NIS2 per le aziende di logistica e trasporti
Il trasporto è classificato nell'allegato I di NIS2, che copre il trasporto su strada, ferroviario, per vie d'acqua e aereo. Se la vostra azienda di logistica ha 50+ dipendenti, ecco cosa richiede il BSIG e da dove iniziare.
Perché NIS2 si applica alle aziende di logistica?
La logistica è la spina dorsale dell'economia fisica. Un attacco cibernetico che ferma un grande fornitore di logistica non colpisce solo un'azienda: interrompe le catene di approvvigionamento di decine o centinaia di clienti. L'attacco NotPetya del 2017 è costato alla sola Maersk oltre 300 milioni di euro e ha interrotto il trasporto marittimo globale per settimane. L'UE ha classificato il trasporto nell'allegato I (settori ad alta criticità) perché le interruzioni logistiche si propagano a cascata in tutta l'economia.
NIS2 copre tutte le modalità di trasporto: trasporto merci su strada, trasporto ferroviario, vie navigabili interne, trasporto marittimo e trasporto aereo merci. Le aziende che raggiungono la soglia dimensionale (50+ dipendenti o oltre 10 milioni di euro di fatturato) rientrano nell'ambito. Le grandi aziende (250+ dipendenti) nei settori dell'allegato I sono classificate come soggetti essenziali. Le aziende medie (50-249 dipendenti) sono soggetti importanti (wichtige Einrichtungen). Entrambe affrontano l'intero insieme di obblighi NIS2.
Le moderne aziende di logistica funzionano su sistemi IT interconnessi. I sistemi di gestione dei trasporti (TMS) orchestrano le spedizioni. La gestione della flotta traccia i veicoli in tempo reale. I sistemi di gestione del magazzino (WMS) controllano scorte e prelievi. Le unità telematiche nei camion trasmettono posizione, velocità, temperatura e dati del conducente. Se uno qualsiasi di questi sistemi si guasta, le operazioni si fermano o diventano pericolosamente inefficienti. NIS2 richiede di individuare queste dipendenze e gestire sistematicamente i rischi di cibersicurezza.
Sistema di gestione dei trasporti (TMS)
Il sistema centrale per la pianificazione delle spedizioni, la gestione dei vettori, l'ottimizzazione dei percorsi e la fatturazione del trasporto. Sistemi comuni includono SAP TM, Oracle Transportation Management, Transporeon o CargoWise. Se il TMS va in panne, non potete pianificare né smistare le spedizioni. Una voce di asset.
Gestione della flotta e telematica
Tracciamento GPS, diagnostica dei veicoli, registrazione delle ore di guida (integrazione del tachigrafo digitale), gestione del carburante e tracciamento dei percorsi. Le unità telematiche in ogni veicolo trasmettono dati in continuazione. Sistemi come Webfleet, Trimble, Samsara o soluzioni specifiche per la flotta. Una compromissione potrebbe significare perdita di visibilità sui veicoli, manipolazione dei registri dei conducenti o tracciamento non autorizzato. Raggruppate come un unico asset.
Sistema di gestione del magazzino (WMS)
Gestione delle scorte, ottimizzazione del prelievo, ricevimento e spedizione delle merci e integrazione con TMS ed ERP. Può includere scanner barcode/RFID, sistemi automatizzati di stoccaggio e prelievo e controlli dei nastri trasportatori. Sistemi come SAP EWM, Manhattan Associates o Korber. Se il WMS si guasta, le operazioni di magazzino tornano a processi manuali a una frazione del throughput normale.
Sistema ERP e finanziario
Gestione clienti, amministrazione contratti, fatturazione, approvvigionamento e rendicontazione finanziaria. Comunemente SAP, Microsoft Dynamics o Sage. Nella logistica, l'ERP si integra spesso strettamente con il TMS per la fatturazione e i portali clienti. Una compromissione incide su ricavi, relazioni con i clienti e rendicontazione finanziaria. Una voce di asset.
Infrastruttura di rete
La rete che collega uffici, magazzini e telematica dei veicoli. Include collegamenti WAN tra le sedi, connessioni VPN per i lavoratori mobili e i conducenti, Wi-Fi nei magazzini e connessioni cellulari per la telematica della flotta. Le aziende di logistica hanno spesso reti distribuite su molte sedi: l'infrastruttura di ciascun sito dovrebbe essere documentata. Raggruppate per tipo di sito.
Endpoint e dispositivi mobili
PC d'ufficio, terminali di magazzino, scanner portatili, tablet dei conducenti e smartphone. La logistica ha una quota più alta di dispositivi mobili e rinforzati rispetto alla maggior parte dei settori. Includete la gestione dei dispositivi mobili (MDM) se utilizzata. Grundschutz consente il raggruppamento: '60 scanner portatili di magazzino' è una sola voce. Includete anche i tablet dei conducenti come voce raggruppata separata.
1. Registrarsi presso il BSI
Completate la vostra registrazione ai sensi della Sezione 33 BSIG. Il trasporto è un settore dell'allegato I, quindi le grandi aziende affrontano la vigilanza proattiva del BSI. La registrazione richiede da 30 a 60 minuti tramite muk.bsi.bund.de. Se la scadenza è passata, registratevi immediatamente: la sanzione per la mancata registrazione arriva fino a 500.000 euro.
2. Costruire l'inventario degli asset
Mappate il vostro TMS, la gestione della flotta, il WMS, l'ERP e l'infrastruttura di supporto. Per ogni sistema, documentate cosa fa, dove gira, chi lo gestisce e cosa accade se è indisponibile per 4 ore (la logistica è sensibile al tempo). Prestate particolare attenzione alla telematica: decine o centinaia di dispositivi connessi sul campo rappresentano una superficie di attacco unica.
3. Impostare la segnalazione degli incidenti
La logistica opera su tempistiche serrate. Un attacco cibernetico che ritarda le spedizioni anche solo di poche ore può avere conseguenze contrattuali e finanziarie. Definite cosa conta come incidente significativo, stabilite la catena di segnalazione al BSI (24h/72h/1 mese) e create procedure interne di escalation che tengano conto della natura 24/7 delle operazioni logistiche. Includete gli scenari del fine settimana e del turno di notte.
4. Documentare i rapporti con i fornitori
Le aziende di logistica si affidano pesantemente all'IT di terze parti: TMS ospitati in cloud, fornitori SaaS di telematica, partner EDI e piattaforme dei vettori. Documentate ogni fornitore IT, a quali dati accede e quali misure di sicurezza si impegna ad adottare. Il vostro fornitore di TMS ha probabilmente più accesso ai vostri dati operativi di qualsiasi singolo dipendente. Includeteli nella vostra valutazione di sicurezza della catena di approvvigionamento ai sensi della Sezione 30(2)(4) BSIG.
5. Riesaminare i controlli di accesso
La logistica ha una forza lavoro distribuita: personale d'ufficio, operai di magazzino, conducenti e addetti allo smistamento, ciascuno con esigenze di accesso ai sistemi diverse. Implementate controlli di accesso basati sui ruoli, imponete la MFA per l'accesso remoto e amministrativo e assicuratevi che gli account dei conducenti e dei lavoratori temporanei vengano disattivati prontamente al termine del rapporto di lavoro. Gli account condivisi sui terminali di magazzino sono comuni, ma dovrebbero essere sostituiti con accessi individuali ove possibile.
Le aziende di logistica operano uno degli ambienti IT più distribuiti di qualsiasi settore. Gli asset non sono in un solo edificio: sono distribuiti su uffici, magazzini, centri di distribuzione e centinaia di veicoli in strada. Ogni camion con un'unità telematica è un endpoint connesso. Ogni scanner di magazzino è un dispositivo sulla vostra rete. Questa impronta distribuita rende meno efficace la sicurezza perimetrale tradizionale e aumenta l'importanza della gestione dei dispositivi, della segmentazione della rete e dei controlli di accesso basati sull'identità.
La sensibilità al tempo della logistica crea una sfida unica di risposta agli incidenti. In un'azienda manifatturiera, potreste tollerare un'interruzione di sistema di 24 ore. Nella logistica, 4 ore di inattività del TMS significano finestre di consegna mancate, penali contrattuali e ritardi a cascata. Il vostro piano di risposta agli incidenti deve tenerne conto: quali procedure di ripiego manuale esistono? Gli addetti allo smistamento possono instradare le spedizioni per telefono? Le operazioni di magazzino possono continuare con il prelievo su carta? Queste domande di continuità operativa sono importanti quanto il piano di ripristino tecnico.
Le aziende di logistica sono anche profondamente integrate con i sistemi dei loro clienti e vettori tramite EDI (Electronic Data Interchange), connessioni API e piattaforme condivise. Una violazione della sicurezza nella vostra azienda può propagarsi ai clienti attraverso queste connessioni, e viceversa. La vostra valutazione di sicurezza della catena di approvvigionamento dovrebbe coprire non solo i vostri fornitori IT, ma anche le connessioni elettroniche con i vostri partner commerciali. Mettere in sicurezza queste interfacce - autenticazione corretta, trasmissione cifrata, validazione degli input - è sia un requisito NIS2 sia una misura di protezione aziendale.
Domande frequenti
Siamo un'azienda di trasporto merci su strada con 80 camion. Siamo essenziali o importanti?
Il trasporto su strada rientra nell'allegato I (settori ad alta criticità). Se la vostra azienda ha 250 o più dipendenti, siete un soggetto essenziale con vigilanza proattiva del BSI. Con 50-249 dipendenti, siete un soggetto importante con vigilanza reattiva. Con 80 camion, avete probabilmente 100-150 dipendenti (conducenti, addetti allo smistamento, magazzino, ufficio). Verificate il vostro organico totale rispetto alla soglia: in entrambi i casi si applica l'intera gamma di obblighi NIS2.
Le unità telematiche dei nostri camion sono considerate 'asset' ai sensi di NIS2?
Sì. Qualsiasi sistema che supporta i vostri servizi di trasporto critici è un asset. Le unità telematiche trasmettono in tempo reale posizione, velocità, temperatura (per il trasporto refrigerato) e dati sulle ore di guida. Sono dispositivi connessi sulla vostra rete. Raggruppateli come una sola voce di asset, per esempio '80 unità telematiche Webfleet' anziché 80 voci separate. I rischi chiave sono: accesso non autorizzato ai dati di tracciamento dei veicoli, manipolazione dei registri del tachigrafo e potenziale uso come punto di ingresso alla rete.
Usiamo un TMS basato su cloud. È un nostro problema o del fornitore?
Entrambi, ma l'obbligo giuridico è vostro. Ai sensi della Sezione 30 BSIG, potete esternalizzare le operazioni ma non la responsabilità. Il vostro fornitore di TMS in cloud è un fornitore critico ai sensi della Sezione 30(2)(4). Dovete: documentare il fornitore nella vostra valutazione di sicurezza della catena di approvvigionamento, includere i requisiti di cibersicurezza nel contratto, verificare che il fornitore abbia misure di sicurezza adeguate (certificazioni, rapporti di audit, impegni di notifica degli incidenti) e disporre di un piano di emergenza qualora il fornitore subisca una violazione o un'interruzione.
Come si rapporta NIS2 all'EU Mobility Data Act e ai regolamenti sul tachigrafo digitale?
NIS2, il Mobility Data Act e i regolamenti sul tachigrafo (UE 165/2014) sono quadri giuridici distinti che si sovrappongono sulla sicurezza dei dati. I regolamenti sul tachigrafo richiedono una registrazione a prova di manomissione dei dati del conducente. Il Mobility Data Act affronta gli obblighi di condivisione dei dati. NIS2 aggiunge il livello di gestione della cibersicurezza: mettere in sicurezza i sistemi IT che trattano e trasmettono questi dati. La conformità a NIS2 rafforza la vostra posizione su tutti e tre perché un ambiente IT ben protetto tutela l'integrità dei dati regolamentati.