Do 17 października 2024 r. polskie firmy z sektorów uznanych za kluczowe oraz ważne mają obowiązek wdrożenia zaleceń unijnej dyrektywy cyberbezpieczeństwa NIS2. Regulacje te dotyczą również wszystkich podmiotów, które współpracują z nimi w łańcuchu dostaw. Dokument, który wszedł w życie 16 stycznia 2023 r., jest podstawą funkcjonowania systemów cyberbezpieczeństwa w przestrzeni unijnej, także w odniesieniu do portów morskich, żeglugi, sektora TSL, morskiej energetyki wiatrowej i przemysłu okrętowego.
Wśród sektorów uznanych za kluczowe, które muszą być najbardziej chronione, znalazły się m.in. transport (wodny, lądowy i powietrzny), energetyka (w tym OZE) czy administracja publiczna (także administracja morska). Z kolei w sektorze podmiotów ważny znalazł się przemysł obejmujący również stocznie. To, co jest istotnym novum w regulacjach NIS2, to konieczność samozdefiniowania się firm w zakresie podlegania unijnym przepisom bądź też nie. To podmiot sam musi określić, czy jego zakres działalności kwalifikuje go do wdrożenia dyrektywy, choć przedstawiony zakres branż, które przepisy te obejmą, wydaje się dosyć czytelny.
Ponadto zgodnie z założeniami NIS2 dla bezpieczeństwa firm z sektorów uznanych za kluczowe i ważne ogromne znaczenie ma kontrola łańcucha dostaw i „uwzględnienie ryzyka wynikającego z relacji podmiotu z podmiotami trzecimi, takimi jak dostawcy usług przechowywania i przetwarzania danych, dostawcy usług bezpieczeństwa i dostawcy oprogramowania”. W regulacjach tych Unia Europejska kładzie nacisk na „bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące relacji pomiędzy każdym podmiotem a jego bezpośrednimi dostawcami produktów lub usług”.
Szczególnie newralgiczna będzie obsługa incydentów, a co za tym idzie, posiadanie własnego działu Security Operation Center (SOC). Firmy będą musiały przekazać bowiem raport „o wczesnym ostrzeżeniu” w ciągu 24 godz. od momentu jego wykrycia, a następnie przeprowadzić wstępną ocenę w ciągu 72 godz. Mają też miesiąc na przedstawienie ostatecznego raportu. Niedopełnienie tego obowiązku może skutkować karami finansowymi, a są one bardzo dotkliwe – mogą wynieść do 10 mln euro lub 2% całkowitego rocznego obrotu danego przedsiębiorstwa. Dochodzi do tego również bezpośrednia odpowiedzialność zarządu za uchybienia we wdrożeniu unijnych regulacji, np. czasowy zakaz pełnienia funkcji kierowniczych, w tym w zarządach i radach nadzorczych. Szczególnie że NIS2 zakłada możliwość kontroli, audytów i skanów bezpieczeństwa, przez odpowiednie organy nadzorcze, oraz wystąpienie z wnioskiem o przedstawienie dowodów realizacji polityki cyberbezpieczeństwa przed dany podmiot.
Biorąc więc pod uwagę zarówno dynamiczny rozwój rozwiązań cyfrowych obejmujących sektor morski i logistyczny, a co za tym idzie, konieczności wdrożenia odpowiednich zabezpieczeń, jak regulacje w zakresie cyberbezpieczeństwa na poziomie unijnym oraz krajowym, warto podkreślić, jak bardzo ważne jest cyberbezpieczeństwo dla polskiego sektora morskiego i logistycznego. I właśnie na ten temat będziemy dyskutowali w trakcie konferencji „Bezpieczeństwo gospodarki morskiej”, która odbędzie się 12 marca 2024 r., w Courtyard Gdynia by Marriot. Dodatkowo planowane są również warsztaty i gry strategiczne.
Współorganizatorem wydarzenia są „Namiary na Morze i Handel”, natomiast partnerem strategicznym jest EY, partnerem głównym Zarząd Morskiego Portu Gdańsk i OT Logistics, a partnerami: Polski PCS, Naftoport i Polferries. Wydarzenie odbędzie się ramach XIII Transport Week, zaplanowanego na 12-13 marca br., którego organizatorem tradycyjnie jest Actia Forum (więcej informacji: www.namiary.pl, www.transportweek.eu).
