NIS 2 dla sektora transportu
Sektor 2 Załącznika I obejmuje cztery podsektory. Regulacja bezpieczeństwa nie zastępuje NIS 2.
Dlaczego transport jest w NIS 2
Dyrektywa NIS 2 traktuje transport jako sektor o wysokiej krytyczności. Sektor 2 Załącznika I wymienia cztery podsektory: lotniczy, kolejowy, wodny i drogowy. Każdy wskazuje własne kategorie podmiotów, więc regionalna linia lotnicza, operator stacji, zarząd portu i operator zarządzania ruchem drogowym znajdują się w tym samym sektorze pod różnymi punktami.
Warstwą prawną, która decyduje, kto jest objęty, jest dyrektywa UE plus transpozycja krajowa. W Niemczech jest to BSIG. Regulatorzy sektorowi tacy jak Luftfahrt-Bundesamt, Eisenbahn-Bundesamt oraz Bundesamt für Seeschifffahrt und Hydrographie zachowują swoje dotychczasowe kompetencje w zakresie bezpieczeństwa. BSI jest właściwym organem dla obowiązków cybernetycznych NIS 2 i współpracuje z tymi regulatorami, a nie zastępuje ich.
Test wielkości w Artykule 2(1) decyduje, czy podmiot w ogóle jest objęty zakresem. Gdy już jest objęty, obowiązki z Artykułu 21 (środki ryzyka) i Artykułu 23 (zgłaszanie incydentów) mają zastosowanie niezależnie od tego, do którego podsektora podmiot należy. Rozporządzenie wykonawcze dla podsektorów cyfrowych nie obejmuje transportu; transport podlega ogólnym ramom Artykułu 21 z wytycznymi sektorowymi od ENISA.
Dyrektywa UE
Sector 2: Transport. (a) Air transport, (b) Rail transport, (c) Water transport, (d) Road transport.
Directive (EU) 2022/2555, Załącznik I, sektor 2. Każda litera wymienia własne kategorie podmiotów (przewoźnicy lotniczy i zarządzające organy portów lotniczych; zarządcy infrastruktury, przedsiębiorstwa kolejowe i operatorzy stacji; przewoźnicy śródlądowymi, morskimi i przybrzeżnymi drogami wodnymi oraz zarządzające organy portów; organy drogowe i operatorzy inteligentnych systemów transportowych).
Akty wykonawcze UE
Commission Implementing Regulation (EU) 2024/2690 applies to specific digital infrastructure entities. Transport is not in scope of that regulation.
Obowiązki transportu wynikają bezpośrednio z Artykułu 21 dyrektywy plus ewentualnych krajowych przepisów wykonawczych. ENISA publikuje wytyczne sektorowe, ale dziś nie istnieje rozporządzenie wykonawcze Komisji ustalające szczegółowe wymogi techniczne dla transportu na poziomie UE.
Transpozycja krajowa (Niemcy)
Annex 1 of the BSIG mirrors Annex I sector 2 of the Directive. The size test in section 28 BSIG follows Article 2(1).
Niemcy transponują NIS 2 poprzez BSIG. BSI jest właściwym organem. Sektorowa regulacja bezpieczeństwa na podstawie Luftverkehrsgesetz, Allgemeines Eisenbahngesetz i Seeaufgabengesetz pozostaje w mocy i działa równolegle.
Dopasuj kategorię podsektora
Lotniczy obejmuje przewoźników lotniczych wykorzystywanych do celów komercyjnych, zarządzające organy portów lotniczych oraz podmioty obsługujące instalacje pomocnicze w portach lotniczych, a także operatorów kontroli zarządzania ruchem świadczących usługi kontroli ruchu lotniczego. Kolejowy obejmuje zarządców infrastruktury i przedsiębiorstwa kolejowe, w tym operatorów obiektów infrastruktury usługowej. Wodny obejmuje przedsiębiorstwa przewozu pasażerów i towarów śródlądowymi, morskimi i przybrzeżnymi drogami wodnymi, zarządzające organy portów oraz operatorów służb ruchu statków. Drogowy obejmuje organy drogowe odpowiedzialne za kontrolę zarządzania ruchem oraz operatorów inteligentnych systemów transportowych.
Spełnij test wielkości
Liczy się średni lub duży: 50 lub więcej pracowników albo roczny obrót i suma bilansowa powyżej 10 milionów euro. Mniejsze podmioty wciąż mogą być objęte zakresem tam, gdzie mają zastosowanie wyjątki z Artykułu 2(2), na przykład jedyni dostawcy usługi kluczowej w państwie członkowskim.
KRITIS to dodatkowa warstwa
BSI-KritisV ustanawia ilościowe progi dla każdego podsektora dla tego, co liczy się jako instalacja krytyczna w Niemczech. Osiągnięcie progu KRITIS dodaje obowiązki dla obiektów specyficznych dla KRITIS. Nieosiągnięcie go nie usuwa podstawowego obowiązku NIS 2, jeśli podmiot jest średni lub duży w kategorii sektora 2.
Bezpieczeństwo operacyjne i cyberbezpieczeństwo to różne tory
Transport lotniczy, kolejowy, wodny i drogowy już podlega ścisłym reżimom bezpieczeństwa operacyjnego (EASA, ERA, IMO, przepisy dotyczące pojazdów i infrastruktury). NIS 2 dodaje obowiązki dla systemów informatycznych i komunikacyjnych używanych do świadczenia usługi. Sektorowy regulator bezpieczeństwa zachowuje swój tor. Właściwy organ NIS 2 patrzy na to, jak podmiot zarządza ryzykiem, dostawami, incydentami i ciągłością dla swojego IT i OT.
Ciągłość to praktyczny sprawdzian
Dla NIS 2 liczy się to, czy operator potrafi utrzymać usługę w działaniu i zawiadomić właściwy organ, gdy coś pójdzie nie tak. Artykuł 21 wymienia rodziny środków (ład, ryzyko, łańcuch dostaw, obsługa incydentów, ciągłość działania, kryptografia, kontrola dostępu, szkolenia, zarządzanie aktywami). Artykuł 23 ustala harmonogram zgłoszeń (24h wczesne ostrzeżenie, 72h zgłoszenie incydentu, 1 miesiąc raport końcowy).
Bundesamt für Sicherheit in der Informationstechnik
BSI jest właściwym organem dla NIS 2 na podstawie BSIG. Rejestracja, środki ryzyka z sekcji 30 i zgłoszenie incydentu z sekcji 32 trafiają do BSI. Sektorowi regulatorzy bezpieczeństwa (Luftfahrt-Bundesamt, Eisenbahn-Bundesamt, Bundesamt für Seeschifffahrt und Hydrographie, Bundesanstalt für Straßenwesen) współpracują z BSI, ale nie zastępują go w zakresie obowiązków cybernetycznych NIS 2.
Bundesnetzagentur i nakładanie się sektorów
Bundesnetzagentur jest organem NIS 2 dla telekomunikacji. Transport nakłada się na telekomunikację tylko tam, gdzie podmiot prowadzi również publiczne sieci łączności. Dla czystego transportu BSI jest jedynym adresem NIS 2. Dla obiektów KRITIS istniejący kanał zgłoszeń KRITIS działa nadal równolegle.
ENISA
ENISA publikuje wytyczne sektorowe i krajobraz zagrożeń dla transportu. Jej prace zasilają organy krajowe i organy normalizacyjne, ale nie wydaje wiążących reguł. Aby uzyskać konkretne wytyczne dla transportu, przeczytaj raporty ENISA plus przepisy EASA Part-IS dla lotnictwa oraz Rezolucję IMO MSC.428(98) dla żeglugi jako reżimy przyległe.
Nasza certyfikacja bezpieczeństwa obejmuje cyber.
Reżimy bezpieczeństwa (EASA, ERA, IMO i krajowe odpowiedniki) obejmują bezpieczeństwo operacji i coraz częściej zawierają elementy bezpieczeństwa (na przykład EASA Part-IS). Nie zwalniają z obowiązków z Artykułu 21 i Artykułu 23 NIS 2. Organ NIS 2 jest odrębny, zakres jest szerszy, a zegar zgłoszenia incydentu jest inny.
Tylko linie lotnicze i porty lotnicze są objęte.
Wszystkie cztery podsektory są objęte. Zarządcy infrastruktury kolejowej, przedsiębiorstwa kolejowe i operatorzy stacji znajdują się w 2(b). Przewoźnicy śródlądowi, morscy i przybrzeżni, zarządzające organy portów i operatorzy służb ruchu statków znajdują się w 2(c). Organy drogowe odpowiedzialne za kontrolę zarządzania ruchem i operatorzy inteligentnych systemów transportowych znajdują się w 2(d). Regionalny organ autobusowy lub zarząd portu jest tak samo w sektorze 2 jak przewoźnik flagowy.
Jesteśmy poniżej progu KRITIS, więc NIS 2 nas nie dotyczy.
Progi KRITIS w BSI-KritisV to odrębna warstwa krajowa dla bardzo dużych instalacji. Test wielkości NIS 2 jest ustalony w Artykule 2(1) i zazwyczaj jest dużo niższy. Operator stacji zatrudniający 60 osób z obrotem 12 milionów euro jest poniżej większości progów KRITIS i wciąż jednoznacznie objęty zakresem NIS 2.
Odczyt, który najczęściej słyszymy od operatorów transportu, to że NIS 2 ląduje na wierzchu organizacji już ukształtowanej przez prawo bezpieczeństwa. Zespoły IT i OT rozmawiają z innym regulatorem niż zespół bezpieczeństwa operacyjnego, a te dwie rozmowy muszą pozostać spójne. Środki z Artykułu 21 (ład, ryzyko, łańcuch dostaw, obsługa incydentów, ciągłość działania, kryptografia, kontrola dostępu, szkolenia, zarządzanie aktywami) nie są nowymi pomysłami, ale głębokość dokumentacji i krok rejestracji już tak.
Artykuł 21(1) wymaga środków, które są odpowiednie i proporcjonalne, z uwzględnieniem stanu wiedzy, kosztu wdrożenia oraz ekspozycji podmiotu. To daje małemu zarządowi portu inny próg niż krajowemu operatorowi kolejowemu. Udokumentuj uzasadnienie proporcjonalności tak, aby recenzent mógł je prześledzić.
Platforma porządkuje środki z Artykułu 21 jako jeden rejestr obowiązków i pozwala operatorom transportu prowadzić swoje akta NIS 2 obok istniejącej dokumentacji bezpieczeństwa operacyjnego. Inwentaryzacja aktywów (fundament RSK), rejestr dostawców, przepływ pracy incydentów, zatwierdzenia w obszarze ładu i zapisy szkoleń znajdują się w jednym miejscu i wytwarzają dowody, których szuka BSI.
Darmowy poziom zawiera wszystko, czego operator potrzebuje, aby zarejestrować się na podstawie NIS 2 w Niemczech i prowadzić podstawowe obowiązki. Żaden poziom nie blokuje żadnej wymaganej funkcji.
- Directive (EU) 2022/2555 (NIS 2), Annex I sector 2 — Transport
- Directive (EU) 2022/2555, Article 2 (scope and size test), Article 21 (risk measures), Article 23 (incident reporting)
- BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik), Annex 1 sector 2; sections 28, 30, 32
- BSI-Kritisverordnung (BSI-KritisV), sector-specific thresholds for transport
- ENISA threat landscape for transport (most recent edition)
- EASA Implementing Regulation (EU) 2023/203 (Part-IS) for aviation security
- IMO Resolution MSC.428(98) on maritime cyber risk management