Directiva NIS 2: Lo que los operadores de parques eólicos y turbinas eólicas deben saber ahora

Este artículo arroja luz sobre quiénes se ven afectados en la industria eólica, qué sectores e instalaciones entran en el ámbito de aplicación y qué requisitos se derivan de la Directiva. Al hacerlo, nos remitimos significativamente a la declaración de la Asociación Alemana de Energía Eólica (BWE) de julio de 2024 sobre el anteproyecto de ley del BMI.

1. ¿Quién es? afectado por la Directiva NIS 2?

La Directiva se aplica a todas las empresas que: servicios críticos en sectores específicos y proporcionar una tamaño de la empresa. En particular, los siguientes son cruciales:

• Afiliación a un sector (como la generación de energía)
  
• tamaño de la empresa (por ejemplo, número de empleados, volumen de negocios anual, Total del balance)
  
• importancia de la institución (clasificada como "importante" o institución "particularmente importante")
  

Clasificación de las empresas

La Ley de Aplicación alemana distingue:

• "Instalaciones especialmente importantes": gran importancia para la Seguridad de suministro y criticidad informática.
  
• "Instituciones importantes": menos críticas, pero aún relevantes para funciones sociales.
  

Las empresas de energía eólica están cubiertas por el ley si:

• Operadores de plantas de generación de energía (§ 3 n.º 18d EnWG),
  
• Servicios para dichos operadores (por ejemplo, sistemas SCADA, gestión operativa),
  
• Procesos basados en TI con acceso externo (por ejemplo, control remoto, transmisión de datos).
  

Especial Desafío para las empresas operadoras

En la industria eólica, es común que Los parques eólicos pueden escindirse en empresas independientes (p. ej. GmbH & Co. KG). Por lo general, estas empresas por sí solas no están cubiertas por el regulación, ya que son demasiado pequeños. Sin embargo, el artículo 28 del proyecto de ley dispone lo siguiente: que en el caso de las empresas afiliadas , el número de empleados y ventas puede atribuirse a la empresa matriz a prorrata, siempre que no haya independencia .

En la práctica, estas filiales son pero a menudo completamente dependiente de los sistemas informáticos de la empresa matriz, lo que – incluso si ellos mismos no tienen control sobre TI have.

2. Lo cual ¿Los sectores se ven afectados?

La Directiva SRI 2 se aplica a las entidades de 18 sectores, divididos en dos categorías:

2.1 Sectores con alta criticidad ("instituciones de especial importancia")

Entre ellas se encuentran, entre otras:

• energía (electricidad, incluida la generación, transmisión y distribución de energía)
  
• Infraestructura digital
  
• Transporte
  
• Finanzas y Seguros
  

2.2 Otros Sectores críticos («entidades clave»)

Entre ellas se encuentran:

• Fabricación de componentes para Tecnología energética
  
• Gestión de residuos
  
• Servicios postales y de mensajería
  
• Productos químicos, Alimentos, Salud
  

Para la industria eólica pertinente:

• Operadores de plantas de generación de energía
  
• Proveedores de servicios de TI en el ámbito de la Sistemas SCADA, monitorización de condición, software de gestión de operaciones
  
• Empresas con acceso a control remoto de plantas
  

3. ¿Cuál ¿Hay algún requisito?

3.1 Medidas técnicas y organizativas

Las empresas afectadas deben implementar medidas de gestión de riesgos de acuerdo con el artículo 30 del proyecto de ley. Entre ellas se encuentran:

• Conceptos para la evaluación de riesgos y Seguridad informática
  
• Garantizar la continuidad del negocio (por ejemplo, copias de seguridad, planes de contingencia)
  
• Accesos y controles de acceso
  
• capacitación de empleados y Verificación de personal
  
• Gestión de incidentes de seguridad
  

Característica especial para el industria eólica: operadores que realizan tareas en el operadores externos o proveedores de servicios informáticos, la aplicación de estas medidas.

3.2 Certificación de Ciberseguridad

En el párrafo 6 del artículo 30 del proyecto de ley se dispone lo siguiente: Obligación de certificar los productos, servicios y procesos de las TIC antes de: sobre la base de regímenes europeos de conformidad con el artículo 49 del Reglamento (UE) 2019/881. Esta obligación se refiere a:

• productos como controladores de parques eólicos, Sistemas SCADA
  
• Software de gestión de operaciones
  
• Soluciones de acceso remoto
  

En la actualidad, aún faltan las regulaciones concretas y los horarios, por eso la incertidumbre es alta entre las empresas. El BWE pide claridad temprana para que las empresas puedan empezar a aplicar enlatar.

3.3 Obligaciones de información

Las instalaciones deben estar al tanto de los incidentes de seguridad Dentro de los plazos definidos:

• En 24 horas: Alerta temprana
  
• En 72 horas: informe detallado
  
• En un plazo de 30 días: Informe final
  

Estas obligaciones se aplican únicamente a la "afectados".

4. Retos prácticos para la industria eólica

Demarcación poco clara de consternación

La crítica central de la BWE se refiere a la Definición poco clara de "independencia". Si una empresa operadora no sus propios sistemas informáticos, pero está formalmente cubierta por la ley, es La implementación es poco realista. Por lo tanto, el BWE exige:

• Una visión diferenciada de la Subsidiarias
  
• No hay obligación para las empresas sin Influencia de facto en la seguridad informática
  
• Demarcación clara entre el operador y Gerentes de TI
  

Interfaz a la Ley de la Industria Net Zero

En el contexto de la Ley de la Industria Net Zero (NZIA), la ciberseguridad también se utilizará como criterio de precalificación para licitaciones . Por lo tanto, la BWE propone que el NIS 2 Ley de Implementación a los requisitos de la NZIA. Objetivo: Licitaciones solo debe concederse a los proveedores que utilicen sistemas informáticos seguros, y sobre una base en la UE.

5. Plazos y disposiciones transitorias

• Las empresas que están sujetas a la nueva reglamentos, los requisitos deben cumplirse dentro de los 3 años Acreditar la entrada en vigor.
  
• El plazo sustituye al anterior, más estricto requisitos (por ejemplo, cada dos años).
  
• Todavía está abierto si y cómo Períodos transitorios para las obligaciones de certificación.
  

6. ¿Qué es ¿Qué hacer ahora?

Acciones recomendadas para Participantes:

• Haz una autoevaluación: ¿Tu empresa entra dentro de la ¿Categorías NIS-2?
  
• Analice los riesgos de TI: ¿Qué sistemas son críticos? Cuál ¿Accesos?
  
• Comprobación de contratos: ¿Pueden los proveedores de servicios garantizar el cumplimiento de las ¿Requisitos?
  
• Establecer la formación de los empleados: concienciar sobre la ciberseguridad es obligatorio.
  
• Busque el contacto con asociaciones: Manténgase conectado a través de BWE u otro Las asociaciones comerciales informan sobre futuras regulaciones.
  

Resultado

La Directiva SRI 2 introduce una nueva en la ciberseguridad de la industria eólica. Muchos operadores, Los proveedores de servicios y las empresas de gestión son, directa o indirectamente: verse afectado. Particularmente crítica: la incertidumbre actual sobre el hormigón afectados, así como las posibilidades prácticas de aplicación Filiales sin acceso informático propio.

Esto hace que sea aún más importante tomar medidas en una etapa temprana hacer frente a los nuevos requisitos, revisar los procesos y Prepárese a tiempo para las obligaciones de certificación y presentación de informes. El Los legisladores tienen el deber de aportar claridad, pero también de garantizar que la Las empresas deben actuar ya.