Ghid practic pentru operatori logistici, companiile de transport și administratori de depozite clasificați ca entități importante. Aflați obligațiile concrete de securitate cibernetică, protecția sistemelor de urmărire și cerințele lanțului de aprovizionare conform Legii 362/2022.
Se califică operatorii logistici, companiile de curierat și depozitele cu activități critice pentru continuitatea lanțului de aprovizionare național. Includ expeditori cu sisteme digitale integrate pentru urmărire flote, gestionare depozite și prelucrare documente vamale. Se aplică dacă operațiunile afectează direct infrastructura de transport și logistică esențială a României.
Trebuie implementate măsuri de criptare și autentificare multi-factor pentru toate dispozitivele IoT, senzori GPS și platformele de gestionare a depozitelor. Accesul administratorilor și contractorilor trebuie restricționat pe bază de roluri, iar log-urile de acces trebuie păstrate minimum 12 luni. Sistemele de urmărire nu trebuie să funcționeze cu credențiale implicite și necesită actualizări regulate de securitate.
Contractele cu operatori de transport, depozitari terți și furnizori de servicii logistice trebuie să includă clauze explicite de securitate cibernetică. Subcontractanții trebuie să aplice cel puțin nivelul minim de protecție pentru sisteme care au acces la date de expediție, locații depozite sau documente vamale. Auditul anual al conformității furnizorilor este obligatoriu și trebuie documentat.
Orice întrerupere a sistemelor de urmărire, gestionare depozite sau documente vamale care afectează continuitatea operațiunilor trebuie raportată DNSC în termen de 24 ore. Incidentele care blochează expedieri, vamă sau acces depozite sunt considerate disrupciuni critice și necesită plan de recuperare. Trebuie menținute proceduri de backup manual și alternative operaționale pentru cazuri de indisponibilitate.
Toate datele care conțin locații depozite, rute de transport, documente vamale și informații despre expeditori trebuie stocate criptat și accesibile doar persoanelor autorizate. Trebuie implementat control de acces bazat pe necesitate și audit de acces periodic. În caz de breach, trebuie notificați imediat expeditorii afectați și autorități vamale, dacă datele includ documente cu caracter fiscal.
Planurile de business continuity trebuie să acopere integral sistemele de gestionare depozite, urmărire flote și prelucrare documente — nu doar echipamentele IT centrale. Backup-urile trebuie testate trimestrial și stocate în locații geografic separate. Trebuie definit RTO (Recovery Time Objective) maxim de 4 ore pentru sisteme de urmărire și 8 ore pentru gestionare depozite.
Termenul limită de conformitate este 17 octombrie 2026 conform Legii 362/2022. Operatorii logistici clasificați ca entități importante (Anexa II) trebuie să demonstreze implementarea tuturor obligațiilor de securitate până la această dată. DNSC va efectua controale și audituri pentru verifica conformitatea, iar nerespectarea poate genera amenzi semnificative.
Sistemele critice includ platforma de urmărire flote în timp real, software-ul de gestionare depozite, sisteme de prelucrare documente vamale și baze de date cu locații și rute. Orice indisponibilitate a acestor sisteme pe mai mult de 4 ore afectează direct continuitatea lanțului de aprovizionare și trebuie raportată DNSC. Backup-urile și recovery-ul pentru aceste sisteme sunt obligatorii cu RTO maxim de 4 ore.
Neconformitatea cu NIS2 poate genera amenzi administrative până la 10 milioane euro sau 2% din cifra de afaceri globală pentru entități importante (Anexa II). În plus, DNSC poate impune măsuri corective, suspendarea parțială a activităților logistice critice și restricții la acces la contracte publice. Incidentele de securitate neraportate în termen legal pot agrava sancțiunile.