Tato stránka je určena vedoucím bezpečnosti, compliance manažerům a vedení přepravních společností v ČR. Dozvíte se konkrétní povinnosti Annex II entity podle NIS2 a jak se vyhnout nejčastějším chybám v bezpečnosti vozového parku a skladů.
Musí splňovat povinnosti NIS2 přepravní společnosti s ročním obratem nad 50 milionů EUR nebo poskytující služby kritické infrastruktuře, kurýrní služby s překračujícím rozsahem (zejména balíkovna na posledních milích), a operátoři logistických center o kapacitě přesahující 10 000 m². Také skladovací společnosti zpracovávající data o zákaznických zásilkách nebo cargotech pro vyvozné podklady.
Všechna GPS sledovací zařízení, senzory teploty a digitální tachografy musí mít změněné výchozí přihlašovací údaje a aktivované šifrování komunikace. Vozový park musí být zapojen do centralizovaného monitorovacího systému s povinností zaznamenávat neobvyklou aktivitu (neoprávněné připojení, pokus o manipulaci). Pravidelně (nejméně čtvrtletně) je třeba kontrolovat, zda nejsou zařízení přímo přístupná z internetu bez ověřování.
Smlouvy se všemi subdodavateli (vozáci na HPP, partnerské kurýrní služby, externími skladovnami) musí obsahovat explicitní bezpečnostní klauzule s požadavkem na minimálně základní ISMS, aktualizaci systémů a hlášení bezpečnostních incidentů. Před podpisem smlouvy proveďte bezpečnostní audit třetí strany a minimálně jednou ročně ověřte dodržování. Vzdálení či přechodní pracovníci nesmí mít přístup k produkčním systémům bez dvoustupňového ověřování.
Jakýkoli incident, který zpozdí doručení o více než 4 hodiny, vede k výpadku vozového parku nebo znemožní zpracování objednávky (kybernetický útok, selhání systému, krádež vybavení), musí být hlášen NÚKIB do 24 hodin od zjištění. Hlášení musí obsahovat popis incidentu, počet postižených vozů nebo skladů, dobu výpadku a přijatá opatření. Vedlejší incidenty (např. dočasné ztráty signálu GPS) se hlášení neuléhají, ale musí být zaznamenány v bezpečnostním logu.
Všechny skladovací a správní systémy (WMS, ERP, manipulační automaty) musí být zahrnuty v plánu zálohování s obnovením do 24 hodin (RTO). Data o předaných zásilkách, clo dokumentech a kontaktech příjemce musí být zálohována mimo primární lokalitu. Systémy nesmí být provozovány bez šifrování disků a přístupu chráněného alespoň jednoduché MFA. Minimálně jednou ročně proveďte cvičení obnovy (disaster recovery drill) a zaznamenejte výsledky.
Osobní údaje příjemců, podpisové čarování, fotografie balíků a data o vozích nesmí být uložena bez šifrování v toku i v klidovém stavu. Přístup k těmto datům musí být vázán na roli (řidič vidí jen svou trasu, skladník jen svůj sklad) a musí být auditován. Data procházející cloní nebo do třetích zemí vyžadují smluvní záruku na zpracování dle GDPR a NIS2. Uchovávejte auditní logy přístupu po dobu nejméně 12 měsíců.
Ne, krátké ztráty signálu (minuty) se nehlášují, ale musí být zaznamenány v logu zařízení. Hlášení NÚKIB je povinné pouze v případě, že výpadek zpozdí doručení o více než 4 hodiny nebo zasáhne vozový park (např. DDoS útok na server sledování). Hlaste do 24 hodin od zjištění.
Smlouva musí obsahovat: zákaz používání výchozích hesel, povinnost aktualizovat systémy každé tři měsíce, hlášení bezpečnostních incidentů do 24 hodin, a právo na bezpečnostní audit bez předchozího upozornění. Subdodavatelé pracující s clo údaji musí splňovat GDPR a šifrovat přenosy dat.
NÚKIB může udělit pokutu až 10 milionů CZK za nedostatečné bezpečnostní opatření nebo nenahlášení incidentu. Doplnění opatření se obvykle vyžaduje do 30 dnů od oznámení nedostatku. Opakovaná porušení mohou vést k zákazu činnosti.