Această pagină este destinată responsabililor cu securitatea cibernetică și compliance din sectorul transporturilor și portuar din România. Veți afla ce obligații specifice vine cu clasificarea de entitate esențială și cum să implementați măsuri concrete pentru protejarea sistemelor operaționale critice.
Sunt supuse regulamentului NIS2 companiile aeriene care operează zboruri comerciale, operatorii de servicii feroviare, autoritățile de transport rutier responsabile cu infrastructura critică, companiile de transport maritim și operatorii de terminale portuare din România. Aceste organizații, indiferent de dimensiune, sunt clasificate ca entități esențiale conform Legii 362/2022 datorită impactului critic asupra mobilității și siguranței călătorilor.
Trebuie să implementați controale de securitate pentru sistemele de control trafic aerian, sisteme de gestionare a flotelor și platformele de rezervare bilete. Aceasta include segmentarea rețelei IT/OT, autentificare multifactor pentru acces administrativ și monitorizare continuă a anomaliilor în sistemele critice care afectează siguranța pasagerilor și operațiunile transfrontaliere.
Orice incident de securitate cibernetică care perturbă serviciile de pasageri sau afectează operațiunile transfrontaliere trebuie raportate autorității DNSC în termen de 24 de ore de la descoperire. Raportul trebuie să conțină descrierea incidentului, sistemele afectate, impactul asupra pasagerilor și măsurile de remediere inițiate.
Trebuie să efectuați evaluări de risc pentru toți furnizorii de software avionic și sisteme critice de siguranță. Implementați contracte cu clauze de securitate cibernetică obligatorie, auditați codul sursă pentru vulnerabilități și asigurați că furnizorii au certificări de conformitate NIS2 sau echivalente.
Sistemele de rezervare bilete și ticketing trebuie protejate cu cel mai înalt nivel de control cibernetic, inclusiv criptare end-to-end, testare regulată de penetrare și planuri de continuitate a activității. Orice sistem moștenit care nu respectă standardele moderne de securitate trebuie modernizat sau înlocuit înainte de martie 2026.
Personalul operațional care lucrează la sisteme critice (piloți, conductori, operatori de port) trebuie să urmeze programe de formare periodică în securitatea cibernetică. Trebuie să fie instruiți cum să recunoască amenințările cibernetice, să raporteze incidentele și să respecte protocoalele de siguranță specifice rolului.
Neraportarea unui incident de securitate cibernetică în termen de 24 de ore constituie o încălcare a Legii 362/2022 și poate atrage amenzi de până la 10% din cifra de afaceri anuală sau sancțiuni administrative. Pentru entități esențiale din sectorul transportului, impactul asupra siguranței pasagerilor poate atrage și responsabilitate penală.
Entitățile esențiale (cum sunt companiile aeriene și operatorii portuari) trebuie să implementeze din 19 octombrie 2024 un nivel ridicat de securitate cibernetică și raportare. Entitățile importante au termen până în octombrie 2025 și necesită măsuri mai puțin riguroase. Entitățile esențiale sunt supuse unor inspecții mai frecvente și unor cerințe mai stricte de audit.
Da, conform cerințelor NIS2 pentru sistemele critice operaționale, toate comunicațiile dintre sistemele de control trafic aerian și orice sisteme externe trebuie criptate cu algoritmi aprobați (minim TLS 1.2 sau superior). Trebuie, de asemenea, să implementați validarea integrității datelor și să monitorizați pentru tentative neautorizate de acces.