NIS2 dla firm logistycznych i transportowych
Transport jest sklasyfikowany w załączniku I do NIS2 i obejmuje transport drogowy, kolejowy, wodny i lotniczy. Jeśli Twoja firma logistyczna zatrudnia 50+ pracowników, oto czego wymaga BSIG i od czego zacząć.
Dlaczego NIS2 ma zastosowanie do firm logistycznych?
Logistyka jest kręgosłupem gospodarki materialnej. Cyberatak, który zatrzymuje dużego dostawcę usług logistycznych, nie dotyka tylko jednej firmy - zakłóca łańcuchy dostaw dla dziesiątek lub setek klientów. Atak NotPetya z 2017 roku kosztował sam Maersk ponad 300 milionów euro i zakłócał globalny transport morski przez tygodnie. UE sklasyfikowała transport w załączniku I (sektory o wysokim stopniu krytyczności), ponieważ zakłócenia logistyki kaskadowo przenoszą się na całą gospodarkę.
NIS2 obejmuje wszystkie rodzaje transportu: drogowy transport towarów, transport kolejowy, śródlądowe drogi wodne, żeglugę morską i transport lotniczy. W zakresie znajdują się firmy spełniające próg wielkości (50+ pracowników lub ponad 10 milionów euro przychodu). Duże firmy (250+ pracowników) w sektorach załącznika I są sklasyfikowane jako podmioty kluczowe. Średnie firmy (50-249 pracowników) są podmiotami ważnymi (wichtige Einrichtungen). Obie kategorie podlegają pełnemu zestawowi obowiązków NIS2.
Nowoczesne firmy logistyczne działają na wzajemnie połączonych systemach informatycznych. Systemy zarządzania transportem (TMS) orkiestrują przesyłki. Zarządzanie flotą śledzi pojazdy w czasie rzeczywistym. Systemy zarządzania magazynem (WMS) sterują zapasami i kompletacją. Jednostki telematyczne w ciężarówkach przesyłają dane o pozycji, prędkości, temperaturze i kierowcy. Jeśli którykolwiek z tych systemów zawiedzie, operacje stają lub stają się niebezpiecznie nieefektywne. NIS2 wymaga, abyś identyfikował te zależności i systematycznie zarządzał ryzykami cyberbezpieczeństwa.
System zarządzania transportem (TMS)
Centralny system do planowania przesyłek, zarządzania przewoźnikami, optymalizacji tras i rozliczania frachtu. Powszechne systemy to SAP TM, Oracle Transportation Management, Transporeon lub CargoWise. Jeśli TMS przestaje działać, nie możesz planować ani wysyłać przesyłek. Jeden wpis aktywa.
Zarządzanie flotą i telematyka
Śledzenie GPS, diagnostyka pojazdów, rejestracja czasu pracy kierowców (integracja z cyfrowym tachografem), zarządzanie paliwem i śledzenie tras. Jednostki telematyczne w każdym pojeździe przesyłają dane w sposób ciągły. Systemy takie jak Webfleet, Trimble, Samsara lub rozwiązania dedykowane flocie. Naruszenie może oznaczać utratę widoczności pojazdów, manipulację rejestrami kierowców lub nieautoryzowane śledzenie. Zgrupuj jako jedno aktywo.
System zarządzania magazynem (WMS)
Zarządzanie zapasami, optymalizacja kompletacji, przyjęcie i wydanie towaru oraz integracja z TMS i ERP. Może obejmować skanery kodów kreskowych/RFID, automatyczne systemy składowania i pobierania oraz sterowanie przenośnikami. Systemy takie jak SAP EWM, Manhattan Associates lub Korber. Jeśli WMS zawiedzie, operacje magazynowe wracają do procesów ręcznych z ułamkiem normalnej przepustowości.
System ERP i finansowy
Zarządzanie klientami, administracja umowami, fakturowanie, zakupy i sprawozdawczość finansowa. Powszechnie SAP, Microsoft Dynamics lub Sage. W logistyce ERP często ściśle integruje się z TMS na potrzeby rozliczeń i portali klienckich. Naruszenie wpływa na przychody, relacje z klientami i sprawozdawczość finansową. Jeden wpis aktywa.
Infrastruktura sieciowa
Sieć łącząca biura, magazyny i telematykę pojazdów. Obejmuje łącza WAN między lokalizacjami, połączenia VPN dla pracowników mobilnych i kierowców, Wi-Fi w magazynach oraz połączenia komórkowe dla telematyki floty. Firmy logistyczne często mają rozproszone sieci w wielu lokalizacjach - infrastruktura każdej lokalizacji powinna być udokumentowana. Grupuj według typu lokalizacji.
Punkty końcowe i urządzenia mobilne
Komputery biurowe, terminale magazynowe, skanery ręczne, tablety kierowców i smartfony. Logistyka ma wyższy udział urządzeń mobilnych i wzmocnionych niż większość sektorów. Uwzględnij zarządzanie urządzeniami mobilnymi (MDM), jeśli jest stosowane. Grundschutz pozwala na grupowanie: '60 ręcznych skanerów magazynowych' to jeden wpis. Uwzględnij też tablety kierowców jako odrębny zgrupowany wpis.
1. Zarejestruj się w BSI
Dopełnij rejestracji na mocy sekcji 33 BSIG. Transport jest sektorem załącznika I, więc duże firmy podlegają proaktywnemu nadzorowi BSI. Rejestracja zajmuje od 30 do 60 minut poprzez muk.bsi.bund.de. Jeśli termin minął, zarejestruj się natychmiast - kara za brak rejestracji wynosi do 500 000 euro.
2. Zbuduj inwentaryzację aktywów
Zmapuj swój TMS, zarządzanie flotą, WMS, ERP i infrastrukturę wspierającą. Dla każdego systemu udokumentuj, co robi, gdzie działa, kto nim zarządza i co się stanie, jeśli będzie niedostępny przez 4 godziny (logistyka jest wrażliwa na czas). Zwróć szczególną uwagę na telematykę - dziesiątki lub setki podłączonych urządzeń w terenie stanowią unikalną powierzchnię ataku.
3. Ustanów zgłaszanie incydentów
Logistyka działa według napiętych harmonogramów. Cyberatak, który opóźnia przesyłki nawet o kilka godzin, może mieć skutki umowne i finansowe. Zdefiniuj, co liczy się jako poważny incydent, ustanów łańcuch zgłaszania do BSI (24h/72h/1 miesiąc) i utwórz wewnętrzne procedury eskalacji uwzględniające całodobowy charakter operacji logistycznych. Uwzględnij scenariusze weekendowe i nocnej zmiany.
4. Udokumentuj relacje z dostawcami
Firmy logistyczne silnie polegają na IT stron trzecich: TMS hostowanym w chmurze, dostawcach telematyki SaaS, partnerach EDI i platformach przewoźników. Udokumentuj każdego dostawcę IT, do jakich danych ma dostęp i jakie środki bezpieczeństwa deklaruje. Twój dostawca TMS prawdopodobnie ma większy dostęp do Twoich danych operacyjnych niż jakikolwiek pojedynczy pracownik. Uwzględnij ich w ocenie bezpieczeństwa łańcucha dostaw na mocy sekcji 30(2)(4) BSIG.
5. Przejrzyj kontrole dostępu
Logistyka ma rozproszoną kadrę: personel biurowy, pracowników magazynu, kierowców i dyspozytorów - każda grupa potrzebuje innego dostępu do systemów. Wdróż kontrole dostępu oparte na rolach, egzekwuj MFA dla dostępu zdalnego i administracyjnego oraz zapewnij, że konta kierowców i pracowników tymczasowych są niezwłocznie dezaktywowane po zakończeniu zatrudnienia. Współdzielone konta na terminalach magazynowych są powszechne, ale powinny być zastąpione indywidualnymi logowaniami tam, gdzie jest to wykonalne.
Firmy logistyczne prowadzą jedno z najbardziej rozproszonych środowisk IT spośród wszystkich sektorów. Aktywa nie znajdują się w jednym budynku - są rozproszone po biurach, magazynach, centrach dystrybucji i setkach pojazdów na drodze. Każda ciężarówka z jednostką telematyczną jest podłączonym punktem końcowym. Każdy skaner magazynowy jest urządzeniem w Twojej sieci. Ten rozproszony zasięg sprawia, że tradycyjne zabezpieczenie obwodowe jest mniej skuteczne, i zwiększa znaczenie zarządzania urządzeniami, segmentacji sieci oraz kontroli dostępu opartych na tożsamości.
Wrażliwość logistyki na czas tworzy unikalne wyzwanie w reagowaniu na incydenty. W firmie produkcyjnej możesz być w stanie tolerować 24-godzinną awarię systemu. W logistyce 4 godziny przestoju TMS oznaczają niedotrzymane okna dostaw, kary umowne i kaskadowe opóźnienia. Twój plan reagowania na incydenty musi to uwzględniać: jakie ręczne procedury awaryjne istnieją? Czy dyspozytorzy mogą kierować przesyłki przez telefon? Czy operacje magazynowe mogą trwać z kompletacją papierową? Te pytania o ciągłość działania są tak samo ważne jak techniczny plan odtworzenia.
Firmy logistyczne są też głęboko zintegrowane z systemami swoich klientów i przewoźników poprzez EDI (elektroniczną wymianę danych), połączenia API i wspólne platformy. Naruszenie bezpieczeństwa w Twojej firmie może propagować się do klientów przez te połączenia i odwrotnie. Twoja ocena bezpieczeństwa łańcucha dostaw powinna obejmować nie tylko Twoich dostawców IT, ale także elektroniczne połączenia z partnerami biznesowymi. Zabezpieczenie tych interfejsów - właściwe uwierzytelnianie, szyfrowana transmisja, walidacja danych wejściowych - jest zarówno wymogiem NIS2, jak i środkiem ochrony biznesu.
Najczęściej zadawane pytania
Jesteśmy firmą drogowego transportu towarów z 80 ciężarówkami. Jesteśmy kluczowi czy ważni?
Transport drogowy podlega załącznikowi I (sektory o wysokim stopniu krytyczności). Jeśli Twoja firma zatrudnia 250 lub więcej pracowników, jesteś podmiotem kluczowym z proaktywnym nadzorem BSI. Przy 50 do 249 pracownikach jesteś podmiotem ważnym z nadzorem reaktywnym. Przy 80 ciężarówkach prawdopodobnie masz od 100 do 150 pracowników (kierowcy, dyspozytorzy, magazyn, biuro). Sprawdź swoją łączną liczbę zatrudnionych względem progu - pełen zakres obowiązków NIS2 ma zastosowanie w obu przypadkach.
Czy nasze jednostki telematyczne w ciężarówkach są uważane za 'aktywa' na mocy NIS2?
Tak. Każdy system, który wspiera Twoje krytyczne usługi transportowe, jest aktywem. Jednostki telematyczne przesyłają w czasie rzeczywistym dane o lokalizacji, prędkości, temperaturze (dla transportu chłodniczego) i czasie pracy kierowcy. Są to podłączone urządzenia w Twojej sieci. Zgrupuj je jako jeden wpis aktywa - na przykład '80 jednostek telematycznych Webfleet' zamiast 80 osobnych wpisów. Kluczowe ryzyka to: nieautoryzowany dostęp do danych śledzenia pojazdów, manipulacja zapisami tachografu oraz potencjalne wykorzystanie jako punkt wejścia do sieci.
Korzystamy z TMS w chmurze. Czy to nasz problem, czy dostawcy?
Obu, ale obowiązek prawny należy do Ciebie. Na mocy sekcji 30 BSIG możesz zlecać operacje na zewnątrz, ale nie odpowiedzialność. Twój dostawca TMS w chmurze jest dostawcą krytycznym na mocy sekcji 30(2)(4). Musisz: udokumentować dostawcę w ocenie bezpieczeństwa łańcucha dostaw, uwzględnić wymogi cyberbezpieczeństwa w umowie, zweryfikować, że dostawca ma odpowiednie środki bezpieczeństwa (certyfikaty, raporty z audytów, zobowiązania do powiadamiania o incydentach), oraz mieć plan awaryjny na wypadek, gdyby dostawca doznał naruszenia lub awarii.
Jak NIS2 odnosi się do unijnego aktu o danych mobilnościowych i przepisów o cyfrowym tachografie?
NIS2, akt o danych mobilnościowych i przepisy o tachografie (UE 165/2014) to odrębne ramy prawne, które nakładają się na siebie w kwestii bezpieczeństwa danych. Przepisy o tachografie wymagają odpornego na manipulacje zapisu danych kierowcy. Akt o danych mobilnościowych dotyczy obowiązków udostępniania danych. NIS2 dodaje warstwę zarządzania cyberbezpieczeństwem: zabezpieczenie systemów IT, które przetwarzają i przesyłają te dane. Zgodność z NIS2 wzmacnia Twoją pozycję w odniesieniu do wszystkich trzech, ponieważ dobrze zabezpieczone środowisko IT chroni integralność regulowanych danych.