Anhang I Sektor 2

NIS 2 para o setor dos transportes

O setor 2 do anexo I abrange quatro subsetores. A regulação de segurança operacional não substitui a NIS 2.

Simon OrzelSimon Orzel·

Porque é que os transportes estão na NIS 2

A Diretiva NIS 2 trata os transportes como setor de elevada criticidade. O setor 2 do anexo I enumera quatro subsetores: aéreo, ferroviário, marítimo e rodoviário. Cada um designa as suas próprias categorias de entidades, pelo que uma companhia aérea regional, um operador de estação, uma autoridade portuária e um operador de gestão de tráfego rodoviário ficam todos no mesmo setor sob pontos diferentes.

O nível jurídico que decide quem está abrangido é a diretiva da UE mais a transposição nacional. Na Alemanha é o BSIG. Os reguladores setoriais, como o Luftfahrt-Bundesamt, o Eisenbahn-Bundesamt e o Bundesamt für Seeschifffahrt und Hydrographie, mantêm as suas atribuições de segurança operacional existentes. O BSI é a autoridade competente para os deveres cibernéticos da NIS 2 e trabalha a par desses reguladores, não em vez deles.

O teste de dimensão do artigo 2.o, n.o 1, decide se uma entidade está de todo abrangida. Uma vez abrangida, as obrigações do artigo 21.o (medidas de risco) e do artigo 23.o (comunicação de incidentes) aplicam-se independentemente do subsetor a que a entidade pertence. O regulamento de execução para os subsetores digitais não abrange os transportes; os transportes situam-se sob o quadro geral do artigo 21.o, com orientação setorial da ENISA.

A âncora jurídica
Primeiro a diretiva, depois a lei nacional. Os limiares KRITIS são um nível adicional para as entidades maiores na Alemanha.

Diretiva da UE

Setor 2: Transportes. (a) Transporte aéreo, (b) Transporte ferroviário, (c) Transporte marítimo, (d) Transporte rodoviário.

Diretiva (UE) 2022/2555, anexo I, setor 2. Cada alínea enumera as suas próprias categorias de entidades (transportadoras aéreas e entidades gestoras de aeroportos; gestores de infraestruturas, empresas ferroviárias e operadores de estação; transportadoras por vias navegáveis interiores, marítimas e costeiras e entidades gestoras de portos; autoridades rodoviárias e operadores de sistemas de transporte inteligentes).

Atos de execução da UE

O Regulamento de Execução (UE) 2024/2690 da Comissão aplica-se a entidades específicas de infraestrutura digital. Os transportes não estão no âmbito desse regulamento.

As obrigações dos transportes decorrem diretamente do artigo 21.o da diretiva mais quaisquer regras nacionais de execução. A ENISA publica orientação setorial, mas hoje não existe qualquer Regulamento de Execução da Comissão que fixe requisitos técnicos detalhados para os transportes a nível da UE.

Transposição nacional (Alemanha)

O anexo 1 do BSIG reflete o setor 2 do anexo I da diretiva. O teste de dimensão da secção 28 BSIG segue o artigo 2.o, n.o 1.

A Alemanha transpõe a NIS 2 através do BSIG. O BSI é a autoridade competente. A regulação de segurança operacional específica do setor ao abrigo da Luftverkehrsgesetz, da Allgemeines Eisenbahngesetz e da Seeaufgabengesetz mantém-se em vigor e corre em paralelo.

Três elementos que decidem se está abrangido
Correspondência de subsetor, limiar de dimensão, nível KRITIS opcional.
Anexo I setor 2

Corresponder a uma categoria de subsetor

O aéreo abrange transportadoras aéreas utilizadas para fins comerciais, entidades gestoras de aeroportos e entidades que operam instalações auxiliares dentro de aeroportos, mais operadores de controlo de gestão do tráfego que prestam serviços de controlo do tráfego aéreo. O ferroviário abrange gestores de infraestruturas e empresas ferroviárias, incluindo operadores de instalações de serviço. O marítimo abrange empresas de transporte de passageiros e de mercadorias por vias navegáveis interiores, marítimas e costeiras, entidades gestoras de portos e operadores de serviços de tráfego de embarcações. O rodoviário abrange autoridades rodoviárias responsáveis pelo controlo da gestão do tráfego e operadores de sistemas de transporte inteligentes.

Artigo 2.o, n.o 1

Cumprir o teste de dimensão

Conta a dimensão média ou grande: 50 ou mais trabalhadores, ou volume de negócios anual e balanço acima de 10 milhões de euros. As entidades mais pequenas podem ainda estar abrangidas quando se aplicam as exceções do artigo 2.o, n.o 2, por exemplo prestadores únicos de um serviço essencial num Estado-Membro.

BSI-KritisV (Alemanha)

KRITIS é um nível adicional

A BSI-KritisV fixa limiares quantitativos por subsetor para o que conta como instalação crítica na Alemanha. Atingir um limiar KRITIS acrescenta deveres para instalações específicas de KRITIS. Não o atingir não elimina o dever NIS 2 subjacente se a entidade for média ou grande numa categoria do setor 2.

Como os transportes se situam ao lado da segurança operacional
Os deveres cibernéticos são acrescentados por cima da supervisão de segurança operacional existente; não a substituem.

Segurança operacional e ciber são faixas diferentes

Os transportes aéreo, ferroviário, marítimo e rodoviário já estão sob regimes pesados de segurança operacional (EASA, ERA, IMO, regras de veículos e infraestruturas). A NIS 2 acrescenta deveres para os sistemas de informação e comunicação utilizados para operar o serviço. O regulador setorial de segurança operacional mantém a sua faixa. A autoridade competente da NIS 2 analisa como a entidade gere o risco, os fornecimentos, os incidentes e a continuidade das suas TI e TO.

A continuidade é o teste prático

O que importa para a NIS 2 é se o operador consegue manter o serviço a funcionar e notificar a autoridade certa quando algo corre mal. O artigo 21.o designa as famílias de medidas (governação, risco, cadeia de fornecimento, tratamento de incidentes, continuidade do negócio, criptografia, controlo de acessos, formação, gestão de ativos). O artigo 23.o fixa o calendário de notificação (aviso prévio em 24h, notificação de incidente em 72h, relatório final em 1 mês).

Com quem fala
O BSI é a autoridade NIS 2 na Alemanha. Os reguladores setoriais mantêm-se envolvidos. A ENISA fornece orientação.
Alemanha

Bundesamt für Sicherheit in der Informationstechnik

O BSI é a autoridade competente para a NIS 2 ao abrigo do BSIG. O registo, as medidas de risco da secção 30 e a notificação de incidentes da secção 32 vão para o BSI. Os reguladores setoriais de segurança operacional (Luftfahrt-Bundesamt, Eisenbahn-Bundesamt, Bundesamt für Seeschifffahrt und Hydrographie, Bundesanstalt für Straßenwesen) cooperam com o BSI, mas não o substituem nos deveres cibernéticos da NIS 2.

Alemanha

Bundesnetzagentur e sobreposições setoriais

A Bundesnetzagentur é a autoridade NIS 2 para as telecomunicações. Os transportes sobrepõem-se às telecomunicações apenas quando a entidade também opera redes de comunicação públicas. Para transportes puros, o BSI é o único endereço NIS 2. Para instalações KRITIS, o canal de comunicação KRITIS existente continua a correr em paralelo.

UE

ENISA

A ENISA publica orientação setorial e o panorama de ameaças para os transportes. O seu trabalho informa as autoridades nacionais e os organismos de normalização, mas não emite regras vinculativas. Para orientação específica dos transportes, leia os relatórios da ENISA mais as regras EASA Part-IS para a aviação e a Resolução IMO MSC.428(98) para o setor marítimo como regimes adjacentes.

Três coisas que correm mal
Pressupostos comuns que falham sob escrutínio.

  • A nossa certificação de segurança operacional cobre o ciber.

    Os regimes de segurança operacional (EASA, ERA, IMO e equivalentes nacionais) cobrem a segurança das operações e incluem cada vez mais elementos de segurança (por exemplo, EASA Part-IS). Não desoneram dos deveres do artigo 21.o e do artigo 23.o da NIS 2. A autoridade NIS 2 é separada, o âmbito é mais amplo e o relógio de notificação de incidentes é diferente.

  • Só as companhias aéreas e os aeroportos estão abrangidos.

    Os quatro subsetores estão abrangidos. Os gestores de infraestruturas ferroviárias, as empresas ferroviárias e os operadores de estação situam-se em 2(b). As transportadoras por vias navegáveis interiores, marítimas e costeiras, as entidades gestoras de portos e os operadores de serviços de tráfego de embarcações situam-se em 2(c). As autoridades rodoviárias para o controlo da gestão do tráfego e os operadores de sistemas de transporte inteligentes situam-se em 2(d). Uma autoridade regional de autocarros ou uma autoridade portuária está tão abrangida pelo setor 2 como uma transportadora de bandeira.

  • Estamos abaixo do limiar KRITIS, por isso a NIS 2 não se aplica.

    Os limiares KRITIS na BSI-KritisV são um nível nacional separado para instalações muito grandes. O teste de dimensão da NIS 2 está fixado no artigo 2.o, n.o 1, e é em geral muito mais baixo. Um operador de estação com 60 trabalhadores e 12 milhões de euros de volume de negócios está abaixo da maioria dos limiares KRITIS e ainda assim plenamente abrangido pela NIS 2.

O que os profissionais relatam

A leitura que ouvimos com mais frequência dos operadores de transportes é que a NIS 2 assenta sobre uma organização já moldada pela lei de segurança operacional. As equipas de TI e TO falam com um regulador diferente do da equipa de segurança operacional, e as duas conversas precisam de se manter alinhadas. As medidas do artigo 21.o (governação, risco, cadeia de fornecimento, tratamento de incidentes, continuidade do negócio, criptografia, controlo de acessos, formação, gestão de ativos) não são ideias novas, mas a profundidade da documentação e o passo de registo são.

O artigo 21.o, n.o 1, exige medidas adequadas e proporcionadas, tendo em conta o estado da técnica, o custo de aplicação e a exposição da entidade. Isso dá a uma pequena autoridade portuária um patamar diferente do de um operador ferroviário nacional. Documente o raciocínio de proporcionalidade para que um revisor o possa seguir.

O que a plataforma faz pelas entidades de transportes

A plataforma estrutura as medidas do artigo 21.o como um único registo de obrigações e permite que os operadores de transportes conduzam o seu processo NIS 2 a par da sua documentação de segurança operacional existente. O inventário de ativos (a base da RSK), o registo de fornecedores, o fluxo de trabalho de incidentes, as aprovações de governação e os registos de formação ficam num só lugar e produzem as provas que o BSI procura.

O nível gratuito inclui tudo o que um operador precisa para se registar ao abrigo da NIS 2 na Alemanha e para conduzir as obrigações centrais. Nenhum nível bloqueia qualquer funcionalidade exigida.

Fontes primárias
  • Diretiva (UE) 2022/2555 (NIS 2), anexo I setor 2. Transportes
  • Diretiva (UE) 2022/2555, artigo 2.o (âmbito e teste de dimensão), artigo 21.o (medidas de risco), artigo 23.o (comunicação de incidentes)
  • BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik), anexo 1 setor 2; secções 28, 30, 32
  • BSI-Kritisverordnung (BSI-KritisV), limiares específicos do setor para os transportes
  • Panorama de ameaças da ENISA para os transportes (edição mais recente)
  • Regulamento de Execução EASA (UE) 2023/203 (Part-IS) para a segurança da aviação
  • Resolução IMO MSC.428(98) sobre a gestão de riscos cibernéticos no setor marítimo
Verifique a sua aplicabilidade
Dois minutos, sem inscrição.
Executar a verificação de aplicabilidade