W czasach stale postępującej i obejmującej coraz to więcej obszarów cyfryzacji, cyberbezpieczeństwo w firmie transportowej staje się bardzo ważnym tematem. Stąd też konieczność nowelizacji dyrektywy NIS 1 i zastąpienia jej dyrektywą NIS 2, stanowiącej odpowiedź m.in. na nowe cyberzagrożenia, które pojawiły się na horyzoncie wraz z postępującą transformacją. Co jako przewoźnik powinieneś wiedzieć w tym przedmiocie? Czy dyrektywa NIS 2 dotyczy również Twojej firmy transportowej?
NIS 2 to dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148.
Ustanawia ona środki mające na celu osiągnięcie wysokiego, wspólnego poziomu cyberbezpieczeństwa w całej Unii w sektorach uznawanych za krytyczne dla funkcjonowania państw i gospodarek.
Potrzeba ta zrodziła się w związku z bardzo szybko postępującą transformacją cyfrową, a co się z tym wiąże – także zmianą krajobrazu cyberzagrożeń. Niestety, uprzednio obowiązująca dyrektywa NIS 1 (dyrektywa nr 2016/1148) przestała nadążać w swoich rozwiązaniach za aktualnymi wyzwaniami i potrzebami, a dodatkowo dawała ona państwom członkowskim stosunkowo spory margines swobody w odniesieniu do wdrażania ustanowionych w niej obowiązków dotyczących bezpieczeństwa i zgłaszania incydentów. W rezultacie doprowadziło to do tego, że obowiązki te zostały wdrożone na poziomie krajowym w bardzo różny sposób.
Odpowiedzią na powyższe problemy ma być właśnie dyrektywa NIS 2, z transportem jako jednym z kluczowych, wyodrębnionych w niej sektorów. Mimo że dla firm transportowych podleganie przepisom dyrektywy NIS 2 nie jest nowością, ponieważ obowiązek ten występował także w dyrektywie NIS 1, to jednak na skutek nowelizacji, o specjalne standardy cyberbezpieczeństwa muszą dbać teraz również inne, nowe sektory, klasyfikowane jako „ważne” i „kluczowe”. Należą do nich m.in. dostawcy publicznej komunikacji elektronicznej, firmy kurierskie czy podmioty zajmujące się gospodarką odpadami i ściekami.
NIS2 transport – cyberbezpieczeństwo w firmie transportowej
Transport to nie tylko jeden z najważniejszych sektorów gospodarki, ale i jeden z naczelnych sektorów podlegających szeroko rozumianej cyfryzacji. Jest w dodatku jednym z obszarów najbardziej podatnych na skutki cyberzagrożeń. Intensywna cyfryzacja transportu – obejmująca zarówno systemy logistyczne, zarządzanie flotą, jak i inteligentną infrastrukturę transportową – sprawia, że bezpieczeństwo cyfrowe staje się nie tylko kwestią techniczną, ale strategiczną.
Ogromne uzależnienie od systemów IT i OT, rosnące znaczenie automatyzacji i zdalnego zarządzania infrastrukturą, wysoka podatność na manipulację danymi lokalizacyjnymi oraz konsekwencje incydentów mogące zagrozić płynności dostaw czy bezpieczeństwu publicznemu powodują, że sektor transportu nieprzypadkowo został wymieniony jako podmiot kluczowy w dyrektywie NIS 2 (załącznik I).
NIS2 transport – czy każda firma transportowa podlega dyrektywie?
Jako przewoźnik na pewno zastanawiasz się, czy Ty również musisz dostosować się do postanowień dyrektywy NIS 2. Czy powinieneś dbać w sposób szczególny o cyberbezpieczeństwo w firmie transportowej?
W tym przypadku głównym kryterium kwalifikującym Cię jako adresata unijnych przepisów jest wielkość Twojego przedsiębiorstwa i obszar świadczonych usług.
Dyrektywę NIS 2 stosuje się co do zasady względem podmiotów publicznych lub prywatnych, o których mowa w załączniku I lub II tejże dyrektywy, które kwalifikują się jako średnie przedsiębiorstwa na podstawie art. 2 załącznika do zalecenia 2003/361/WE lub które przekraczają pułapy dla średnich przedsiębiorstw oraz które świadczą usługi lub prowadzą działalność w Unii.
*Decyzją Ministerstwa Cyfryzacji jest jednak możliwe objęcie dyrektywą NIS także małych przedsiębiorstw i mikroprzedsiębiorstw, ale tylko wtedy, gdy zostaną spełnione dodatkowe, specjalne kryteria.
Obowiązki przewoźnika NIS2
Jeśli na mocy dyrektywy NIS 2 klasyfikujesz się jako podmiot kluczowy lub ważny, Twoim obowiązkiem jest wprowadzenie odpowiednich, proporcjonalnych środków:
- technicznych,
- operacyjnych i
- organizacyjnych
w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych do prowadzenia działalności lub świadczenia usług, zapobiegania wpływowi incydentów na odbiorców ich usług lub na inne usługi oraz minimalizowania takiego wpływu.
Przy ocenie proporcjonalności powyższych środków powinieneś wziąć pod uwagę: stopień narażenia firmy na ryzyko, wielkość przedsiębiorstwa i prawdopodobieństwo wystąpienia incydentów oraz ich dotkliwość, w tym ich skutki społeczne i gospodarcze.
Stosowane środki powinny obejmować elementy takie jak:
- politykę analizy ryzyka i bezpieczeństwa systemów informatycznych,
- obsługę incydentu,
- ciągłość działania, np. zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej,
- bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami,
- bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie,
- podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa.
Do obowiązków przewoźnika wynikających z NIS 2 należy także zgłoszenie osób lub organów odpowiedzialnych w firmie za zatwierdzanie środków zarządzania ryzykiem w cyberbezpieczeństwie, ich nadzorowanie i wdrażanie. Na wyznaczonych osobach lub organach spoczywa w dodatku odpowiedzialność za ewentualne naruszenia dyrektywy NIS 2 bądź niewywiązanie się z nakładanych powinności.
Jak przygotować firmę transportową na nowe wymogi w zakresie cyberbezpieczeństwa?
Nieprzestrzeganie przepisów dyrektywy NIS 2 w transporcie będzie spotykać się z dotkliwymi, administracyjnymi karami pieniężnymi, których wysokość jest uzależniona od tego, czy naruszenia dopuszcza się podmiot określany jako kluczowy, czy jako ważny.
Dla podmiotów kluczowych kary za naruszenie art. 21 i art. 23 dyrektywy NIS wynoszą co najmniej 10 milionów euro lub co najmniej 2% łącznego rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa, do którego należy podmiot kluczowy.
Podmioty ważne powinny z kolei przygotować się na kary w maksymalnej wysokości co najmniej 7 milionów euro lub 1,4 % łącznego rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa, do którego należy podmiot ważny.
Jak w takim razie przygotować swoją firmę transportową na nowe wymogi w zakresie cyberbezpieczeństwa? Samodzielne zadbanie o te kwestie jest zadaniem trudnym. Jeśli Twoje przedsiębiorstwo jest klasyfikowane jako kluczowe lub ważne na mocy dyrektywy NIS 2, zapraszamy Cię dlatego do kontaktu z naszą kancelarią transportową LEGALTRANS.
Podczas spotkania krok po kroku zapoznamy Cię ze wszystkimi najważniejszymi obowiązkami wynikającymi z dyrektywy NIS 2, które ciążą na Tobie, jako właścicielu firmy przewozowej. Następnie wyjaśnimy Ci, jakie działania z zakresu cyberbezpieczeństwa powinieneś wdrożyć w swoim przedsiębiorstwie, uwzględniając jego wielkość czy prawdopodobieństwo wystąpienia incydentów.
