Nowelizacja dyrektywy NIS2 z 16 stycznia br., będąca podstawą funkcjonowania systemów cyberbezpieczeństwa w przestrzeni unijnej, także w odniesieniu do portów morskich i sektora TSL, wprowadza kilka zmian w zakresie regulacji. Otóż zakłada tzw. samoidentyfikację podmiotów. Teraz to nie organy właściwe określać będą kryteria, na podstawie których będą podlegały pod zapisy dyrektywy. Każdy podmiot operujący w danym sektorze i będący przynajmniej średnim przedsiębiorstwem będzie podlegał pod wspomniane zapisy. Państwa członkowskie mają natomiast stworzyć mechanizm, który pozwoli tym podmiotom na samonotyfikację, czyli przekazanie administracji publicznej swoich danych kontaktowych i nazwy sektora, w którym operują, oraz określenia usług, które świadczą. Kolejną dużą zmianą są wymagania dla operatów: poza szacowaniem ryzyka wprowadzony został obowiązek zapewniania bezpieczeństwa łańcucha dostaw, notyfikacji zagrożeń także do odbiorców usług, a nie tylko incydentów oraz zapewnienie szyfrowania. Są to duże wyzwania, do których warto zacząć się przygotowywać jak najszybciej.
Dyrektywa wciąż koncentruje się jednak na trzech filarach: instytucjach, które powinny powstać we wszystkich państwach członkowskich, współpracy na poziomie europejskim oraz zobowiązaniach dotyczących bezpieczeństwa sieci i informacji. Pierwszy filar dotyczy stworzenia organów właściwych ds. bezpieczeństwa sieci i informacji, których zdaniem jest monitorowanie wdrożenia przepisów dyrektywy na poziomie krajowym (tzw. CSIRT). Drugi obejmuje mechanizmy współpracy na dwóch poziomach, technicznym (poprzez europejską sieć CISRT oraz stworzenie mechanizmów wymiany informacji o incydentach) oraz polityczno-strategicznym (poprzez utworzenie Grupy Współpracy, która zajmie się wypracowaniem wspólnych koncepcji strategicznych). Równolegle do sieci CSIRT powstanie formalna sieć współpracy strategicznej podczas kryzysów cyberbezpieczeństwa (EU-CyCLONe). Trzeci filar obejmuje zobowiązania, które są różne w zależności od zakresu podmiotowego określonego przez aneksy do dyrektywy, które regulują kwestie operatorów usług kluczowych oraz dostawców usług cyfrowych.
Z punktu widzenia sektora morskiego, portów, żeglugi oraz logistyki, najbardziej istotne wydają się zapisy pierwszego z aneksów, który zakwalifikował do grupy operatorów usług kluczowych także sektor transportowy, w tym morski (obok kolejowego i lotniczego). Ponadto znalazły się tam takie branże jak: energetyka (m.in. energia elektryczna, ropa, gaz), bankowość (m.in. instytucje kredytowe), finanse (m.in. giełda), zdrowie (m.in. podmioty świadczące opiekę zdrowotną, w tym szpitale), zaopatrzenie w wodę oraz infrastruktura cyfrowa (m.in. punkty wymiany ruchu internetowego, dostawcy usług systemu nazw domen oraz rejestry nazw domen najwyższego poziomu). NIS2 uwzględnia także kary finansowe za niedopełnienie obowiązków w zakresie zarządzania ryzykiem i raportowania incydentów przez podmioty kluczowe. Są one wyjątkowo dotkliwe – mogą wynieść do 10 mln euro lub 2% całkowitego rocznego obrotu danego przedsiębiorstwa.
Odzwierciedleniem unijnych regulacji na naszym rodzimym gruncie jest ustawa o krajowym systemie cyberbezpieczeństwa z lipca 2018 r., która ma zostać znowelizowana. Podobnie jak w unijnych dyrektywach także w ramach tego dokumentu wprowadzona została kategoria operatorów usług kluczowych, czyli firm i instytucji świadczących usługi o istotnym znaczeniu dla utrzymania krytycznej działalności społecznej lub gospodarczej. Za kluczowe sektory gospodarki, podobnie jak w unijnym dokumencie, uznano: energetykę, bankowość i infrastrukturę rynków finansowych, ochronę zdrowia, zaopatrzenie w wodę pitną (wraz z dystrybucją), infrastrukturę cyfrową oraz transport. Firmy i instytucji zakwalifikowanych do grupy operatorów usług kluczowych w zakresie branży morskiej jest 10.
Biorąc pod uwagę zarówno dynamiczny rozwój rozwiązań cyfrowych obejmujących sektor morski i logistyczny, a co za tym idzie konieczności wdrożenia odpowiednich zabezpieczeń, jak i regulacje w zakresie cyberbezpieczeństwa na poziomie unijnym oraz krajowym, warto odpowiedzieć sobie na pytanie, w jakim zakresie cyberbezpieczeństwo jest istotne dla polskiego sektora morskiego i logistycznego. I właśnie na ten temat będziemy dyskutowali w trakcie konferencji „Cyberbezpieczeństwo w gospodarce morskiej” która odbędzie się 14 marca 2023 r. w Courtyard Gdynia by Marriot. Dodatkowo planowane są również warsztaty i gry strategiczne.
Współorganizatorem wydarzenia są „Namiary na Morze i Handel”, natomiast partnerem strategicznym jest EY, partnerami głównymi Zarząd Morskiego Portu Gdańsk i Zarząd Morskiego Portu Gdynia, partnerem srebrnym Terramar, a partnerami: Polski PCS, Hutchison Ports Gdynia i Polferries. Wydarzenie odbędzie się ramach XII edycji spotkania Transport Week, zaplanowanego na 14-15 marca br., którego organizatorem tradycyjnie jest Actia Forum (więcej informacji: namiary.pl, transportweek.eu).
