 100.000 de racorduri.
BSI / §28 BSIG și KRITIS-Verordnung
BSI este autoritatea pentru latura cibernetică a energiei, apei și apei uzate. Operează portalul de înregistrare §33 BSIG, acceptă notificările de incidente semnificative conform §32 BSIG și publică ghiduri specifice sectorului (Branchenspezifische Sicherheitsstandards) pentru Energie, Wasser și Abwasser. Dacă Stadtwerk-ul dumneavoastră este și KRITIS, la BSI depuneți dovezile auditului trienal.
Bundesnetzagentur
Dacă Stadtwerk-ul dumneavoastră operează o rețea sau un serviciu public de comunicații electronice (o filială municipală de fibră optică, de exemplu), Bundesnetzagentur este autoritatea de reglementare a sectorului. Obligațiile cibernetice din §28 BSIG trec în continuare prin BSI, dar stratul specific telecomunicațiilor se află la Bundesnetzagentur.
Ghidul tehnic de implementare ENISA
TIG-ul ENISA explică cum să implementați măsurile de control din articolul 21 în toate sectoarele. Sectoarele 1, 6 și 7 din Anexa I sunt acoperite explicit. Munca existentă conform ISO 27001 sau NIST CSF 2.0 se mapează prin tabelul de mapare TIG, astfel încât un Stadtwerk care derulează deja un ISMS pentru o unitate de activitate pornește cu un avans la celelalte.
Regii municipale în altă parte
Alte state membre transpun NIS 2 cu un domeniu de aplicare în mare măsură comparabil pentru regiile municipale: Austria prin NISG, Țările de Jos prin Cyberbeveiligingswet, Belgia prin NIS2-Wet. Lista sectoarelor este identică (Anexa I este drept al UE). Ce diferă: cu ce autoritate discutați și cum este programat ciclul de audit.
Suntem un Stadtwerk din sectorul public, deținut de oraș, deci NIS 2 nu se aplică.
Anexa I nu exceptează entitățile din sectorul public. Se aplică în mod explicit 'entităților publice sau private'. Faptul că GmbH este deținut de oraș, de un holding sau de acționari privați nu schimbă testul de sector. Singura excepție îngustă din sectorul public în NIS 2 este pentru funcțiile de securitate națională și apărare, nu pentru operarea utilităților.
Suntem sub pragul KRITIS, deci nu suntem în domeniul de aplicare.
Pragurile KRITIS condiționează regimul KRITIS, nu NIS 2. Un Stadtwerk cu 60.000 de racorduri de electricitate este sub pragul KRITIS de 100.000, deci ciclul de audit mai strict nu se aplică. Același Stadtwerk este în continuare o entitate NIS 2 conform §28 BSIG, cu întregul catalog de măsuri din articolul 21, înregistrarea și obligațiile de raportare a incidentelor.
Fiecare unitate de utilitate își gestionează propria conformitate NIS 2.
În cadrul unei singure entități juridice există o singură obligație NIS 2. O înregistrare. O semnătură a organului de conducere. Un registru de riscuri care trebuie să acopere OT și IT din toate sectoarele. Tratarea fiecărei unități de activitate ca un siloz separat de conformitate produce muncă suprapusă, lacune la îmbinări și o poveste de audit care nu se ține.
Un Stadtwerk tipic cu 200 de angajați, o rețea de electricitate cu 60.000 de clienți, o furnizare de apă potabilă de aproximativ 8 milioane de metri cubi pe an și o mică filială de fibră optică se află fără echivoc în domeniul de aplicare NIS 2 prin sectoarele 1, 6, 7 și 8 din Anexa I. Testul de mărime este trecut cu ușurință. Pragurile KRITIS nu sunt atinse, deci obligațiile de audit din §65 BSIG nu se aplică, dar obligațiile din §28 BSIG se aplică.
Registrul de riscuri din §30 trebuie să acopere OT și SCADA pentru electricitate, apă și apă uzată într-un singur loc. Raportarea incidentelor din §32 trece prin BSI. Înregistrarea din §33 este o singură depunere pentru întreaga societate. Dacă depășiți și un prag KRITIS pe orice activitate, clasificarea dumneavoastră conform §28 urcă la 'besonders wichtige Einrichtung' și intervine pe deasupra auditul KRITIS trienal.
Verificarea aplicabilității vă conduce direct prin cazul cu o singură entitate multisectorială. Bifați fiecare activitate din Anexa I pe care o derulează Stadtwerk-ul dumneavoastră, platforma le agregă în raport cu testul de mărime și vă spune în ce categorie §28 BSIG vă încadrați și dacă vreo activitate aduce și KRITIS.
Modulul de active surprinde inventarul OT și IT din toate subsectoarele într-un singur loc. Registrul de riscuri se află deasupra acelui inventar unic, astfel încât un plan de tratare aplicat unui sistem de control SCADA la stația de apă și camerei de control a rețelei se află unul lângă altul, nu în două bibliorafturi de conformitate separate.
- Directiva (UE) 2022/2555 (NIS 2), Anexa I sectoarele 1, 6, 7 și 8. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Directiva (UE) 2022/2555 (NIS 2), Articolul 2(1). eur-lex.europa.eu/eli/dir/2022/2555/oj
- Recomandarea 2003/361/CE a Comisiei privind definiția microîntreprinderilor și a întreprinderilor mici și mijlocii
- Legea BSI (BSIG), §28 (Anwendungsbereich) și §33 (Registrierung) astfel cum a fost modificată prin Legea de implementare a NIS2 și de consolidare a securității cibernetice
- KRITIS-Verordnung (BSI-Kritisverordnung). praguri specifice sectorului pentru Energie, Wasser și Abwasser
- Ghidurile de sector BSI pentru Energie, Wasser și Abwasser (Branchenspezifische Sicherheitsstandards)