Directive NIS 2 : ce que les exploitants de parcs éoliens et d’éoliennes doivent savoir dès maintenant

Cet article met en lumière les personnes concernées dans l’industrie éolienne, les secteurs et les installations qui entrent dans le champ d’application et les exigences qui découlent de la directive. Ce faisant, nous nous référons de manière significative à la déclaration de l’Association allemande de l’énergie éolienne (BWE) de juillet 2024 sur le projet de loi de la BMI.

1. Qui est concerné par la directive NIS 2 ?

La directive s’applique à toutes les entreprises qui services critiques dans des secteurs spécifiques et fournir un taille de l’entreprise. En particulier, les éléments suivants sont cruciaux :

• Affiliation sectorielle (comme la production d’électricité)
  
• la taille de l’entreprise (par exemple, le nombre d’employés, le chiffre d’affaires annuel, total du bilan)
  
• l’importance de l’établissement (classé comme « important » ou institution « particulièrement importante »)
  

Classification des entreprises

La loi d’exécution allemande distingue :

• « Installations particulièrement importantes » : une grande importance pour le Sécurité d’approvisionnement et criticité informatique.
  
• « Institutions importantes » : moins critiques, mais toujours pertinentes pour des fonctions sociales.
  

Les entreprises d’énergie éolienne sont couvertes par la s’ils :

• Exploitants de centrales électriques (§ 3 n° 18d EnWG),
  
• Services pour ces opérateurs (par exemple, systèmes SCADA, gestion opérationnelle),
  
• Processus informatiques avec accès externe (par exemple, télécommande, transmission de données).
  

Spécial Défi pour les sociétés d’exploitation

Dans l’industrie éolienne, il est courant que les parcs éoliens peuvent être scindés en sociétés indépendantes (par ex. GmbH & Co. KG). À elles seules, ces entreprises ne sont généralement pas couvertes par la réglementation, car ils sont trop petits. Toutefois, l’article 28 du projet de loi dispose : que, dans le cas des sociétés affiliées , le nombre d’employés et le chiffre d’affaires peuvent être attribués à la société mère au prorata, à condition qu’il n’y ait pas d’indépendance .

En pratique, ces filiales sont mais souvent totalement dépendants des systèmes informatiques de la société mère, ce qui entraîne – même s’ils n’ont eux-mêmes aucun contrôle sur l’informatique avoir.

2. Lequel Des secteurs sont touchés ?

La directive NIS 2 s’applique aux établissements de 18 secteurs, répartis en deux catégories :

2.1 Secteurs à forte criticité (« institutions particulièrement importantes »)

Il s’agit notamment de :

• l’énergie (électricité, y compris production, transport et distribution d’électricité)
  
• Infrastructure numérique
  
• Transport
  
• Finance et Assurance
  

2.2 Autres secteurs critiques (« entités clés »)

Il s’agit notamment de :

• Fabrication de composants pour Technologie énergétique
  
• Gestion des déchets
  
• Services postaux et de messagerie
  
• Produits chimiques, alimentation, santé
  

Pour l’industrie éolienne Pertinent:

• Exploitants de centrales électriques
  
• Prestataires de services informatiques dans le domaine de la Systèmes SCADA, surveillance de l’état, logiciels de gestion des opérations
  
• Entreprises avec accès au contrôle à distance de plantes
  

3. Lequel Y a-t-il des exigences ?

3.1 Mesures techniques et organisationnelles

Les entreprises concernées doivent mettre en œuvre des mesures de gestion des risques conformément à l’article 30 du projet de loi. Il s’agit notamment de :

• Concepts d’évaluation des risques et Sécurité informatique
  
• Assurer la continuité des activités (p. ex., sauvegardes, plans d’urgence)
  
• Accès et contrôles d’accès
  
• la formation des employés et Vérification du personnel
  
• Gestion des incidents de sécurité
  

Particularité du industrie éolienne : exploitants qui exécutent des tâches au opérateurs externes ou prestataires de services informatiques, le mise en œuvre de ces mesures.

3.2 Certification en cybersécurité

Le paragraphe 6 de l’article 30 du projet de loi prévoit une Obligation de certifier les produits, services et processus TIC avant – sur la base des systèmes européens conformément à l’article 49 du règlement (UE) 2019/881. Cette obligation concerne :

• des produits tels que les contrôleurs de parcs éoliens, Systèmes SCADA
  
• Logiciel de gestion des opérations
  
• Solutions d’accès à distance
  

À l’heure actuelle, la réglementation concrète fait toujours défaut et les calendriers – c’est pourquoi l’incertitude est élevée parmi les entreprises. Le BWE demande que des éclaircissements soient mis en place rapidement afin que les entreprises puissent commencer à mettre en œuvre pouvoir.

3.3 Obligations en matière de rapports

Les installations doivent être conscientes des incidents de sécurité dans les délais définis :

• Dans les 24 heures : Alerte précoce
  
• Dans les 72 heures : rapport détaillé
  
• Dans les 30 jours : Rapport final
  

Ces obligations ne s’appliquent qu’à la « affecté ».

4. Défis pratiques pour l’industrie éolienne

Démarcation peu claire de consternation

La principale critique de l’BWE concerne la définition peu claire de « l’indépendance ». Si une société d’exploitation ne dispose de ses propres systèmes informatiques, mais est formellement couverte par la loi, La mise en œuvre n’est guère réaliste. C’est pourquoi l’Office des droits de l’homme exige :

• Une vision différenciée de Filiales
  
• Pas d’obligation pour les entreprises sans Influence de facto sur la sécurité informatique
  
• Démarcation claire entre l’opérateur et Responsables informatiques
  

Interface à la loi sur l’industrie nette zéro

Dans le cadre du Net Zero Industry Act (NZIA), la cybersécurité sera également utilisée comme critère de préqualification pour appels d’offres . Par conséquent, le BWE propose que le NIS 2 aux exigences de la NZIA. Objectif : Appels d’offres ne devrait être accordée qu’aux fournisseurs qui utilisent des systèmes informatiques sécurisés – et ce, sur une base européenne.

5. Dates limites et dispositions transitoires

• Entreprises assujetties à la nouvelle réglementation, les exigences doivent être respectées dans les 3 ans suivant Prouver l’entrée en vigueur.
  
• La date limite remplace plus tôt, plus stricte (par exemple tous les deux ans).
  
• Il reste à savoir si et comment périodes transitoires pour les obligations de certification.
  

6. Qu’est-ce que Que faire maintenant ?

Actions recommandées pour Participants:

• Faites une auto-évaluation : Votre entreprise relève-t-elle de la Catégories NIS-2 ?
  
• Analyser les risques informatiques : quels sont les systèmes critiques ? Lequel Accès?
  
• Vérification des contrats : les prestataires de services peuvent-ils garantir le respect de la Exigences?
  
• Mettre en place une formation des employés : Sensibiliser à la cybersécurité est obligatoire.
  
• Cherchez à entrer en contact avec des associations : Restez connecté via le BWE ou d’autres Les associations professionnelles informent sur les réglementations futures.
  

Résultat

La directive SRI 2 introduit une nouvelle dimension dans la cybersécurité de l’industrie éolienne. De nombreux opérateurs, Les prestataires de services et les sociétés de gestion sont – directement ou indirectement – être touché. L’incertitude actuelle concernant le béton est particulièrement critique ainsi que les possibilités pratiques de mise en œuvre Filiales sans accès informatique propre.

Il est donc d’autant plus important d’agir à un stade précoce faire face aux nouvelles exigences, examiner les processus et Se préparer à temps aux obligations de certification et de rapport. Le Les législateurs ont le devoir d’apporter de la clarté, mais aussi de veiller à ce que la Les entreprises doivent agir maintenant.