Cyfryzacja branży TSL jest procesem nieuniknionym. Nabiera tempa dzięki wprowadzeniu nowych regulacji prawnych. Inicjatywy, takie jak NIS2, Krajowy System e-Faktur oraz e-doręczenia, mają na celu poprawę bezpieczeństwa i efektywności operacyjnej w sektorze TSL. Ale czy faktycznie tak jest? Jaki jest wpływ tych regulacji na branżę? Jakie są cyberzagrożenia? A jakie obowiązki wynikające z regulacji? Wreszcie, co czeka firmy za ich nieprzestrzeganie?
Rośnie liczba ataków na polskie firmy transportowe
W pierwszym kwartale 2024 roku miały miejsce cyberataki na polskie firmy transportowe Autostrada Wielkopolska S.A. i Gdańsk Transport Company, przeprowadzone przez prorosyjską grupę NoName057(16).
Nie są to jednak sytuacje wyjątkowe. Puls Biznesu donosi, że od rosyjskiej inwazji na Ukrainę odnotowano 70 cyberataków na polskie firmy transportowe i logistyczne.
Co więcej, z raportu “The Blue Report 2023” wynika, że niemal 3/4 firm transportowych doświadczyło jakiejś formy cyberataków. Niepokoić nas jednak powinien fakt, że efektywność stosowanych przez nie zabezpieczeń wynosi jedynie 65%.
Na jakie cyberzagrożenia narażone są firmy transportowe?
Sektor TSL mierzy się z różnymi rodzajami cyberataków.
Zgodnie z raportem przygotowanym przez ENISA głównymi typami ataków są:
- Ataki na systemy płatności – coraz więcej transakcji odbywa się online, co czyni systemy płatności atrakcyjnym celem dla cyberprzestępców. Mogą prowadzić do kradzieży danych płatniczych klientów oraz manipulacji systemami płatności.
- Ataki typu ransomware – przykładem jest atak wirusa Petya w 2017 roku na duńską firmę transportową Maersk, który sparaliżował systemy zarządzania flotą i przyjmowania zleceń.
- Ataki na systemy zarządzania ruchem i inteligentne pojazdy – wraz ze wzrostem liczby podłączonych urządzeń IoT w transporcie, rośnie obszar do ataków.
- Kradzież danych – cyberprzestępcy są zainteresowani cennymi danymi o trasach podróży, preferencjach klientów czy ładunkach, które mogą wykorzystać np. do działalności przemytniczej lub terrorystycznej.
Branża transportowa jest szczególnie narażona na cyberzagrożenia takie jak phishing, malware, ransomware, a także ataki typu DDoS. A to tylko niektóre z zagrożeń, z którymi musimy się mierzyć każdego dnia
mówi Łukasz Grajcar, prezes Imex Logistics
Robert Sobczyk, dyrektor ds. rozwoju oprogramowania w Betacom, dodaje, że największym wyzwaniem jest edukacja pracowników i świadomość zagrożeń.
A przykłady ataków na firmy transportowe, takie jak atak na Mærsk w 2017 roku, pokazują skalę problemu i konieczność wprowadzenia odpowiednich środków ochronnych.
Wirus sparaliżował działalność firmy i spowodował straty w wysokości 300 milionów dolarów
wspomina Justyna Świeboda, prezes Polskiego Instytutu Transportu Drogowego
Dyrektywa NIS2 – Co to jest i kogo dotyczy?
NIS2 ustanawia nowe ramy dla cyberbezpieczeństwa w Unii Europejskiej.
Agnieszka Wachowska, radczyni prawna i partner w kancelarii TKP, wyjaśnia, że dyrektywa NIS2 wprowadza system samoidentyfikacji, co oznacza, że firmy same muszą sprawdzić, czy podlegają pod tę dyrektywę i zgłosić się odpowiednim organom.
Dyrektywa NIS2 obejmuje szeroki zakres sektorów, w tym transport, który jest kluczowym elementem. Nie tylko dla branży TSL, ale całej gospodarki. Firmy muszą wdrożyć odpowiednie środki zarządzania ryzykiem oraz systemy raportowania incydentów.
Nowością w NIS2 jest system samoidentyfikacji, co oznacza, że firmy same muszą sprawdzić, czy podlegają pod tę dyrektywę i zgłosić się odpowiednim organom. Podmioty muszą przeprowadzić ocenę ryzyka, wdrożyć odpowiednie zabezpieczenia
wyjaśnia Agnieszka Wachowska
NIS2 – kiedy?
Implementacja dyrektywy w Polsce ma nastąpić do 17 października 2024 roku.
Kary za nieprzestrzeganie postanowień dyrektywy NIS2
Nieprzestrzeganie postanowień dyrektywy NIS2 wiąże się z poważnymi konsekwencjami. Firmy mogą być obłożone karami sięgającymi do 10 milionów euro lub 2% rocznego obrotu.
W kwalifikowanych przypadkach kara może wynosić nawet do 100 milionów złotych. Dodatkowo, kary mogą być nakładane na zarządy firm, co podkreśla konieczność ścisłego przestrzegania przepisów.
Podmioty muszą być przygotowane na kontrolę i kary za niewypełnienie obowiązków
podkreśla Wachowska
Krajowy System e-Faktur (KSeF) i jego implikacje
KSeF z kolei ma na celu uproszczenie procesów fakturowania i poprawę przejrzystości transakcji. Od lutego 2026 roku dla dużych firm i od kwietnia 2026 roku dla mniejszych przedsiębiorstw, KSeF stanie się obowiązkowy.
Choć warto dodać, że wdrożenie tego systemu wiąże się z ciągłymi przesunięciami, więc terminy te wcale nie są ostateczne.
Wracając jednak do meritum, Robert Sobczyk wyjaśnia, że system ten pozwoli na automatyzację obiegu faktur. Ale również niesie ze sobą ryzyko związane z bezpieczeństwem danych.
Co więcej, data sprzedaży na fakturze będzie zależna od momentu przesłania jej do systemu KSeF, co może wprowadzić pewne komplikacje skarbowe
zauważa Łukasz Grajcar
KSeF vs NIS2 – centralizacja vs bezpieczeństwo
Czy zbiór wszystkich wrażliwych informacji firmowych w jednym miejscu jest rozsądny? Uczestnicy webinaru zastanowili się nad tym. Zwłaszcza w kontekście dyrektywy, która nakazuje rozwagę w zbieraniu i udostępnianiu informacji. Nie musi być tu jednak sprzeczności.
KSeF i NIS2 mają różne cele. Mogą jednak współdziałać w kwestii zapewnienia bezpieczeństwa danych. KSeF powinien wdrożyć środki bezpieczeństwa zgodne z wymogami NIS2, aby zapewnić ochronę przed nieautoryzowanym dostępem i cyberatakami.
Implementacja dyrektywy NIS2 w KSeF może pomóc w zapewnieniu, że system ten będzie bezpieczny, niezawodny i odporny na zagrożenia cybernetyczne. Jak to jednak wyjdzie w praktyce? Zobaczymy.
E-doręczenia jako element cyfryzacji
E-doręczenia stanowią kolejny krok w kierunku cyfryzacji branży TSL.
Prezeska AC Porath, podkreśla, że automatyzacja procesów logistycznych dzięki e-doręczeniom znacząco poprawia efektywność i redukuje błędy.
Automatyzacja procesów logistycznych dzięki e-doręczeniom znacząco poprawia efektywność i redukuje błędy. Przykład wdrożenia e-doręczeń w naszej firmie pokazuje, jak wiele korzyści można uzyskać, zwiększając jednocześnie bezpieczeństwo przesyłanych danych
mówi Joanna Porath
Wpływ regulacji na transformację sektora TSL
Nowe regulacje prawne, takie jak dyrektywa NIS2, KSeF i e-doręczenia, mają znaczący wpływ na cyfryzację branży transportowo-logistycznej.
Dr inż Justyna Świeboda podkreśla, że wprowadzenie tych regulacji jest nieuniknione i konieczne, aby zapewnić bezpieczeństwo i efektywność w sektorze TSL.
Firmy muszą proaktywnie podejść do wdrożenia nowych regulacji, inwestując w cyberbezpieczeństwo i technologie informatyczne
mówi prezes Polskiego Instytutu Transportu Drogowego
Przygotowanie się na zmiany jest kluczowe, aby uniknąć problemów w przyszłości
podkreśla Łukasz Matuszak, architekt IT w Betacom
Wyzwania finansowe dla firm
Dla wielu firm, zwłaszcza małych i średnich przedsiębiorstw, wprowadzenie nowych regulacji prawnych oznacza konieczność poniesienia znacznych kosztów na wdrożenie odpowiednich środków zarządzania ryzykiem i systemów raportowania incydentów.
Wdrożenie tych regulacji oznacza dla wielu firm konieczność poniesienia znacznych kosztów, co może być szczególnie trudne dla małych i średnich przedsiębiorstw
podkreśla Łukasz Grajcar
Konsekwencje nieprzestrzegania regulacji mogą być poważne, nie tylko w formie kar finansowych, ale również w postaci reputacyjnych strat i utraty zaufania klientów.
Dodatkowo, dla całego sektora transportowego w Polsce, wprowadzenie tych regulacji może prowadzić do zwiększenia kosztów operacyjnych, co może wpłynąć na konkurencyjność firm na rynku międzynarodowym.
Podsumowanie
Przyszłość cyfryzacji w branży TSL zależy od skutecznego wdrożenia regulacji takich jak dyrektywa NIS2, KSeF i e-doręczenia. Firmy muszą przygotować się na zmiany, inwestując w odpowiednie środki zarządzania ryzykiem, edukację pracowników oraz technologie informatyczne.
Jak podkreśla Agnieszka Wachowska, regulacje te pomogą branży działać w sposób bezpieczny i efektywny, a przygotowanie się na zmiany jest kluczowe, aby uniknąć problemów w przyszłości.
Kluczowe jest wdrożenie zaawansowanych zabezpieczeń, regularne audyty i testy bezpieczeństwa oraz edukacja pracowników w zakresie cyberbezpieczeństwa, aby zmniejszyć ryzyko ataków.