NIS2 pro logistické a dopravní společnosti
Doprava je zařazena pod přílohu I NIS2 a zahrnuje silniční, železniční, vodní a leteckou dopravu. Pokud má vaše logistická společnost 50 a více zaměstnanců, zde je, co BSIG vyžaduje a kde začít.
Proč se NIS2 vztahuje na logistické společnosti?
Logistika je páteří fyzické ekonomiky. Kybernetický útok, který zastaví velkého logistického poskytovatele, nepostihne jen jednu společnost. Naruší dodavatelské řetězce desítek nebo stovek klientů. Útok NotPetya z roku 2017 stál samotný Maersk přes 300 milionů eur a na týdny narušil světovou lodní dopravu. EU zařadila dopravu pod přílohu I (odvětví vysoké kritičnosti), protože výpadky logistiky se kaskádovitě šíří celou ekonomikou.
NIS2 pokrývá všechny druhy dopravy: silniční nákladní dopravu, železniční dopravu, vnitrozemskou vodní dopravu, námořní lodní dopravu a leteckou nákladní dopravu. Do působnosti spadají společnosti splňující velikostní prahy (50 a více zaměstnanců nebo obrat nad 10 milionů eur). Velké společnosti (250 a více zaměstnanců) v odvětvích přílohy I jsou zařazeny jako základní subjekty. Střední společnosti (50 až 249 zaměstnanců) jsou důležité subjekty (wichtige Einrichtungen). Obojí čelí plné sadě povinností NIS2.
Moderní logistické společnosti běží na propojených IT systémech. Systémy řízení dopravy (TMS) řídí zásilky. Správa vozového parku sleduje vozidla v reálném čase. Systémy řízení skladu (WMS) řídí zásoby a vychystávání. Telematické jednotky v nákladních vozech přenášejí polohu, rychlost, teplotu a data o řidiči. Pokud kterýkoli z těchto systémů selže, provoz se zastaví nebo se stane nebezpečně neefektivním. NIS2 vyžaduje, abyste tyto závislosti identifikovali a systematicky řídili kybernetická rizika.
Systém řízení dopravy (TMS)
Ústřední systém pro plánování zásilek, správu dopravců, optimalizaci tras a fakturaci přepravného. Mezi běžné systémy patří SAP TM, Oracle Transportation Management, Transporeon nebo CargoWise. Pokud TMS spadne, nemůžete plánovat ani odbavovat zásilky. Jedna položka aktiva.
Správa vozového parku a telematika
GPS sledování, diagnostika vozidel, evidence pracovní doby řidičů (integrace digitálního tachografu), správa paliva a sledování tras. Telematické jednotky v každém vozidle přenášejí data nepřetržitě. Systémy jako Webfleet, Trimble, Samsara nebo řešení specifická pro vozový park. Kompromitace by mohla znamenat ztrátu přehledu o vozidlech, manipulaci se záznamy o řidičích nebo neoprávněné sledování. Sdružte jako jedno aktivum.
Systém řízení skladu (WMS)
Správa zásob, optimalizace vychystávání, příjem a výdej zboží a integrace s TMS a ERP. Může zahrnovat čtečky čárových kódů / RFID, automatizované zakladačové systémy a řízení dopravníků. Systémy jako SAP EWM, Manhattan Associates nebo Korber. Pokud WMS selže, skladové operace přejdou na ruční postupy se zlomkem běžné propustnosti.
Systém ERP a financí
Správa zákazníků, administrace smluv, fakturace, nákup a finanční výkaznictví. Běžně SAP, Microsoft Dynamics nebo Sage. V logistice se ERP často těsně integruje s TMS pro fakturaci a zákaznické portály. Kompromitace ovlivní tržby, vztahy se zákazníky a finanční výkaznictví. Jedna položka aktiva.
Síťová infrastruktura
Síť propojující kanceláře, sklady a telematiku vozidel. Zahrnuje WAN spoje mezi lokalitami, VPN připojení pro mobilní pracovníky a řidiče, Wi-Fi ve skladech a mobilní připojení pro telematiku vozového parku. Logistické společnosti mají často distribuované sítě napříč mnoha lokalitami. Infrastruktura každé lokality by měla být zdokumentována. Sdružte podle typu lokality.
Koncové body a mobilní zařízení
Kancelářské PC, skladové terminály, ruční čtečky, tablety řidičů a chytré telefony. Logistika má vyšší podíl mobilních a odolných zařízení než většina odvětví. Zahrňte správu mobilních zařízení (MDM), pokud se používá. Grundschutz umožňuje sdružování: "60 ručních skladových čteček" je jedna položka. Zahrňte také tablety řidičů jako samostatnou sdruženou položku.
1. Zaregistrujte se u BSI
Dokončete svou registraci podle § 33 BSIG. Doprava je odvětvím přílohy I, takže velké společnosti čelí proaktivnímu dohledu BSI. Registrace zabere 30 až 60 minut přes muk.bsi.bund.de. Pokud lhůta uplynula, zaregistrujte se okamžitě. Pokuta za neregistraci je až 500 000 eur.
2. Sestavte soupis aktiv
Zmapujte svůj TMS, správu vozového parku, WMS, ERP a podpůrnou infrastrukturu. U každého systému zdokumentujte, co dělá, kde běží, kdo ho spravuje a co se stane, pokud bude nedostupný po dobu 4 hodin (logistika je časově citlivá). Zvláštní pozornost věnujte telematice. Desítky nebo stovky připojených zařízení v terénu představují jedinečnou útočnou plochu.
3. Zaveďte hlášení incidentů
Logistika funguje na napjatých harmonogramech. Kybernetický útok, který zpozdí zásilky byť o pár hodin, může mít smluvní a finanční důsledky. Definujte, co se počítá jako významný incident, zaveďte hlásicí řetězec k BSI (24 h / 72 h / 1 měsíc) a vytvořte interní eskalační postupy, které počítají s nepřetržitou povahou logistických operací. Zahrňte scénáře pro víkendy a noční směny.
4. Zdokumentujte vztahy s dodavateli
Logistické společnosti se silně spoléhají na IT třetích stran: cloudově hostované TMS, telematické SaaS poskytovatele, EDI partnery a platformy dopravců. Zdokumentujte každého IT dodavatele, k jakým datům přistupuje a jaká bezpečnostní opatření se zavazuje dodržovat. Váš poskytovatel TMS má pravděpodobně větší přístup k vašim provozním datům než kterýkoli jednotlivý zaměstnanec. Zahrňte je do posouzení bezpečnosti dodavatelského řetězce podle § 30 odst. 2 bodu 4 BSIG.
5. Přezkoumejte řízení přístupu
Logistika má rozptýlenou pracovní sílu: kancelářský personál, skladníky, řidiče a dispečery. Každý potřebuje jiný přístup k systémům. Zaveďte řízení přístupu na základě rolí, vynucujte MFA pro vzdálený a administrativní přístup a zajistěte, aby účty řidičů a dočasných pracovníků byly neprodleně deaktivovány při ukončení zaměstnání. Sdílené účty na skladových terminálech jsou běžné, ale tam, kde je to proveditelné, by měly být nahrazeny individuálními přihlášeními.
Logistické společnosti provozují jedno z nejvíce distribuovaných IT prostředí ze všech odvětví. Aktiva nejsou v jedné budově. Jsou rozprostřena přes kanceláře, sklady, distribuční centra a stovky vozidel na silnici. Každý nákladní vůz s telematickou jednotkou je připojený koncový bod. Každá skladová čtečka je zařízení na vaší síti. Tato distribuovaná stopa činí tradiční perimetrovou bezpečnost méně účinnou a zvyšuje význam správy zařízení, segmentace sítě a přístupu založeného na identitě.
Časová citlivost logistiky vytváří jedinečnou výzvu pro reakci na incidenty. Ve výrobní společnosti možná snesete 24hodinový výpadek systému. V logistice 4 hodiny výpadku TMS znamenají promeškaná okna pro doručení, smluvní pokuty a kaskádovitá zpoždění. Váš plán reakce na incidenty musí počítat s tímto: jaké ruční záložní postupy existují? Mohou dispečeři směrovat zásilky telefonem? Mohou skladové operace pokračovat s papírovým vychystáváním? Tyto otázky kontinuity provozu jsou stejně důležité jako plán technické obnovy.
Logistické společnosti jsou také hluboce integrovány se systémy svých zákazníků a dopravců prostřednictvím EDI (Electronic Data Interchange), API spojení a sdílených platforem. Bezpečnostní průnik u vaší společnosti se může těmito spojeními rozšířit k zákazníkům a naopak. Vaše posouzení bezpečnosti dodavatelského řetězce by mělo pokrýt nejen vaše IT dodavatele, ale i elektronická spojení s vašimi obchodními partnery. Zabezpečení těchto rozhraní (řádné ověřování, šifrovaný přenos, validace vstupů) je jak požadavkem NIS2, tak opatřením na ochranu podniku.
Často kladené otázky
Jsme silniční nákladní dopravce s 80 nákladními vozy. Jsme základní, nebo důležití?
Silniční doprava spadá pod přílohu I (odvětví vysoké kritičnosti). Pokud má vaše společnost 250 a více zaměstnanců, jste základní subjekt s proaktivním dohledem BSI. S 50 až 249 zaměstnanci jste důležitý subjekt s reaktivním dohledem. S 80 nákladními vozy máte pravděpodobně 100 až 150 zaměstnanců (řidiči, dispečeři, sklad, kancelář). Porovnejte svůj celkový počet zaměstnanců s prahem. Plný rozsah povinností NIS2 platí v obou případech.
Považují se telematické jednotky našich nákladních vozů za "aktiva" podle NIS2?
Ano. Jakýkoli systém, který podporuje vaše kritické dopravní služby, je aktivem. Telematické jednotky přenášejí data o poloze v reálném čase, rychlosti, teplotě (u chlazené přepravy) a pracovní době řidiče. Jsou to připojená zařízení na vaší síti. Sdružte je jako jednu položku aktiva. Například "80 telematických jednotek Webfleet" namísto 80 samostatných položek. Klíčová rizika jsou: neoprávněný přístup k datům o sledování vozidel, manipulace se záznamy tachografu a možné využití jako vstupní bod do sítě.
Používáme cloudový TMS. Je to náš problém, nebo poskytovatele?
Obojí, ale právní povinnost je vaše. Podle § 30 BSIG můžete outsourcovat provoz, ale ne odpovědnost. Váš poskytovatel cloudového TMS je kritickým dodavatelem podle § 30 odst. 2 bodu 4. Musíte: zdokumentovat poskytovatele ve svém posouzení bezpečnosti dodavatelského řetězce, zahrnout požadavky kybernetické bezpečnosti do smlouvy, ověřit, že poskytovatel má odpovídající bezpečnostní opatření (certifikace, auditní zprávy, závazky k oznamování incidentů), a mít pohotovostní plán pro případ, že poskytovatel utrpí průnik nebo výpadek.
Jak NIS2 souvisí s nařízením EU o datech v mobilitě a s předpisy o digitálních tachografech?
NIS2, nařízení o datech v mobilitě a předpisy o tachografech (EU 165/2014) jsou samostatné právní rámce, které se překrývají v oblasti zabezpečení dat. Předpisy o tachografech vyžadují záznam dat o řidiči odolný proti manipulaci. Nařízení o datech v mobilitě řeší povinnosti sdílení dat. NIS2 přidává vrstvu řízení kybernetické bezpečnosti: zabezpečení IT systémů, které tato data zpracovávají a přenášejí. Shoda s NIS2 posiluje vaši pozici u všech tří, protože dobře zabezpečené IT prostředí chrání integritu regulovaných dat.