NIS2 para empresas de Logística e Transportes
O transporte está classificado no Anexo I da NIS2, abrangendo o transporte rodoviário, ferroviário, por via navegável e aéreo. Se a sua empresa de logística tem 50+ trabalhadores, eis o que o BSIG exige e por onde começar.
Porque é que a NIS2 se aplica a empresas de logística?
A logística é a espinha dorsal da economia física. Um ciberataque que pare um grande operador logístico não afeta apenas uma empresa. Perturba cadeias de abastecimento de dezenas ou centenas de clientes. O ataque NotPetya de 2017 custou só à Maersk mais de 300 milhões de euros e perturbou o transporte marítimo global durante semanas. A UE classificou o transporte no Anexo I (setores de elevada criticidade) porque as perturbações logísticas propagam-se em cascata por toda a economia.
A NIS2 abrange todos os modos de transporte: carga rodoviária, transporte ferroviário, vias navegáveis interiores, transporte marítimo e carga aérea. As empresas que cumprem o limiar de dimensão (50+ trabalhadores ou mais de 10 milhões de euros de volume de negócios) estão no âmbito. As grandes empresas (250+ trabalhadores) em setores do Anexo I são classificadas como entidades essenciais. As empresas médias (50 a 249 trabalhadores) são entidades importantes (wichtige Einrichtungen). Ambas enfrentam o conjunto completo de obrigações NIS2.
As empresas de logística modernas funcionam com sistemas de TI interligados. Os Sistemas de Gestão de Transportes (TMS) orquestram os envios. A gestão de frota localiza os veículos em tempo real. Os Sistemas de Gestão de Armazém (WMS) controlam o inventário e a recolha. As unidades de telemática nos camiões transmitem posição, velocidade, temperatura e dados do condutor. Se algum destes sistemas falhar, as operações param ou tornam-se perigosamente ineficientes. A NIS2 exige que identifique estas dependências e que gira os riscos de cibersegurança de forma sistemática.
Sistema de Gestão de Transportes (TMS)
O sistema central para planeamento de envios, gestão de transportadoras, otimização de rotas e faturação de frete. Sistemas comuns incluem SAP TM, Oracle Transportation Management, Transporeon ou CargoWise. Se o TMS falhar, não pode planear nem despachar envios. Uma entrada de ativo.
Gestão de frota e telemática
Localização GPS, diagnóstico de veículos, registo de horas dos condutores (integração de tacógrafo digital), gestão de combustível e localização de rotas. As unidades de telemática em cada veículo transmitem dados em contínuo. Sistemas como Webfleet, Trimble, Samsara ou soluções específicas de frota. Um comprometimento pode significar perda de visibilidade do veículo, manipulação de registos do condutor ou localização não autorizada. Agrupe como um ativo.
Sistema de Gestão de Armazém (WMS)
Gestão de inventário, otimização de recolha, receção e expedição de mercadorias, e integração com o TMS e o ERP. Pode incluir leitores de código de barras/RFID, sistemas automáticos de armazenamento e recolha, e controlos de transportadores. Sistemas como SAP EWM, Manhattan Associates ou Korber. Se o WMS falhar, as operações de armazém revertem para processos manuais a uma fração do débito normal.
Sistema ERP e financeiro
Gestão de clientes, administração de contratos, faturação, aquisições e reporte financeiro. Comummente SAP, Microsoft Dynamics ou Sage. Na logística, o ERP integra-se muitas vezes de forma estreita com o TMS para faturação e portais de cliente. Um comprometimento afeta as receitas, as relações com clientes e o reporte financeiro. Uma entrada de ativo.
Infraestrutura de rede
A rede que liga escritórios, armazéns e telemática de veículos. Inclui ligações WAN entre localizações, ligações VPN para trabalhadores móveis e condutores, Wi-Fi nos armazéns, e ligações celulares para a telemática de frota. As empresas de logística têm muitas vezes redes distribuídas por várias localizações. A infraestrutura de cada local deve ser documentada. Agrupe por tipo de local.
Postos de trabalho e dispositivos móveis
PCs de escritório, terminais de armazém, leitores portáteis, tablets de condutores e smartphones. A logística tem uma proporção mais alta de dispositivos móveis e robustecidos do que a maioria dos setores. Inclua a gestão de dispositivos móveis (MDM) se for usada. O Grundschutz permite agrupar: '60 leitores portáteis de armazém' é uma entrada. Inclua também os tablets de condutores como uma entrada agrupada separada.
1. Registe-se junto do BSI
Complete o seu registo nos termos do § 33 BSIG. O transporte é um setor do Anexo I, pelo que as grandes empresas enfrentam supervisão proativa do BSI. O registo demora 30 a 60 minutos em muk.bsi.bund.de. Se o prazo já passou, registe-se de imediato. A coima por falta de registo vai até 500.000 euros.
2. Construa o seu inventário de ativos
Mapeie o seu TMS, gestão de frota, WMS, ERP e a infraestrutura de suporte. Para cada sistema, documente o que faz, onde corre, quem o gere e o que acontece se ficar indisponível durante 4 horas (a logística é sensível ao tempo). Preste atenção especial à telemática. Dezenas ou centenas de dispositivos ligados no terreno representam uma superfície de ataque única.
3. Estabeleça a comunicação de incidentes
A logística opera em horários apertados. Um ciberataque que atrase envios por apenas algumas horas pode ter consequências contratuais e financeiras. Defina o que conta como incidente significativo, estabeleça a cadeia de comunicação ao BSI (24h/72h/1 mês), e crie procedimentos internos de escalonamento que tenham em conta a natureza 24/7 das operações logísticas. Inclua cenários de fim de semana e de turno noturno.
4. Documente as relações com fornecedores
As empresas de logística dependem muito de TI de terceiros: TMS alojado em cloud, fornecedores de telemática SaaS, parceiros EDI e plataformas de transportadoras. Documente cada fornecedor de TI, a que dados acede e que medidas de segurança assume. O seu fornecedor de TMS tem provavelmente mais acesso aos seus dados operacionais do que qualquer trabalhador isolado. Inclua-os na sua avaliação de segurança da cadeia de abastecimento ao abrigo do § 30(2)(4) BSIG.
5. Reveja os controlos de acesso
A logística tem uma força de trabalho distribuída: pessoal de escritório, trabalhadores de armazém, condutores e despachantes, cada um a precisar de acessos diferentes ao sistema. Implemente controlos de acesso baseados em funções, imponha MFA para acesso remoto e administrativo, e garanta que as contas de condutores e trabalhadores temporários são desativadas prontamente quando o vínculo termina. As contas partilhadas em terminais de armazém são comuns mas devem ser substituídas por inícios de sessão individuais sempre que viável.
As empresas de logística operam um dos ambientes de TI mais distribuídos de qualquer setor. Os ativos não estão num só edifício. Estão espalhados por escritórios, armazéns, centros de distribuição e centenas de veículos na estrada. Cada camião com uma unidade de telemática é um posto ligado. Cada leitor de armazém é um dispositivo na sua rede. Esta presença distribuída torna a segurança de perímetro tradicional menos eficaz e aumenta a importância da gestão de dispositivos, da segmentação de rede e dos controlos de acesso baseados em identidade.
A sensibilidade ao tempo da logística cria um desafio único de resposta a incidentes. Numa empresa industrial, pode conseguir tolerar uma indisponibilidade de sistema de 24 horas. Na logística, 4 horas de indisponibilidade do TMS significam janelas de entrega perdidas, penalizações contratuais e atrasos em cascata. O seu plano de resposta a incidentes precisa de ter isto em conta: que procedimentos manuais de recurso existem? Os despachantes conseguem encaminhar envios por telefone? As operações de armazém conseguem continuar com recolha em papel? Estas questões de continuidade de negócio são tão importantes como o plano técnico de recuperação.
As empresas de logística estão também profundamente integradas com os sistemas dos seus clientes e transportadoras via EDI (Intercâmbio Eletrónico de Dados), ligações de API e plataformas partilhadas. Uma falha de segurança na sua empresa pode propagar-se aos clientes através destas ligações, e vice-versa. A sua avaliação de segurança da cadeia de abastecimento deve cobrir não só os seus fornecedores de TI mas também as ligações eletrónicas com os seus parceiros de negócio. Proteger estas interfaces (autenticação adequada, transmissão cifrada, validação de entradas) é tanto um requisito NIS2 como uma medida de proteção do negócio.
Perguntas frequentes
Somos uma empresa de carga rodoviária com 80 camiões. Somos essenciais ou importantes?
O transporte rodoviário enquadra-se no Anexo I (setores de elevada criticidade). Se a sua empresa tem 250 ou mais trabalhadores, é uma entidade essencial com supervisão proativa do BSI. Com 50 a 249 trabalhadores, é uma entidade importante com supervisão reativa. Com 80 camiões, tem provavelmente 100 a 150 trabalhadores (condutores, despachantes, armazém, escritório). Verifique o seu total de efetivos face ao limiar. O conjunto completo de obrigações NIS2 aplica-se em qualquer dos casos.
As unidades de telemática dos nossos camiões são consideradas 'ativos' ao abrigo da NIS2?
Sim. Qualquer sistema que apoie os seus serviços críticos de transporte é um ativo. As unidades de telemática transmitem localização em tempo real, velocidade, temperatura (para transporte refrigerado) e dados de horas do condutor. São dispositivos ligados na sua rede. Agrupe-as como uma entrada de ativo. Por exemplo, '80 unidades de telemática Webfleet' em vez de 80 entradas separadas. Os riscos-chave são: acesso não autorizado aos dados de localização do veículo, manipulação dos registos do tacógrafo, e uso potencial como ponto de entrada na rede.
Usamos um TMS baseado na cloud. Isso é problema nosso ou do fornecedor?
De ambos, mas a obrigação legal é sua. Ao abrigo do § 30 BSIG, pode externalizar operações mas não a responsabilidade. O seu fornecedor de TMS em cloud é um fornecedor crítico nos termos do § 30(2)(4). Tem de: documentar o fornecedor na sua avaliação de segurança da cadeia de abastecimento, incluir requisitos de cibersegurança no contrato, verificar que o fornecedor tem medidas de segurança adequadas (certificações, relatórios de auditoria, compromissos de notificação de incidentes), e ter um plano de contingência caso o fornecedor sofra uma falha ou indisponibilidade.
Qual a relação da NIS2 com o Mobility Data Act da UE e os regulamentos de tacógrafo digital?
A NIS2, o Mobility Data Act e os regulamentos de tacógrafo (UE 165/2014) são quadros legais distintos que se sobrepõem na segurança de dados. Os regulamentos de tacógrafo exigem registo inviolável dos dados do condutor. O Mobility Data Act trata das obrigações de partilha de dados. A NIS2 acrescenta a camada de gestão de cibersegurança: proteger os sistemas de TI que processam e transmitem estes dados. A conformidade com a NIS2 reforça a sua posição nos três porque um ambiente de TI bem protegido protege a integridade dos dados regulados.