Anhang I Sektor 2

NIS 2 pentru sectorul transporturilor

Sectorul 2 din Anexa I acoperă patru subsectoare. Reglementarea privind siguranța nu înlocuiește NIS 2.

Simon OrzelSimon Orzel·

De ce este transportul în NIS 2

Directiva NIS 2 tratează transportul ca un sector de înaltă criticitate. Sectorul 2 din Anexa I enumeră patru subsectoare: aerian, feroviar, naval și rutier. Fiecare numește propriile categorii de entități, astfel încât o companie aeriană regională, un operator de gară, o autoritate portuară și un operator de gestionare a traficului rutier se află toți în același sector, în temeiul unor puncte diferite.

Stratul juridic care decide cine intră este Directiva UE plus transpunerea națională. În Germania, aceasta este BSIG. Autoritățile de reglementare sectoriale precum Luftfahrt-Bundesamt, Eisenbahn-Bundesamt și Bundesamt für Seeschifffahrt und Hydrographie își păstrează mandatele existente privind siguranța. BSI este autoritatea competentă pentru obligațiile cibernetice ale NIS 2 și lucrează alături de acele autorități de reglementare, nu în locul lor.

Testul de dimensiune din Articolul 2(1) decide dacă o entitate intră deloc în domeniul de aplicare. Odată ce intră, obligațiile din Articolul 21 (măsuri privind riscul) și Articolul 23 (raportarea incidentelor) se aplică indiferent de subsectorul căruia îi aparține entitatea. Regulamentul de punere în aplicare pentru subsectoarele digitale nu acoperă transportul; transportul se află sub cadrul general al Articolului 21, cu orientări sectoriale din partea ENISA.

Ancora juridică
Mai întâi directiva, apoi legea națională. Pragurile KRITIS sunt un strat suplimentar pentru entitățile mai mari din Germania.

Directiva UE

Sectorul 2: Transport. (a) Transport aerian, (b) Transport feroviar, (c) Transport naval, (d) Transport rutier.

Directiva (UE) 2022/2555, Anexa I, sectorul 2. Fiecare literă enumeră propriile categorii de entități (operatori de transport aerian și organisme de administrare a aeroporturilor; administratori de infrastructură, întreprinderi feroviare și operatori de gări; operatori de transport pe căi navigabile interioare, maritime și de coastă și organisme de administrare a porturilor; autorități rutiere și operatori de sisteme de transport inteligente).

Acte de punere în aplicare ale UE

Regulamentul de punere în aplicare (UE) 2024/2690 al Comisiei se aplică unor entități specifice de infrastructură digitală. Transportul nu intră în domeniul de aplicare al acelui regulament.

Obligațiile privind transportul provin direct din Articolul 21 al Directivei plus orice norme naționale de punere în aplicare. ENISA publică orientări sectoriale, dar nu există astăzi un Regulament de punere în aplicare al Comisiei care să fixeze cerințe tehnice detaliate pentru transport la nivelul UE.

Transpunerea națională (Germania)

Anexa 1 a BSIG reflectă sectorul 2 din Anexa I a Directivei. Testul de dimensiune din secțiunea 28 BSIG urmează Articolul 2(1).

Germania transpune NIS 2 prin BSIG. BSI este autoritatea competentă. Reglementarea sectorială privind siguranța, în temeiul Luftverkehrsgesetz, Allgemeines Eisenbahngesetz și Seeaufgabengesetz, rămâne în vigoare și funcționează în paralel.

Trei elemente care decid dacă intri
Potrivirea subsectorului, pragul de dimensiune, stratul KRITIS opțional.
Sectorul 2 din Anexa I

Potrivirea unei categorii de subsector

Transportul aerian acoperă operatorii de transport aerian utilizați în scopuri comerciale, organismele de administrare a aeroporturilor și entitățile care operează instalații auxiliare în interiorul aeroporturilor, plus operatorii de control al gestionării traficului care furnizează servicii de control al traficului aerian. Transportul feroviar acoperă administratorii de infrastructură și întreprinderile feroviare, inclusiv operatorii de instalații de servicii. Transportul naval acoperă companiile de transport naval de pasageri și de marfă pe căi interioare, maritime și de coastă, organismele de administrare a porturilor și operatorii de servicii de trafic naval. Transportul rutier acoperă autoritățile rutiere responsabile de controlul gestionării traficului și operatorii de sisteme de transport inteligente.

Articolul 2(1)

Îndeplinirea testului de dimensiune

Mijlociu sau mare contează: 50 sau mai mulți angajați, ori cifră de afaceri anuală și bilanț peste 10 milioane de euro. Entitățile mai mici pot intra totuși în domeniul de aplicare atunci când se aplică derogările din Articolul 2(2), de exemplu furnizorii unici ai unui serviciu esențial într-un stat membru.

BSI-KritisV (Germania)

KRITIS este un strat suplimentar

BSI-KritisV stabilește praguri cantitative pe subsector pentru ceea ce se consideră o instalație critică în Germania. Atingerea unui prag KRITIS adaugă obligații pentru instalațiile specifice KRITIS. Neatingerea lui nu înlătură obligația de bază din NIS 2 dacă entitatea este mijlocie sau mare într-o categorie a sectorului 2.

Cum se așază transportul lângă siguranță
Obligațiile cibernetice sunt adăugate peste supravegherea existentă a siguranței; nu o înlocuiesc.

Siguranța și cibernetica sunt benzi diferite

Transportul aerian, feroviar, naval și rutier se află deja sub regimuri grele de siguranță (EASA, ERA, IMO, norme privind vehiculele și infrastructura). NIS 2 adaugă obligații pentru sistemele de informații și comunicații folosite pentru operarea serviciului. Autoritatea de reglementare sectorială pentru siguranță își păstrează banda. Autoritatea competentă pentru NIS 2 analizează cum guvernează entitatea riscul, aprovizionarea, incidentele și continuitatea pentru IT-ul și OT-ul său.

Continuitatea este testul practic

Ceea ce contează pentru NIS 2 este dacă operatorul poate menține serviciul în funcțiune și poate notifica autoritatea corectă când ceva nu merge bine. Articolul 21 numește familiile de măsuri (guvernanță, risc, lanț de aprovizionare, gestionarea incidentelor, continuitatea activității, criptografie, control al accesului, instruire, gestionarea activelor). Articolul 23 stabilește calendarul de notificare (avertizare timpurie la 24h, notificare de incident la 72h, raport final la 1 lună).

Cu cine vorbești
BSI este autoritatea NIS 2 în Germania. Autoritățile de reglementare sectoriale rămân implicate. ENISA oferă orientări.
Germania

Bundesamt für Sicherheit in der Informationstechnik

BSI este autoritatea competentă pentru NIS 2 în temeiul BSIG. Înregistrarea, măsurile privind riscul din secțiunea 30 și notificarea incidentelor din secțiunea 32 merg la BSI. Autoritățile de reglementare sectoriale pentru siguranță (Luftfahrt-Bundesamt, Eisenbahn-Bundesamt, Bundesamt für Seeschifffahrt und Hydrographie, Bundesanstalt für Straßenwesen) cooperează cu BSI, dar nu îl înlocuiesc pentru obligațiile cibernetice ale NIS 2.

Germania

Bundesnetzagentur și suprapuneri sectoriale

Bundesnetzagentur este autoritatea NIS 2 pentru telecomunicații. Transportul se suprapune cu telecomunicațiile doar acolo unde entitatea operează și rețele publice de comunicații. Pentru transportul pur, BSI este singura adresă NIS 2. Pentru instalațiile KRITIS, canalul existent de raportare KRITIS continuă să funcționeze în paralel.

UE

ENISA

ENISA publică orientări sectoriale și peisajul amenințărilor pentru transport. Activitatea sa informează autoritățile naționale și organismele de standardizare, dar nu emite norme obligatorii. Pentru orientări specifice transportului, citiți rapoartele ENISA plus normele EASA Part-IS pentru aviație și Rezoluția IMO MSC.428(98) pentru domeniul maritim ca regimuri adiacente.

Trei lucruri care merg prost
Presupuneri comune care eșuează sub examinare atentă.

  • Certificarea noastră de siguranță acoperă cibernetica.

    Regimurile de siguranță (EASA, ERA, IMO și echivalentele naționale) acoperă siguranța operațiunilor și includ tot mai mult elemente de securitate (de exemplu EASA Part-IS). Ele nu îndeplinesc obligațiile din Articolul 21 și Articolul 23 NIS 2. Autoritatea NIS 2 este separată, domeniul de aplicare este mai larg, iar termenul de notificare a incidentelor este diferit.

  • Doar companiile aeriene și aeroporturile intră.

    Toate cele patru subsectoare intră. Administratorii de infrastructură feroviară, întreprinderile feroviare și operatorii de gări se află la 2(b). Operatorii pe căi interioare, maritime și de coastă, organismele de administrare a porturilor și operatorii de servicii de trafic naval se află la 2(c). Autoritățile rutiere pentru controlul gestionării traficului și operatorii de sisteme de transport inteligente se află la 2(d). O autoritate regională de autobuze sau o autoritate portuară este la fel de mult în sectorul 2 ca un operator național de transport aerian.

  • Suntem sub pragul KRITIS, deci NIS 2 nu se aplică.

    Pragurile KRITIS din BSI-KritisV sunt un strat național separat pentru instalații foarte mari. Testul de dimensiune NIS 2 este stabilit în Articolul 2(1) și este în general mult mai scăzut. Un operator de gară cu 60 de angajați și 12 milioane de euro cifră de afaceri se află sub majoritatea pragurilor KRITIS și totuși clar în domeniul de aplicare al NIS 2.

Ce raportează practicienii

Interpretarea pe care o auzim cel mai des de la operatorii de transport este că NIS 2 se așază peste o organizație deja modelată de legislația privind siguranța. Echipele IT și OT vorbesc cu o autoritate de reglementare diferită de echipa de siguranță, iar cele două conversații trebuie să rămână aliniate. Măsurile din Articolul 21 (guvernanță, risc, lanț de aprovizionare, gestionarea incidentelor, continuitatea activității, criptografie, control al accesului, instruire, gestionarea activelor) nu sunt idei noi, dar profunzimea documentării și pasul de înregistrare sunt.

Articolul 21(1) impune măsuri care sunt adecvate și proporționale, ținând seama de stadiul actual al tehnicii, costul punerii în aplicare și expunerea entității. Acest lucru oferă unei mici autorități portuare un prag diferit față de un operator feroviar național. Documentați raționamentul privind proporționalitatea astfel încât un evaluator să îl poată urmări.

Ce face platforma pentru entitățile din transport

Platforma structurează măsurile din Articolul 21 ca un registru unic de obligații și permite operatorilor de transport să își gestioneze dosarul NIS 2 alături de documentația lor existentă privind siguranța. Inventarul activelor (fundamentul RSK), registrul furnizorilor, fluxul de lucru pentru incidente, aprobările de guvernanță și înregistrările de instruire se află într-un singur loc și produc probele pe care le caută BSI.

Nivelul gratuit include tot ce are nevoie un operator pentru a se înregistra în temeiul NIS 2 în Germania și pentru a gestiona obligațiile de bază. Niciun nivel nu blochează vreo funcționalitate necesară.

Surse primare
  • Directiva (UE) 2022/2555 (NIS 2), Anexa I sectorul 2. Transport
  • Directiva (UE) 2022/2555, Articolul 2 (domeniul de aplicare și testul de dimensiune), Articolul 21 (măsuri privind riscul), Articolul 23 (raportarea incidentelor)
  • BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik), Anexa 1 sectorul 2; secțiunile 28, 30, 32
  • BSI-Kritisverordnung (BSI-KritisV), praguri specifice sectorului pentru transport
  • Peisajul amenințărilor ENISA pentru transport (cea mai recentă ediție)
  • Regulamentul de punere în aplicare (UE) 2023/203 al EASA (Part-IS) pentru securitatea aviației
  • Rezoluția IMO MSC.428(98) privind gestionarea riscului cibernetic maritim
Verificați-vă aplicabilitatea
Două minute, fără înregistrare.
Rulați verificarea aplicabilității