Szállítmányozási, futár- és utolsó mérföldes szállítási vállalatok illetve raktárkezelők számára készült iparág-specifikus NIS2 útmutató. Megismerheti a flotta- és raktárbiztonsági követelményeket, a beszállítói szerződésekbe beépítendő biztonsági feltételeket, valamint az ellátási lánc zavarásából eredő bejelentési kötelezettségeket.
Magyarországon azon szállítmányozási, futár- és raktárkezelő vállalatok tartoznak az NIS2 hatálya alá, amelyek a digitális szállítási infrastruktúra alapvető szolgáltatásait nyújtják, illetve amelyek nagyobb léptékű logisztikai műveleteket végeznek és az ellátási lánc kontinuitásáért felelősek. Az Annex II fontosabb szerv kategóriába tartoznak az olyan vállalatok, amelyek a közszféra vagy más kritikus szektorok szállítási, raktározási vagy nyomonkövetési szolgáltatásait biztosítják, valamint az olyan kurír- és csomagszállítási vállalatok, amelyek számottevő infrastruktúrát kezelnek.
Szállítmányozási vállalatoknak biztosítaniuk kell, hogy az IoT-alapú flottakövetési eszközök, GPS-nyomkövetők és raktárkezelési szoftverek megfelelően hitelesített, nem alapértelmezett jelszavakkal működjenek, valamint az adatok titkosítva maradjanak az átvitel során. A raktárkezelési rendszerekbe olyan hozzáférés-vezérlési és naplózási mechanizmusokat kell integrálni, amelyek nyomon követik az adatmódosításokat és az üzemeltetői tevékenységeket valós időben.
Minden alkalmass szállítótársaság, raktárpartner és fuvareszközöket biztosító vállalat szerződésében rögzíteni kell a kiberbiztonsági minimumkövetelményeket, ideértve a szállítóeszközök frissítéseit, az incidens-bejelentési kötelezettségeket és az biztonsági auditokhoz való hozzáférési jogot. Az ellátási lánc láthatóságáért felelős szervezeteknek gondoskodniuk kell arról, hogy a harmadik felek által üzemeltetett rendszerek azonos szintű biztonsági vezérléssel rendelkezzenek.
Szállítmányozási vállalatok kötelesek az SZTFH részére jelenteni azokat a kiberbiztonsági incidenséket, amelyek a szállítási vagy raktározási szolgáltatások rendelkezésre állását legalább 3 órán keresztül megzavarják, vagy amelyek a külföldi szállítmánydokumentáció vagy vámadatok bizalmasságát veszélyeztetik. Az incidens-bejelentésnek tartalmaznia kell a kár terjedelmét, az érintett szállítmányok számát és az helyreállítás becsült idejét.
A szállítmányadatok, címinformációk, fuvarlevél-adatok és vámnyilatkozatok olyan adatbázisokban tárolódnak, amelyekhez role-based access control (RBAC) és többtényezős hitelesítés (MFA) szükséges. Az adatokról titkosított biztonsági másolatokat kell készíteni, amelyeket legalább 30 napra vonatkozóan legalább másodlagos helyen kell tárolni; a raktárkezelési rendszereknél ez a mentési stratégia kiterjed a teljes készletnyilvántartásra is.
Szállítmányozási és raktárkezelő vállalatok kötelesek kideríteni és dokumentálni azokat a kritikus rendszereket, amelyek az ellátási lánc működésén alapulnak, majd olyan helyreállítási tervet (Disaster Recovery Plan) és üzletmenet-folytonossági tervet (Business Continuity Plan) kell elfogadni, amely garantálja a szolgáltatások helyreállítását 24 órán belüli maximális leállási idővel. Évente legalább egy szimulált katasztrófa-szcenáriót kell végrehajtani.
Azok a szállítmányozási, futár- és raktárkezelő vállalatok, amelyek az Államigazgatási Szervezetrendszer (ÁSZ) vagy más kritikus szektorok (energia, vízellátás, közlekedés) számára alapvető szállítási vagy logisztikai szolgáltatásokat nyújtanak, valamint az olyan nagyvállalatok, amelyek több tízezer napi szállítmányt kezelnek. Az SZTFH három évenként felülvizsgálja a pályázó szervezeteket és közzéteszi a fontosabb szerv nyilvántartást.
A szerződéseknek szerepeltenie kell az adatkezelési és titkosítási követelményeket, az incidens-bejelentési kötelezettségeket (a biztonsági esemény 24 órán belüli bejelentésével), az általuk alkalmazott szoftverek és eszközök frissítési ütemezéseit, valamint az SZTFH és az ügyfél által végzett biztonsági auditokhoz való hozzáférési jogot. Ajánlott, hogy ezek a feltételek az SLA-szerződésbe vagy külön biztonsági mellékletek formájában kerüljenek beépítésre.
A Kiberbiztonsági törvény értelmében az NIS2 fontosabb szerv kategóriájában működő szállítmányozási vállalat számára a biztonsági kötelezettségek megsértéséből eredő büntetés akár 10 millió forint, illetve az előző év éves nettó árbevételének legfeljebb 5%-a lehet. Az SZTFH 2024 októbertől vizsgálatokat indíthat, az alapadatok szolgáltatási határideje pedig 2025. október 15.