Autor: Zespół Ekspertów PITD

Czy Transport, Logistyka i Spedycja muszą wdrożyć NIS 2?

Unia Europejska zauważyła rosnące uzależnienie od technologii cyfrowych, zwłaszcza w branżach o krytycznym znaczeniu dla gospodarki. Chodzi o energetykę, ochronę zdrowia czy finanse. Ale też o transport. Tak duża zależność od technologii naraża kluczowe przedsiębiorstwa na cyberataki. Dlatego Rada Unii Europejskiej przyjęła dyrektywę NIS-2. Ma ona zwiększyć odporność firm na cyberzagrożenia. Dokument zastępuje dyrektywę NIS z 2016 roku. Oznacza to, że nakłada na państwa członkowskie obowiązek włączenia nowych przepisów do prawa krajowego. Zostało niewiele czasu, bo już tylko do 17 października 2024 roku.

27 marca 2023 r. International Data Corporation (IDC) wskazała, że „ciągłe zakłócenia i dynamiczny krajobraz zagrożeń skłoniły organizacje europejskie do ponownego przemyślenia swojej odporności cybernetycznej i proaktywnego zapewnienia, że ich organizacja utrzymuje dobrą higienę cybernetyczną.” 

Ta i wiele innych obserwacji przyczyniły się do aktualizacji prawodawstwa europejskiego w kontekście gospodarczego cyberbezpieczeństwa. Ale co to ma wspólnego z TSL?

Co to jest NIS 2?

Regulacja NIS 2 to unijne prawo dotyczące zarządzania ryzykiem cybernetycznym. Regulacja ta obejmuje szereg zasad i wymagań dotyczących bezpieczeństwa cybernetycznego, w tym obowiązek zgłaszania incydentów, określone wymogi dotyczące ochrony infrastruktury krytycznej, współpracę między państwami członkowskimi w zakresie zwalczania cyberzagrożeń, a także odpowiednie środki wdrożeniowe i sankcje w przypadku naruszenia przepisów.

Po co wdrażać ten standard?

Poprzez jednolite standardy i procedury bezpieczeństwa rozporządzenie NIS 2 ma na celu wzmocnienie odporności sektora usług kluczowych na cyberataki, ochronę danych konsumentów, stabilność systemu finansowego i innych usług kluczowych dla gospodarki i społeczeństwa UE.

Rozszerzenie obowiązywania dla podmiotów MŚP

W porównaniu z NIS, zakres obowiązywania drugiej wersji dyrektywy został istotnie poszerzony o dodatkowe sektory gospodarki. Nowe prawo wprowadza również kryterium wielkości podmiotu. Dzięki niemu, możemy wyraźnie określić, które podmioty podlegają regulacji, a które nie. 

->  TRENDOWNIA 2023 – PITD partnerem medialnym konferencji

NIS 2 dotyczy wszystkich podmiotów działających w sektorach gospodarki, które są uznawane za średnie lub duże przedsiębiorstwa. 

Kto musi wdrożyć NIS 2?

Regulacja NIS 2 obejmuje szeroki zakres podmiotów, które są kluczowe dla stabilności społecznej i gospodarczej Unii Europejskiej. 

Należą do nich m.in.:

Kluczowi operatorzy usług (OUK)

Organizacje oferujące usługi niezbędne do utrzymania ważnej działalności społecznej i gospodarczej. 

Dostawcy usług cyfrowych (DUC)

Firmy działające legalnie i oferujące różne usługi cyfrowe, w tym wyszukiwarki, usługi przetwarzania w chmurze i platformy handlowe.

Podmioty kluczowe i ważne

NIS 2 ustanawia wymóg wielkości, który ustanawia nowe kategorie podmiotów – kluczowe lub istotne dla stabilności społecznej i gospodarczej Unii Europejskiej.

Podmioty kluczowe to te, które oferują usługi niezbędne dla funkcjonowania gospodarki i społeczeństwa. W rezultacie organizacje te odgrywają kluczową rolę w podstawowej infrastrukturze Unii Europejskiej, a ich działalność bezpośrednio wpływa na bezpieczeństwo i stabilność społeczeństwa. Kluczowe firmy mają obowiązek przestrzegać najsurowszych wytycznych dotyczących bezpieczeństwa sieci i systemów informatycznych. 

Na jakie kluczowe sektory wskazuje dyrektywa?

Europejska NIS 2 wskazuje 10 sektorów, w których działają podmioty kluczowe.

Są nimi: 

  • transport,
  • energetyka,
  • bankowość i infrastruktura rynków finansowych,
  • ochrona zdrowia,
  • woda pitna,
  • ścieki,
  • infrastruktura cyfrowa,
  • zarządzanie usługami ICT,
  • podmioty administracji publicznej oraz
  • przestrzeń kosmiczna.

Na mocy tej dyrektywy utworzono nową kategorię, zwaną podmiotami ważnymi, obejmującą organizacje, których działalność znacząco wpływa na funkcjonowanie społeczeństwa i gospodarki Unii, ale nie spełnia sztywnych wymagań operatorów usług kluczowych. Mimo to organizacje te w dużym stopniu polegają na bezpieczeństwie systemów i sieci informatycznych.

Kto jest kluczowym podmiotem pod kątem cyberbezpieczeństwa dla Unii?

Podmiotami kluczowymi według NIS 2 są średnie przedsiębiorstwa działające w wskazanych sektorach kluczowych oraz średnie lub duże przedsiębiorstwa w sektorach uznanych za istotne zgodnie z NIS 2, obejmujące:

  1. Usługi pocztowe i kurierskie,
  2. Gospodarkę odpadami,
  3. Produkcję, przetwarzanie i dystrybucję chemikaliów,
  4. Produkcję, przetwarzanie i dystrybucję żywności,
  5. Działalność produkcyjną w ogólności,
  6. Dostawców usług cyfrowych,
  7. Instytuty badawcze. 

NIS 2 w sektorze TSL, dlaczego tak ważna?

Ataki cybernetyczne na sektor transportowy mają potencjał zakłócenia lub nawet całkowitego wyłączenia systemów oraz usług, obejmując też systemy rezerwacji w transporcie kolejowym i lotniczym. Mogą także ujawnić lub zablokować dostęp do danych wrażliwych, zagrażać bezpieczeństwu personelu i pasażerów, oraz negatywnie wpłynąć na łańcuchy dostaw we wszystkich branżach. 

Sektor motoryzacyjny też jest ważny, bo zewnętrzni dostawcy łańcucha dostaw odgrywają tam kluczową rolę. Rośnie popularność pojazdów pasażerskich z wbudowaną łącznością. Powoduje to ciągły postęp w technologii samochodowej. Taka sytuacja stwarza ogromne możliwości. Nie tylko dla kierowców. Także dla ataków. Te mogą dotknąć miliony szybko poruszających się pojazdów.

->  Czy polski transport umocni się do 2030 r.? Eksperci komentują

Jakie są wyzwania w związku z NIS 2?

Z badania „Dojrzałość w obszarze cyberbezpieczeństwa sektora transportu w Polsce. Cyberbezpieczeństwo w sektorze transportu w Polsce – czy jesteśmy gotowi na nową dyrektywę NIS 2?” przeprowadzonego przez EY, Ministerstwo Infrastruktury oraz NASK BIP  wynika, że 70% przebadanych operatorów usług kluczowych ma świadomość zmian wprowadzanych przez dyrektywę NIS 2. 

Najważniejszymi wyzwaniami zidentyfikowanymi przez nich są: 

  • zapewnienie niezawodności i bezpieczeństwa cyfrowego sieci i systemów informatycznych, przygotowanie na wystąpienie poważnych incydentów bezpieczeństwa sieci o szerokim zasięgu, 
  • działanie wewnętrznego SOC przez całą dobę, przez cały tydzień, przez cały rok, 
  • ograniczone środki na modernizację i rozbudowę usług, 
  • problemy z zapewnieniem bezpieczeństwa komunikacji sieciowej z powodu rozproszenia organizacji, słaba infrastruktura teleinformatyczna w niektórych regionach 
  • brak inwestycji operatorów telekomunikacyjnych w łącza światłowodowe poza obszarami miejskimi, skuteczna analiza ryzyka
  • odpowiednie zabezpieczenia budżetowe i personalne.

Dlaczego ochrona TSL jest ważna?

Ochrona TSL jest szczególnie ważna ze względu na swoją wrażliwość, ochronę danych oraz zachowanie stabilności dla gospodarki.

Znaczenie dla stabilności gospodarczej

Sektor TSL jest kluczowy dla funkcjonowania gospodarki, ponieważ odpowiada za przemieszczanie towarów i ludzi, co ma wpływ na zrównoważony rozwój oraz efektywność gospodarczą. 

Wrażliwość na cyberzagrożenia

Sektor TSL jest szczególnie podatny na cyberzagrożenia ze względu na intensywną wymianę danych i zależność od systemów informatycznych do zarządzania operacjami, monitorowania floty pojazdów, śledzenia ładunków itp. 

Ochrona danych klientów

Sektor TSL gromadzi dużą ilość danych osobowych i komercyjnych, takich jak dane logistyczne, informacje o trasach i terminach dostaw, dane klientów oraz pracowników. 

Co powinniśmy zrobić w transporcie w związku z NIS 2?

Z wyżej wymienionych powodów, sektor TSL musi wdrożyć niezbędne środki zapobiegawcze, przeprowadzić audyty bezpieczeństwa IT i ustalić protokoły obsługi zdarzeń cybernetycznych, aby zachować zgodność z 

NIS 2. Dzięki temu branża będzie w stanie lepiej wytrzymać potencjał zagrożeń cyberbezpieczeństwa, zwiększając jego stabilność i skuteczność.

Chcesz dowiedzieć się więcej? 

Zapraszamy do uczestniczenia w spotkaniu online poświęconym nowej Dyrektywie NIS 2 oraz optymalnym rozwiązaniom pozwalającym na odpowiednie przygotowanie się do nowych wymagań.

Link do wydarzenia: Cyberbezpieczeństwo a Dyrektywa NIS2. Praktyczne Rozważania

Autorem tekstu jest nasz ekspert, Damian Swoboda.

Hacker lub programista w kapturze, który piszę na klawiaturze i patrzy w ekran monitora.

Subskrybuj nasz NEWSLETTER!

Otrzymuj powiadomienia o nowościach wprost na swoją skrzynkę pocztową!

 

 

Wyrażam zgodę na przetwarzanie przez Polski Instytut Transportu Drogowego oraz partnerów moich danych osobowych w postaci adresu poczty elektronicznej w celu przesyłania mi informacji marketingowych dotyczących produktów i usług oferowanych przez za pomocą środków komunikacji elektronicznej, stosownie do treści przepisu art. 10 ust. 1 i 2 ustawy o świadczeniu usług drogą elektroniczną.

 

Zapisując się na pobranie raportu, wyrażam zgodę na przetwarzanie moich danych osobowych wskazanych w niniejszym formularzu, przez Polski Instytut Transportu Drogowego, dalej jako „Administrator” w celach marketingowych oraz oświadczam, że jestem zainteresowany otrzymaniem informacji o aktualnych produktach i ofertach Administratora, tym samym wyrażając zgodę na przesyłanie przez Administratora na podane dane kontaktowe informacji handlowych, w szczególności w zakresie obejmującym kontakt drogą elektroniczną i/lub telefoniczną.

Administratorem Państwa danych osobowych jest Polski Instytut Transportu Drogowego. Dane osobowe będą przetwarzane w celach niezbędnych do wysłania raportu, a w razie wyrażenia przez Państwa zgody, dane te będą przetwarzane w celach marketingowych, tj. skontaktowania się i przekazania informacji o ofertach i produktach Polski Instytut Transportu Drogowego lub partnerów raportu, tj. Webfleet Solutions Poland Sp. z o.o., Transcash.eu S.A. oraz Trans.eu S.A. Podanie danych osobowych jest dobrowolne, ale niezbędne do wysłania raportu. Podstawa prawna, cel, okres przetwarzania danych osobowych oraz uprawnienia przysługujące, a także inne ważne informacje dotyczące zasad przetwarzania danych osobowych są szczegółowo określone w Polityce prywatności na stronie www.pitd.org.pl, kontakt mailowy: instytut@pitd.org.pl. Zgodę można wycofać w każdym czasie.

 

Wyrażam zgodę na przetwarzanie przez Polski Instytut Transportu Drogowego oraz partnerów moich danych osobowych w postaci adresu poczty elektronicznej w celu przesyłania mi informacji marketingowych dotyczących produktów i usług oferowanych przez za pomocą środków komunikacji elektronicznej, stosownie do treści przepisu art. 10 ust. 1 i 2 ustawy o świadczeniu usług drogą elektroniczną.