CargoON Społeczność Blog Digitalizacja Edukacja Market Review NIS 2 i cyberbezpieczeństwo w łańcuchu dostaw: Kogo obejmują przepisy i co muszą zrobić firmy?
Blog

NIS 2 i cyberbezpieczeństwo w łańcuchu dostaw: Kogo obejmują przepisy i co muszą zrobić firmy?

Author: Monika Kulej

Cyfrowa transformacja szybko zmienia procesy produkcji i dystrybucji, wprowadzając innowacje również w obszarze logistyki i łańcucha dostaw. Jednak niesie ze sobą także nowe zagrożenia związane z cyberbezpieczeństwem. Bezpieczne zarządzanie danymi oraz ochrona operacji przed cyberzagrożeniami stają się zatem kluczowym elementem przyszłości każdej firmy.

Nie bez powodu na poziomie europejskim wprowadzono nową dyrektywę NIS2, która jest fundamentalnym krokiem naprzód w celu poprawy cyberbezpieczeństwa w niektórych kluczowych sektorach, a polskie firmy będą musiały podjąć odpowiednie działania, aby spełnić jej wymogi.

Jako firma technologiczna oferująca rozwiązania chmurowe, traktujemy cyberbezpieczeństwo bardzo poważnie i wiemy, że zarządzanie ryzykiem cybernetycznym wymaga ciągłej czujności, aby każdy proces odpowiednio reagował na potencjalne zagrożenia.

Dlatego chcemy dostarczyć wskazówki dotyczące obowiązków wprowadzonych przez nową dyrektywę, sektorów nią objętych oraz tego, co muszą zrobić firmy, aby spełnić wymagane terminy.

Czym jest dyrektywa NIS2: zakres i cele

Dyrektywa o bezpieczeństwie sieci i informacji (NIS2) to aktualizacja wcześniejszej dyrektywy NIS (2016/1148), wprowadzonej przez Unię Europejską w celu poprawy bezpieczeństwa sieci i informacji w szerokim zakresie sektorów uznawanych za kluczowe, ponieważ zapewniają one niezbędne usługi, a ich odporność na cyberataki ma zasadnicze znaczenie dla uniknięcia zakłóceń, które mogłyby mieć poważne skutki gospodarcze i społeczne.

Dyrektywa ma na celu stworzenie wspólnej strategii podnoszenia poziomu cyberbezpieczeństwa wśród państw członkowskich, obejmując nie tylko duże przedsiębiorstwa, ale także mniejsze organizacje, które świadczą kluczowe i niezbędne usługi.

Głównym zadaniem NIS2 jest wzmocnienie odporności cyfrowej infrastruktury firm działających w Unii Europejskiej, w tym zarówno dużych, jak i mniejszych organizacji, które świadczą kluczowe usługi. 

Dyrektywa ma na celu stworzenie wspólnej strategii podnoszenia poziomu cyberbezpieczeństwa, aby zwiększyć wymagania dotyczące bezpieczeństwa oraz zapewnić szybszą i bardziej skoordynowaną reakcję na coraz bardziej zaawansowane ataki cybernetyczne.

Zgodnie z dyrektywą NIS2 firmy muszą wdrożyć bardziej zaawansowane środki cyberbezpieczeństwa, aby chronić wrażliwe dane oraz kluczowe systemy informacyjne, tym samym zmniejszając ryzyko zakłóceń operacyjnych spowodowanych cyberatakami. Nowe przepisy wymagają także większej współpracy pomiędzy państwami członkowskimi oraz wzmocnienia kooperacji pomiędzy podmiotami publicznymi i prywatnymi.

Kiedy dyrektywa NIS2 wchodzi w życie w całej UE?

Dyrektywa NIS2, przyjęta przez Unię Europejską w 2022 roku, zobowiązuje wszystkie państwa członkowskie do wdrożenia jej do prawa krajowego do 18 października 2024 roku. W całej UE, w tym we Włoszech, Hiszpanii, Polsce, dyrektywa ma wejść w życie do tego terminu, a dokładne daty będą zależeć od procesu legislacyjnego w poszczególnych krajach.

Włochy już zatwierdziły dekret legislacyjny 138/2024, który został opublikowany 1 października 2024 roku, a jego przepisy wejdą w życie 16 października 2024 roku. Kraje takie jak Niemcy i Francja rozpoczęły już wdrażanie dyrektywy, natomiast Hiszpania i Niderlandy są w końcowych fazach przygotowywania swoich przepisów krajowych.

W Polsce przepisy wdrażające dyrektywę zostały opublikowane przed tym terminem, a nowe regulacje weszły w życie 17 października 2024 roku, zgodnie z wymaganiami UE. Oznacza to, że od tego dnia polskie podmioty zobowiązane są do przestrzegania nowych przepisów w zakresie cyberbezpieczeństwa.

Nowelizacja Ustawy o krajowym systemie cyberbezpieczeństwa (KSC), która implementuje dyrektywę NIS2, rozszerza zakres obowiązków w zakresie ochrony sieci i systemów informacyjnych dla kluczowych sektorów, takich jak energetyka, transport i infrastruktura cyfrowa. W szczególności podmioty krytyczne muszą spełniać wymogi dotyczące systemów zarządzania bezpieczeństwem informacji zgodnych z normami PN-EN ISO/IEC 27001 i ISO 22301​.

Dla polskich firm oznacza to konieczność szybkiego dostosowania swoich systemów, aby uniknąć potencjalnych kar za nieprzestrzeganie nowych przepisów, w tym surowych sankcji finansowych w przypadku poważnych naruszeń​.

Jakie firmy obejmuje dyrektywa NIS2

Dyrektywa NIS2 ma szeroki zakres zastosowania i obejmuje sektory uznawane za kluczowe dla gospodarki i społeczeństwa. Sektory te obejmują m.in. energetykę, transport, finanse, opiekę zdrowotną, produkcję żywności, produkcję przemysłową, a także dostawców usług cyfrowych, zarządzanie odpadami, chemię, dostawy wody i usługi pocztowe.

Sektor transportu

  • Firmy świadczące usługi transportu towarowego i pasażerskiego (kolejowego, lotniczego, morskiego i drogowego).
  • Firmy logistyczne zarządzające łańcuchami dostaw i dystrybucji, w tym porty i lotniska.
  • Dostawcy systemów informatycznych do zarządzania transportem i ruchem drogowym, takie jak systemy śledzenia pojazdów oraz optymalizacji tras.

Sektor transportowy jest jednym z obszarów strategicznych objętych dyrektywą NIS2. Wraz z rosnącą cyfryzacją procesów logistycznych, bezpieczeństwo danych związanych z zarządzaniem transportem i przewozami staje się kluczowe. Firmy transportowe muszą zapewnić ochronę wrażliwych informacji oraz systemów, które zarządzają operacjami transportowymi.

Sektor produkcyjny 

  • Firmy produkujące chemikalia, maszyny oraz sprzęt przemysłowy.
  • Branże dostarczające kluczowe materiały i komponenty dla innych sektorów (np. stal i gotowe produkty wspierające istotną infrastrukturę).
  • Przemysł wykorzystujący technologie IoT do monitorowania produkcji i łańcuchów dostaw.

Firmy produkcyjne, szczególnie te, które prowadzą zautomatyzowaną i cyfrową produkcję, również muszą dostosować się do dyrektywy NIS2. Zakłócenia w produkcji spowodowane cyberatakami mogą prowadzić do ogromnych strat ekonomicznych oraz zaburzeń w globalnym łańcuchu dostaw. Branże z systemami produkcyjnymi opartymi na technologii IoT oraz innych zaawansowanych technologiach muszą wdrożyć standardy cyberbezpieczeństwa, aby minimalizować ryzyko.

Sektor spożywczy

  • Firmy zajmujące się produkcją, przetwarzaniem i dystrybucją żywności i napojów.
  • Duże sieci dystrybucji żywności oraz platformy detaliczne.
  • Dostawcy technologii zarządzania łańcuchami dostaw żywności (np. platformy śledzenia produktów spożywczych).

Firmy zajmujące się produkcją, przetwarzaniem, dystrybucją oraz logistyką produktów spożywczych należą do kluczowych podmiotów objętych dyrektywą NIS2. Sektor ten w coraz większym stopniu opiera się na infrastrukturze cyfrowej do zarządzania łańcuchami dostaw i logistyką, co sprawia, że cyberbezpieczeństwo staje się kluczowe dla ochrony jakości i bezpieczeństwa produktów żywnościowych.

Czy technologia może usprawnić zarządzanie zleceniami transportowymi? Darmowy przewodnik po cyfryzacji łańcucha dostaw CargoON

Obowiązki nałożone przez przepisy

Aby przytoczyć przykład odnoszący się do wspomnianych wcześniej sektorów, firmy działające w branży spożywczej i produkcyjnej będą musiały zadbać o to, by ich dostawcy usług transportowych również spełniali standardy bezpieczeństwa określone w dyrektywie NIS2. Niezbędne będzie podjęcie odpowiednich działań w celu zapewnienia bezpiecznego zarządzania transportem oraz ochrony integralności łańcucha dostaw.

Firmy objęte NIS2 będą zobowiązane do przeprowadzania okresowych ocen ryzyka cyberbezpieczeństwa oraz wdrażania strategii mających na celu zminimalizowanie wszelkich podatności. Dodatkowo, będą musiały szybko zgłaszać istotne incydenty związane z bezpieczeństwem do odpowiednich organów.

W kontekście bezpieczeństwa łańcucha dostaw, można podsumować trzy kluczowe obowiązki, które firmy będą musiały przestrzegać:

  • Ocena ryzyka: Firmy muszą ocenić ryzyko związane z cyberbezpieczeństwem nie tylko dla własnych wewnętrznych systemów, ale także dla systemów krytycznych dostawców w ramach swojego łańcucha dostaw. Dotyczy to również partnerów zewnętrznych i dostawców, którzy przetwarzają wrażliwe dane lub świadczą kluczowe usługi dla funkcjonowania przedsiębiorstwa.
  • Kontrola dostawców: Należy wdrożyć rygorystyczne kryteria dotyczące wyboru dostawców, a umowy muszą zawierać odpowiednie środki w zakresie cyberbezpieczeństwa. Firmy muszą nieustannie monitorować bezpieczeństwo swoich dostawców, aby zapobiec podatnościom w całym łańcuchu dostaw.
  • Monitorowanie: Firmy muszą zapewnić większą przejrzystość przepływów informacji, tak aby każdy element łańcucha był monitorowalny i możliwy do śledzenia, co pozwoli zapobiec oszustwom, zakłóceniom czy cyberatakom w ramach łańcucha dostaw.

Co muszą zrobić firmy, aby spełnić wymogi dyrektywy NIS2?

Aby dostosować się do dyrektywy NIS2, firmy muszą podjąć szereg działań mających na celu poprawę bezpieczeństwa swojej infrastruktury cyfrowej. Najważniejsze z nich podsumowaliśmy poniżej:

  • Ocena ryzyka: Firmy muszą przeprowadzić kompleksową ocenę ryzyka cybernetycznego i zidentyfikować krytyczne podatności w swoich systemach IT oraz OT (Operational Technology).
  • Wdrożenie środków bezpieczeństwa: Należy podjąć zarówno techniczne, jak i organizacyjne działania w celu zmniejszenia zidentyfikowanych ryzyk, takie jak zaawansowane zapory sieciowe, systemy wykrywania włamań, szyfrowanie danych oraz regularne tworzenie kopii zapasowych.
  • Plany ciągłości działania: Firmy muszą opracować plany awaryjne, które zagwarantują ciągłość działania w przypadku cyberataku.
  • Szkolenie pracowników: Pracownicy powinni być odpowiednio przeszkoleni oraz świadomi zagrożeń cyberbezpieczeństwa, ze szczególnym uwzględnieniem ryzyk specyficznych dla danej branży.
  • Współpraca i raportowanie: Firmy muszą współpracować z odpowiednimi organami oraz niezwłocznie zgłaszać wszelkie incydenty związane z cyberbezpieczeństwem, przy czym poważne naruszenia muszą być zgłaszane w ciągu 24 godzin.

Konsekwencje i kary za nieprzestrzeganie dyrektywy NIS2

Firmy, które nie spełnią wymogów dyrektywy NIS2, narażają się na poważne konsekwencje, w tym surowe kary finansowe oraz uszczerbek na reputacji. Grzywny za nieprzestrzeganie przepisów mogą sięgać nawet 2 procent rocznego globalnego obrotu firmy lub 10 milionów euro, w zależności od tego, która kwota jest wyższa. Dodatkowo, zgodnie z artykułem 38, władze mogą tymczasowo zawiesić certyfikaty lub autoryzacje, jeśli organizacja nie spełnia wymogów, a także uznać członków organów zarządzających za niezdolnych do pełnienia funkcji kierowniczych, dopóki nie zostaną wdrożone niezbędne środki.

Oczywiście, poza karami, najpoważniejszą konsekwencją nieprzestrzegania przepisów dotyczących cyberbezpieczeństwa jest zwiększona podatność firm na ryzyka operacyjne, takie jak przerwy w produkcji, utrata danych czy inne szkody, które mogą zagrozić ich konkurencyjnej pozycji na rynku.

Korzyści z platformy certyfikowanej zgodnie z normą ISO 27001, takiej jak CargoON

Wdrożenie platformy cyfrowej certyfikowanej zgodnie z ISO 27001, takiej jak CargoON, oferuje firmom podwójną korzyść – poprawę zarówno efektywności operacyjnej, jak i bezpieczeństwa. Certyfikacja ISO 27001 gwarantuje, że platforma spełnia międzynarodowe standardy zarządzania bezpieczeństwem informacji, co pozwala zminimalizować ryzyka wspomniane wcześniej.

1. Zaawansowane bezpieczeństwo danych

Certyfikacja ISO 27001 zapewnia, że firmy wdrażają bezpieczne praktyki zarządzania informacjami, takie jak szyfrowanie, uwierzytelnianie wieloskładnikowe oraz ciągły monitoring. To kluczowe dla ochrony wrażliwych danych związanych z łańcuchem dostaw i zapobiegania atakom ransomware lub kradzieży danych (firmy lub jej klientów). Jako eksperci w dziedzinie technologii transportu, zarówno CargoON, jak i Trans.eu, którego jesteśmy częścią, są zaangażowane w dostarczanie najnowocześniejszych rozwiązań technologicznych do innowacyjnego zarządzania transportem i łańcuchem dostaw, a skupienie się na cyberbezpieczeństwie jest wpisane w nasze DNA: Grupa Trans.eu posiada certyfikację ISO 27001 od 2016 roku.

2. Efektywne zarządzanie łańcuchem dostaw

Cyfrowa transformacja jest dziś warunkiem koniecznym, aby utrzymać konkurencyjność w przyszłości zdominowanej przez technologię. Dzięki platformie chmurowej, takiej jak CargoON, firmy mogą zarządzać swoimi operacjami logistycznymi i zaopatrzeniowymi bardziej efektywnie poprzez automatyzację, optymalizację procesów oraz cyfryzację end-to-end. Dodatkowo przynosi to znaczne pośrednie korzyści w postaci oszczędności czasu i kosztów. Na przykład, dzięki narzędziom takim jak Dock Scheduler, firmy mogą skrócić czas oczekiwania pojazdów nawet o 70%, co poprawia zarządzanie operacjami w magazynach oraz zmniejsza koszty nadgodzin i opłat postojowych.

3. Monitorowanie i zgodność z przepisami

Dla firm z branży spożywczej, a także innych branż, ogromnym wyzwaniem jest zapewnienie pełnego monitoringu produktów w całym łańcuchu dostaw. Platforma taka jak CargoON pomaga w cyfryzacji całego procesu, ułatwiając bezpieczne przechowywanie i natychmiastowy dostęp do wszystkich istotnych informacji.

4. Zarządzanie ryzykiem i ciągłość działania

Zarządzanie ryzykiem to aspekt, którego nie należy lekceważyć. Firmy, które wciąż polegają na manualnych, niedigitalizowanych systemach, mogą być bardziej narażone na ryzyko utraty danych, co może prowadzić do przerw w świadczeniu usług. Z kolei firmy decydujące się na rozwój własnych rozwiązań cyfrowych będą musiały zadbać o utrzymanie bezpieczeństwa i prawidłowego funkcjonowania technologii, w tym o okresowe aktualizacje systemów i protokołów. Wybierając platformę taką jak CargoON, firmy zwalniają się z obowiązku utrzymywania zgodności technologii z wymaganymi standardami, korzystają z zalet wyższego poziomu cyfryzacji procesów oraz mogą liczyć na partnera certyfikowanego zgodnie z ISO 27001, który redukuje ryzyko cybernetyczne.

5. Monitoring w czasie rzeczywistym

Posiadanie widoczności statusu operacji transportowych i logistycznych jest kluczowe dla podjęcia szybkich działań naprawczych w przypadku opóźnień lub problemów. Dzięki CargoON można osiągnąć pełną cyfryzację łańcucha dostaw, co pozwala na dokładniejszy monitoring oraz oferuje większą przejrzystość statusu towarów dla klientów i partnerów.

6. Integracja z istniejącymi systemami

CargoON został zaprojektowany z myślą o łatwej integracji z systemami ERP oraz innymi systemami zarządzania łańcuchem dostaw, transportem i magazynowaniem. Oferuje skalowalne rozwiązanie, które wymaga krótkiego czasu wdrożenia i minimalnych inwestycji w infrastrukturę technologiczną. Ułatwia to płynne przejście do cyfryzacji przy jednoczesnej poprawie efektywności.

Znaczenie cyberbezpieczeństwa w zdigitalizowanych procesach

Cyfryzacja zrewolucjonizowała sposób prowadzenia biznesu, przynosząc niesamowite korzyści, ale także nowe zagrożenia związane z cyberbezpieczeństwem. Przyszłość firm zależy od ich zdolności do bezpiecznego zarządzania danymi i operacjami, co pozwala przekształcić wyzwania cyfryzacji w możliwości rozwoju i wzrostu konkurencyjności.

Zarządzanie łańcuchem dostaw jest z pewnością jednym z kluczowych aspektów działalności firm, zwłaszcza w sektorach takich jak spożywczy, produkcyjny i transportowy. Wraz z cyfryzacją procesów transportowych, bezpieczeństwo platform zarządzających tymi operacjami staje się niezbędne, aby zmniejszyć ryzyko związane z cyberatakami.

Wybór wdrożenia platform cyfrowych z akredytowanymi partnerami, takimi jak CargoON, to kluczowy krok w minimalizowaniu tych zagrożeń i zapewnianiu ochrony krytycznych procesów przed potencjalnymi cyberzagrożeniami.

Bezpłatny przewodnik dla firm dotyczący wyboru odpowiedniej cyfrowej platformy transportowej i logistycznej - CargoON