Anhang I Sektor 2

NIS 2 pro sektor dopravy

Příloha I sektor 2 pokrývá čtyři podsektory. Bezpečnostní regulace nenahrazuje NIS 2.

Simon OrzelSimon Orzel·

Proč je doprava v NIS 2

Směrnice NIS 2 považuje dopravu za sektor s vysokou kritičností. Příloha I sektor 2 uvádí čtyři podsektory: leteckou, železniční, vodní a silniční. Každý jmenuje své vlastní kategorie subjektů, takže regionální letecká společnost, provozovatel stanice, přístavní správa a provozovatel řízení silničního provozu spadají do téhož sektoru podle různých bodů.

Právní vrstvou, která rozhoduje o tom, kdo je v rozsahu, je směrnice EU plus národní transpozice. V Německu je to BSIG. Sektoroví regulátoři jako Luftfahrt-Bundesamt, Eisenbahn-Bundesamt a Bundesamt für Seeschifffahrt und Hydrographie si ponechávají své stávající bezpečnostní pravomoci. BSI je příslušným orgánem pro kybernetické povinnosti podle NIS 2 a pracuje vedle těchto regulátorů, nikoli místo nich.

Test velikosti v čl. 2 odst. 1 rozhoduje, zda je subjekt vůbec v rozsahu. Jakmile v něm je, povinnosti podle čl. 21 (opatření k řízení rizik) a čl. 23 (hlášení incidentů) platí bez ohledu na to, do kterého podsektoru subjekt patří. Prováděcí nařízení pro digitální podsektory dopravu nepokrývá; doprava spadá pod obecný rámec čl. 21 se sektorovými pokyny od ENISA.

Právní kotva
Nejprve směrnice, pak národní zákon. Prahy KRITIS jsou v Německu extra vrstvou pro větší subjekty.

Směrnice EU

Sector 2: Transport. (a) Air transport, (b) Rail transport, (c) Water transport, (d) Road transport.

Směrnice (EU) 2022/2555, příloha I, sektor 2. Každé písmeno uvádí své vlastní kategorie subjektů (letečtí dopravci a řídící orgány letišť; správci infrastruktury, železniční podniky a provozovatelé stanic; dopravci vnitrozemskou, námořní a pobřežní vodní cestou a řídící orgány přístavů; silniční orgány a provozovatelé inteligentních dopravních systémů).

Prováděcí akty EU

Commission Implementing Regulation (EU) 2024/2690 applies to specific digital infrastructure entities. Transport is not in scope of that regulation.

Povinnosti pro dopravu vyplývají přímo z čl. 21 směrnice plus z případných národních prováděcích pravidel. ENISA zveřejňuje sektorové pokyny, ale dnes neexistuje žádné prováděcí nařízení Komise, které by na úrovni EU stanovilo podrobné technické požadavky pro dopravu.

Národní transpozice (Německo)

Annex 1 of the BSIG mirrors Annex I sector 2 of the Directive. The size test in section 28 BSIG follows Article 2(1).

Německo transponuje NIS 2 prostřednictvím BSIG. BSI je příslušným orgánem. Sektorově specifická bezpečnostní regulace podle Luftverkehrsgesetz, Allgemeines Eisenbahngesetz a Seeaufgabengesetz zůstává v platnosti a běží paralelně.

Tři prvky, které rozhodují, zda jste v rozsahu
Shoda podsektoru, práh velikosti, volitelná vrstva KRITIS.
Příloha I sektor 2

Shoda s kategorií podsektoru

Letecká doprava pokrývá letecké dopravce používané pro komerční účely, řídící orgány letišť a subjekty provozující doplňková zařízení v rámci letišť, dále provozovatele řízení provozu poskytující služby řízení letového provozu. Železniční doprava pokrývá správce infrastruktury a železniční podniky včetně provozovatelů zařízení služeb. Vodní doprava pokrývá společnosti vnitrozemské, námořní a pobřežní osobní a nákladní vodní dopravy, řídící orgány přístavů a provozovatele služeb řízení provozu plavidel. Silniční doprava pokrývá silniční orgány odpovědné za řízení provozu a provozovatele inteligentních dopravních systémů.

Čl. 2 odst. 1

Splňte test velikosti

Počítá se střední nebo velký podnik: 50 nebo více zaměstnanců, nebo roční obrat a bilanční suma nad 10 milionů eur. Menší subjekty mohou stále spadat do rozsahu tam, kde platí výjimky podle čl. 2 odst. 2, například jediný poskytovatel základní služby v členském státě.

BSI-KritisV (Německo)

KRITIS je extra vrstva

BSI-KritisV stanoví kvantitativní prahy pro každý podsektor pro to, co se v Německu počítá jako kritické zařízení. Dosažení prahu KRITIS přidává povinnosti pro zařízení specifická pro KRITIS. Jeho nedosažení neodstraňuje základní povinnost podle NIS 2, pokud je subjekt střední nebo velký v kategorii sektoru 2.

Jak doprava sedí vedle bezpečnosti
Kybernetické povinnosti se přidávají nad rámec stávajícího bezpečnostního dohledu; nenahrazují jej.

Bezpečnost provozu a kybernetika jsou různé pruhy

Letecká, železniční, vodní a silniční doprava již spadají pod náročné bezpečnostní režimy (EASA, ERA, IMO, pravidla pro vozidla a infrastrukturu). NIS 2 přidává povinnosti pro informační a komunikační systémy používané k provozu služby. Sektorový bezpečnostní regulátor si ponechává svůj pruh. Příslušný orgán pro NIS 2 se dívá na to, jak subjekt řídí rizika, dodávky, incidenty a kontinuitu pro své IT a OT.

Kontinuita je praktickou zkouškou

Pro NIS 2 je důležité, zda provozovatel dokáže udržet službu v chodu a oznámit správnému orgánu, když se něco pokazí. Čl. 21 jmenuje rodiny opatření (správa a řízení, rizika, dodavatelský řetězec, zvládání incidentů, kontinuita činností, kryptografie, řízení přístupu, školení, správa aktiv). Čl. 23 stanoví časový plán oznamování (24h včasné varování, 72h oznámení incidentu, finální zpráva do 1 měsíce).

S kým mluvíte
BSI je orgánem pro NIS 2 v Německu. Sektoroví regulátoři zůstávají zapojeni. ENISA poskytuje pokyny.
Německo

Bundesamt für Sicherheit in der Informationstechnik

BSI je příslušným orgánem pro NIS 2 podle BSIG. Registrace, opatření k řízení rizik podle §30 a oznámení incidentů podle §32 jdou na BSI. Sektoroví bezpečnostní regulátoři (Luftfahrt-Bundesamt, Eisenbahn-Bundesamt, Bundesamt für Seeschifffahrt und Hydrographie, Bundesanstalt für Straßenwesen) spolupracují s BSI, ale nenahrazují jej u kybernetických povinností podle NIS 2.

Německo

Bundesnetzagentur a sektorové překryvy

Bundesnetzagentur je orgánem pro NIS 2 pro telekomunikace. Doprava se s telekomunikacemi překrývá pouze tam, kde subjekt zároveň provozuje veřejné komunikační sítě. Pro čistou dopravu je BSI jedinou adresou pro NIS 2. Pro zařízení KRITIS běží stávající ohlašovací kanál KRITIS paralelně dál.

EU

ENISA

ENISA zveřejňuje sektorové pokyny a přehled hrozeb pro dopravu. Její práce informuje národní orgány a normalizační orgány, ale nevydává závazná pravidla. Pro konkrétní pokyny k dopravě čtěte zprávy ENISA plus pravidla EASA Part-IS pro letectví a rezoluci IMO MSC.428(98) pro námořní oblast jako sousední režimy.

Tři věci, které se pokazí
Běžné předpoklady, které při bližším pohledu selžou.

  • Naše bezpečnostní certifikace pokrývá kybernetiku.

    Bezpečnostní režimy (EASA, ERA, IMO a národní ekvivalenty) pokrývají bezpečnost provozu a stále více zahrnují bezpečnostní prvky (například EASA Part-IS). Nesplňují povinnosti podle čl. 21 a čl. 23 NIS 2. Orgán pro NIS 2 je samostatný, rozsah je širší a hodiny pro oznámení incidentu jsou jiné.

  • Pokryty jsou jen letecké společnosti a letiště.

    V rozsahu jsou všechny čtyři podsektory. Správci železniční infrastruktury, železniční podniky a provozovatelé stanic spadají do 2(b). Vnitrozemští, námořní a pobřežní dopravci, řídící orgány přístavů a provozovatelé služeb řízení provozu plavidel spadají do 2(c). Silniční orgány pro řízení provozu a provozovatelé inteligentních dopravních systémů spadají do 2(d). Regionální autobusový orgán nebo přístavní správa jsou v sektoru 2 stejně jako vlajkový dopravce.

  • Jsme pod prahem KRITIS, takže se na nás NIS 2 nevztahuje.

    Prahy KRITIS v BSI-KritisV jsou samostatnou národní vrstvou pro velmi velká zařízení. Test velikosti podle NIS 2 je stanoven v čl. 2 odst. 1 a je obecně mnohem nižší. Provozovatel stanice s 60 zaměstnanci a obratem 12 milionů eur je pod většinou prahů KRITIS a přesto je jednoznačně v rozsahu NIS 2.

Co hlásí praktici

Výklad, který od provozovatelů dopravy slyšíme nejčastěji, je ten, že NIS 2 dopadá na organizaci již formovanou bezpečnostním právem. Týmy IT a OT mluví s jiným regulátorem než bezpečnostní tým a oba rozhovory musí zůstat sladěny. Opatření podle čl. 21 (správa a řízení, rizika, dodavatelský řetězec, zvládání incidentů, kontinuita činností, kryptografie, řízení přístupu, školení, správa aktiv) nejsou nové myšlenky, ale hloubka dokumentace a krok registrace jsou.

Čl. 21 odst. 1 vyžaduje opatření, která jsou vhodná a přiměřená, s ohledem na stav techniky, náklady na zavedení a expozici subjektu. To dává malé přístavní správě jinou úroveň než národnímu železničnímu provozovateli. Zdokumentujte odůvodnění proporcionality tak, aby je posuzovatel mohl sledovat.

Co platforma dělá pro dopravní subjekty

Platforma strukturuje opatření podle čl. 21 jako jeden registr povinností a umožňuje provozovatelům dopravy vést jejich spis NIS 2 vedle stávající bezpečnostní dokumentace. Inventář aktiv (základ RSK), registr dodavatelů, pracovní postup pro incidenty, schválení v rámci správy a řízení a záznamy o školení sedí na jednom místě a vytvářejí důkazy, které BSI hledá.

Bezplatná úroveň zahrnuje vše, co provozovatel potřebuje k registraci podle NIS 2 v Německu a k provozu základních povinností. Žádná úroveň neuzamyká žádnou požadovanou funkci.

Primární zdroje
  • Směrnice (EU) 2022/2555 (NIS 2), příloha I sektor 2, Doprava
  • Směrnice (EU) 2022/2555, čl. 2 (rozsah a test velikosti), čl. 21 (opatření k řízení rizik), čl. 23 (hlášení incidentů)
  • BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik), příloha 1 sektor 2; §28, §30, §32
  • BSI-Kritisverordnung (BSI-KritisV), sektorově specifické prahy pro dopravu
  • Přehled hrozeb ENISA pro dopravu (nejnovější vydání)
  • Prováděcí nařízení EASA (EU) 2023/203 (Part-IS) pro bezpečnost letectví
  • Rezoluce IMO MSC.428(98) o řízení kybernetických rizik v námořní dopravě
Zkontrolujte svou aplikovatelnost
Dvě minuty, bez registrace.
Spustit kontrolu aplikovatelnosti