NIS2 para empresas de logística y transporte
El transporte está clasificado en el anexo I de NIS2, que abarca el transporte por carretera, ferrocarril, vías navegables y aéreo. Si su empresa de logística tiene más de 50 empleados, esto es lo que exige el BSIG y por dónde empezar.
¿Por qué se aplica NIS2 a las empresas de logística?
La logística es la columna vertebral de la economía física. Un ciberataque que paraliza a un gran proveedor de logística no solo afecta a una empresa, sino que interrumpe las cadenas de suministro de decenas o cientos de clientes. El ataque NotPetya de 2017 costó solo a Maersk más de 300 millones de euros e interrumpió el transporte marítimo mundial durante semanas. La UE clasificó el transporte en el anexo I (sectores de alta criticidad) porque las interrupciones logísticas se propagan en cascada por toda la economía.
NIS2 abarca todos los modos de transporte: transporte de mercancías por carretera, transporte ferroviario, vías navegables interiores, transporte marítimo y carga aérea. Las empresas que alcanzan el umbral de tamaño (más de 50 empleados o más de 10 millones de euros de facturación) entran en el ámbito de aplicación. Las grandes empresas (más de 250 empleados) en los sectores del anexo I se clasifican como entidades esenciales. Las medianas empresas (50-249 empleados) son entidades importantes (wichtige Einrichtungen). Ambas afrontan el conjunto completo de obligaciones de NIS2.
Las empresas de logística modernas funcionan sobre sistemas de TI interconectados. Los sistemas de gestión del transporte (TMS) orquestan los envíos. La gestión de flotas rastrea los vehículos en tiempo real. Los sistemas de gestión de almacenes (WMS) controlan el inventario y la preparación de pedidos. Las unidades telemáticas de los camiones transmiten datos de posición, velocidad, temperatura y conductor. Si cualquiera de estos sistemas falla, las operaciones se detienen o se vuelven peligrosamente ineficientes. NIS2 le exige identificar estas dependencias y gestionar los riesgos de ciberseguridad de forma sistemática.
Sistema de gestión del transporte (TMS)
El sistema central para la planificación de envíos, la gestión de transportistas, la optimización de rutas y la facturación del flete. Los sistemas habituales incluyen SAP TM, Oracle Transportation Management, Transporeon o CargoWise. Si el TMS se cae, no puede planificar ni despachar envíos. Una entrada de activo.
Gestión de flotas y telemática
Seguimiento GPS, diagnóstico de vehículos, registro de horas de conducción (integración con el tacógrafo digital), gestión de combustible y seguimiento de rutas. Las unidades telemáticas de cada vehículo transmiten datos de forma continua. Sistemas como Webfleet, Trimble, Samsara o soluciones específicas de flotas. Un compromiso podría suponer la pérdida de visibilidad de los vehículos, la manipulación de los registros del conductor o el seguimiento no autorizado. Agrupar como un activo.
Sistema de gestión de almacenes (WMS)
Gestión de inventario, optimización de la preparación de pedidos, recepción y expedición de mercancías, e integración con el TMS y el ERP. Puede incluir escáneres de código de barras/RFID, sistemas automatizados de almacenamiento y recuperación, y controles de cintas transportadoras. Sistemas como SAP EWM, Manhattan Associates o Korber. Si el WMS falla, las operaciones de almacén vuelven a procesos manuales a una fracción del rendimiento normal.
Sistema ERP y financiero
Gestión de clientes, administración de contratos, facturación, compras e informes financieros. Habitualmente SAP, Microsoft Dynamics o Sage. En logística, el ERP a menudo se integra estrechamente con el TMS para la facturación y los portales de clientes. Un compromiso afecta a los ingresos, las relaciones con los clientes y los informes financieros. Una entrada de activo.
Infraestructura de red
La red que conecta oficinas, almacenes y la telemática de los vehículos. Incluye enlaces WAN entre ubicaciones, conexiones VPN para trabajadores móviles y conductores, Wi-Fi en los almacenes y conexiones móviles para la telemática de la flota. Las empresas de logística suelen tener redes distribuidas en muchas ubicaciones; la infraestructura de cada sede debe documentarse. Agrupar por tipo de sede.
Endpoints y dispositivos móviles
PC de oficina, terminales de almacén, escáneres de mano, tabletas de conductores y smartphones. La logística tiene una mayor proporción de dispositivos móviles y reforzados que la mayoría de los sectores. Incluya la gestión de dispositivos móviles (MDM) si la utiliza. Grundschutz permite agrupar: '60 escáneres de mano de almacén' es una entrada. Incluya también las tabletas de conductores como una entrada agrupada aparte.
1. Registrarse ante el BSI
Complete su registro conforme al artículo 33 BSIG. El transporte es un sector del anexo I, por lo que las grandes empresas se enfrentan a una supervisión proactiva del BSI. El registro lleva de 30 a 60 minutos a través de muk.bsi.bund.de. Si el plazo ha vencido, regístrese de inmediato: la sanción por no registrarse es de hasta 500.000 euros.
2. Construir su inventario de activos
Mapee su TMS, su gestión de flotas, su WMS, su ERP y la infraestructura de apoyo. Para cada sistema, documente qué hace, dónde se ejecuta, quién lo gestiona y qué ocurre si no está disponible durante 4 horas (la logística es sensible al tiempo). Preste especial atención a la telemática: decenas o cientos de dispositivos conectados sobre el terreno representan una superficie de ataque singular.
3. Establecer la notificación de incidentes
La logística opera con horarios ajustados. Un ciberataque que retrasa los envíos incluso unas pocas horas puede tener consecuencias contractuales y financieras. Defina qué cuenta como incidente significativo, establezca la cadena de notificación al BSI (24h/72h/1 mes) y cree procedimientos internos de escalado que tengan en cuenta el carácter 24/7 de las operaciones logísticas. Incluya escenarios de fin de semana y de turno de noche.
4. Documentar las relaciones con proveedores
Las empresas de logística dependen en gran medida de TI de terceros: TMS alojado en la nube, proveedores SaaS de telemática, socios EDI y plataformas de transportistas. Documente cada proveedor de TI, a qué datos accede y a qué medidas de seguridad se compromete. Es probable que su proveedor de TMS tenga más acceso a sus datos operativos que cualquier empleado individual. Inclúyalos en su evaluación de seguridad de la cadena de suministro conforme al artículo 30(2)(4) BSIG.
5. Revisar los controles de acceso
La logística tiene una plantilla distribuida: personal de oficina, trabajadores de almacén, conductores y despachadores, cada uno con necesidades de acceso a sistemas distintas. Implante controles de acceso basados en roles, exija MFA para el acceso remoto y administrativo, y asegúrese de que las cuentas de conductores y trabajadores temporales se desactivan con prontitud cuando finaliza el empleo. Las cuentas compartidas en los terminales de almacén son habituales, pero deberían sustituirse por inicios de sesión individuales siempre que sea factible.
Las empresas de logística operan uno de los entornos de TI más distribuidos de cualquier sector. Los activos no están en un solo edificio: se reparten entre oficinas, almacenes, centros de distribución y cientos de vehículos en carretera. Cada camión con una unidad telemática es un endpoint conectado. Cada escáner de almacén es un dispositivo en su red. Esta huella distribuida hace que la seguridad perimetral tradicional sea menos eficaz y aumenta la importancia de la gestión de dispositivos, la segmentación de red y los controles de acceso basados en la identidad.
La sensibilidad al tiempo de la logística crea un reto singular de respuesta a incidentes. En una empresa de fabricación, quizá pueda tolerar una interrupción de sistema de 24 horas. En logística, 4 horas de caída del TMS significan ventanas de entrega perdidas, penalizaciones contractuales y retrasos en cascada. Su plan de respuesta a incidentes tiene que tener esto en cuenta: ¿qué procedimientos manuales de respaldo existen? ¿Pueden los despachadores enrutar los envíos por teléfono? ¿Pueden las operaciones de almacén continuar con preparación de pedidos en papel? Estas cuestiones de continuidad del negocio son tan importantes como el plan técnico de recuperación.
Las empresas de logística también están profundamente integradas con los sistemas de sus clientes y transportistas mediante EDI (intercambio electrónico de datos), conexiones API y plataformas compartidas. Una brecha de seguridad en su empresa puede propagarse a los clientes a través de estas conexiones, y viceversa. Su evaluación de seguridad de la cadena de suministro debería cubrir no solo a sus proveedores de TI, sino también las conexiones electrónicas con sus socios comerciales. Asegurar estas interfaces (autenticación adecuada, transmisión cifrada, validación de entradas) es a la vez un requisito de NIS2 y una medida de protección del negocio.
Preguntas frecuentes
Somos una empresa de transporte de mercancías por carretera con 80 camiones. ¿Somos esenciales o importantes?
El transporte por carretera entra en el anexo I (sectores de alta criticidad). Si su empresa tiene 250 empleados o más, es una entidad esencial con supervisión proactiva del BSI. Con 50 a 249 empleados, es una entidad importante con supervisión reactiva. Con 80 camiones, probablemente tenga entre 100 y 150 empleados (conductores, despachadores, almacén, oficina). Compruebe su plantilla total frente al umbral: el conjunto completo de obligaciones de NIS2 se aplica en cualquier caso.
¿Se consideran 'activos' bajo NIS2 las unidades telemáticas de nuestros camiones?
Sí. Cualquier sistema que dé soporte a sus servicios de transporte críticos es un activo. Las unidades telemáticas transmiten datos en tiempo real de ubicación, velocidad, temperatura (para transporte refrigerado) y horas de conducción. Son dispositivos conectados en su red. Agrúpelas como una entrada de activo: por ejemplo, '80 unidades telemáticas Webfleet' en lugar de 80 entradas separadas. Los riesgos clave son: acceso no autorizado a los datos de seguimiento del vehículo, manipulación de los registros del tacógrafo y posible uso como punto de entrada a la red.
Usamos un TMS basado en la nube. ¿Es problema nuestro o del proveedor?
De ambos, pero la obligación legal es suya. Conforme al artículo 30 BSIG, puede externalizar las operaciones, pero no la responsabilidad. Su proveedor de TMS en la nube es un proveedor crítico conforme al artículo 30(2)(4). Debe: documentar al proveedor en su evaluación de seguridad de la cadena de suministro, incluir requisitos de ciberseguridad en el contrato, verificar que el proveedor tiene medidas de seguridad adecuadas (certificaciones, informes de auditoría, compromisos de notificación de incidentes) y disponer de un plan de contingencia por si el proveedor sufre una brecha o una caída.
¿Cómo se relaciona NIS2 con la Ley de Datos de Movilidad de la UE y los reglamentos del tacógrafo digital?
NIS2, la Ley de Datos de Movilidad y los reglamentos del tacógrafo (UE 165/2014) son marcos jurídicos distintos que se solapan en materia de seguridad de los datos. Los reglamentos del tacógrafo exigen un registro a prueba de manipulaciones de los datos del conductor. La Ley de Datos de Movilidad aborda las obligaciones de intercambio de datos. NIS2 añade la capa de gestión de la ciberseguridad: asegurar los sistemas de TI que procesan y transmiten estos datos. El cumplimiento de NIS2 refuerza su posición en los tres, porque un entorno de TI bien asegurado protege la integridad de los datos regulados.