Transport musi bronić się przed cyfrowymi atakami

Przebudowująca ramy europejskiego porządku infrastruktury krytycznej i cyfrowej dyrektywa NIS 2 weszła w życie 16 stycznia. Niedługo zostanie wdrożona w Polsce, nakłada obowiązki także na firmy logistyczne.

Publikacja: 02.02.2023 17:10

Transport musi bronić się przed cyfrowymi atakami

Foto: Robert Przybylski

Dyrektywa wprowadza dwie jasne kategorie podmiotów: kluczowe i ważne. Różnica pomiędzy podmiotami ważnymi i kluczowymi wyraża się w stosowaniu środków nadzoru. W przypadku podmiotów ważnych audyty są przeprowadzane po naruszeniach, nie są one też objęte kontrolami wyrywkowymi. 

Transport wśród kluczowych sektorów

Dyrektywa obejmie 11 sektorów: energetyka, transport, bankowość, infrastruktura rynku finansowego, ochrona zdrowia, wodociągi, spółki wodno- kanalizacyjne, infrastruktura cyfrowa, administracja publiczna, przestrzeń kosmiczna i produkcja żywności. 

Czytaj więcej

Czy nadchodzi kres spowolnienia?

Na listę trafili też dostawcy produktów krytycznych, w tym systemów IT do sterowania ruchem kolejowym, transportem miejskim czy dostawami do strategicznych obiektów, a także operatorzy usług pocztowych i kurierskich.

Firmy z tych obszarów zostały zobligowane do regularnego przedstawiania dowodów na prowadzenie realnej polityki cyberbezpieczeństwa, oceny ryzyka, a także przeprowadzania audytów bezpieczeństwa, powiadamiania władz o wszelkich nieprawidłowościach oraz podejmowania działań w celu przeciwdziałania zagrożeniom. 

Za nieprzestrzeganie przepisów grozi grzywna do 10 mln euro i co najmniej 2 proc. globalnych obrotów dla podmiotów kluczowych i do 7 mln euro i co najmniej 1,4 proc. dla podmiotów ważnych. W pierwszej kolejności firmy zostaną wezwane do usunięcia uchybień lub zapewnienie zgodności, a w przypadku braku pożądanych działań mogą stracić certyfikaty czy zezwolenia na świadczenie usług, lub nawet na całość działalności gospodarczej. Kary przewidziane są też dla dyrektorów generalnych i przedstawicieli prawnych spółek. Mogą oni zostać zawieszeni w ramach funkcji. – Stoimy w obliczu nowego sposobu prowadzenia wojny – wskazuje Krzysztof Wójtowicz z ICsec, licencjonowanego dostawcy usług z zakresu cyberbezpieczeństwa dla przemysłu. 

Państwa UE mają ściślej współpracować w ramach zwalczania cyberprzestępczości. Powołana zostanie Europejska Sieć Organizacji Łącznikowych ds. Cyberkryzysów (EU-CyCLONE), która ma odpowiadać za wsparcie koordynacji zarządzania incydentami i dużymi kryzysami cybernetycznymi. 

Wdrożenie w Polsce

Na początku stycznia w wykazie prac legislacyjnych i programowych Rady Ministrów pojawiła się kolejna wersja projektu nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. 

Znalazły się w niej zapisy dotyczące współpracy operatorów przy tworzeniu strategii bezpieczeństwa, zgłaszania incydentów, zasad przyznawania certyfikatów. – Projekt wprowadza też niezwykle istotną w kontekście wykonania postanowień dyrektywy kategorię Operatora Strategicznej Sieci Bezpieczeństwa – zaznacza Wójtowicz. 

Czytaj więcej

Usunięcie z dróg spalinowych ciężarówek to niepotrzebny eksperyment

Będzie to jednoosobowa spółka Skarbu Państwa, przedsiębiorca telekomunikacyjny, który posiada infrastrukturę telekomunikacyjną niezbędną do zapewnienia realizacji zadań na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego. Musi posiadać środki techniczne i organizacyjne, zapewniające bezpieczne przetwarzanie danych w sieci telekomunikacyjnej czy świadectwo bezpieczeństwa przemysłowego pierwszego stopnia.

Ustawa o KRC w zaproponowanym brzmieniu wywołuje sprzeciw wśród małych i średnich przedsiębiorstw, dla których rządowy projekt wiąże się z koniecznością wdrożenia blisko 200 nowych obowiązków. – Oznaczać to będzie spore wydatki na poprawę stanu infrastruktury, szkolenia czy zatrudnienie nowych pracowników – zaznacza ekspert z ICsec. Ostrzega, że inwestycje mogą doprowadzić do fali bankructw. 

Sprzeciw firm budzi krótkie vacatio legis projektu. Wyniesie zaledwie 30 dni. – To zdecydowanie zbyt mało, gdyż w przypadku małej i średniej firmy wdrożenie wymaganych zmian może zająć nawet kilkanaście miesięcy – szacuje Wójtowicz. 

Dyrektywa wprowadza dwie jasne kategorie podmiotów: kluczowe i ważne. Różnica pomiędzy podmiotami ważnymi i kluczowymi wyraża się w stosowaniu środków nadzoru. W przypadku podmiotów ważnych audyty są przeprowadzane po naruszeniach, nie są one też objęte kontrolami wyrywkowymi. 

Transport wśród kluczowych sektorów

Pozostało 91% artykułu
Regulacje Ue
Będzie ruch w białoruskich firmach w Polsce
Regulacje Ue
W Brukseli walczą koleje prywatne z państwowymi o dostęp do torów
Regulacje Ue
Umowa transportowa z Ukrainą przedłużona. Co się zmieni?
Regulacje Ue
Ponadnormatywni domagają się harmonizacji
Regulacje Ue
Elektryczne ciężarówki obowiązkowe
Materiał Promocyjny
Citi Handlowy kontynuuje świetną ofertę dla tych, którzy preferują oszczędzanie na wysoki procent.