Cyfryzacja branży TSL i intermodalnej przyspiesza. Operatorzy logistyczni, przewoźnicy, terminale przeładunkowe i centra dystrybucyjne coraz częściej funkcjonują w oparciu o scentralizowane systemy IT obejmujące m.in. zarządzanie flotą, monitoring ładunków, systemy magazynowe, platformy wymiany danych czy narzędzia do planowania transportu.
W praktyce oznacza to również wzrost znaczenia cyberbezpieczeństwa w całym łańcuchu dostaw. Incydent dotyczący jednej spółki lub jednego systemu może dziś wpływać nie tylko na pojedynczy podmiot, ale również na ciągłość operacyjną wielu uczestników rynku.
W tym kontekście istotnego znaczenia nabiera nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC). Jednym z praktycznych pytań pojawiających się w grupach kapitałowych działających w branży TSL jest to, czy spółka pełniąca funkcję centrum usług wspólnych (CUW) i świadcząca usługi IT lub cyberbezpieczeństwa na rzecz innych podmiotów z grupy może zostać uznana za dostawcę usług zarządzanych w zakresie cyberbezpieczeństwa, a w konsekwencji — za podmiot kluczowy.
Centralizacja IT w branży logistycznej a UKSC
W wielu organizacjach z sektora TSL funkcjonuje model, w którym jedna spółka odpowiada za utrzymanie infrastruktury IT dla całej grupy. Dotyczy to m.in.:
- zarządzania systemami transportowymi i magazynowymi,
- monitorowania bezpieczeństwa sieci,
- obsługi incydentów,
- administracji uprawnieniami i zabezpieczeniami,
- utrzymania systemów komunikacji i wymiany danych,
- wsparcia użytkowników i nadzoru nad ciągłością działania.
Jeżeli taka spółka świadczy usługi związane z zarządzaniem ryzykiem w cyberbezpieczeństwie, może zostać zakwalifikowana jako dostawca usług zarządzanych w zakresie cyberbezpieczeństwa w rozumieniu UKSC.
Szczególne znaczenie ma to w sytuacji, w której jedna spółka jest jedynym podmiotem zapewniającym obsługę IT i cyberbezpieczeństwo dla całej grupy.
Status podmiotu kluczowego — próg może być niższy niż się wydaje
Dla dostawców usług zarządzanych w zakresie cyberbezpieczeństwa status podmiotu kluczowego może powstać już przy spełnieniu kryteriów właściwych dla małego przedsiębiorcy — czyli przy co najmniej 10 osobach zatrudnionych lub obrotach albo sumie bilansowej przekraczających 2 mln euro.
To istotne również dla branży TSL, gdzie funkcjonuje wiele wyspecjalizowanych spółek odpowiadających wyłącznie za obszar IT lub cyberbezpieczeństwa.
W praktyce oznacza to, że status podmiotu kluczowego może dotyczyć także organizacji, które same nie postrzegają się jako duże podmioty infrastrukturalne.
Agregacja danych w grupie spółek
Przy ocenie wielkości przedsiębiorcy uwzględnia się również przedsiębiorstwa partnerskie i powiązane. Oznacza to konieczność analizy nie tylko jednej spółki, ale całej grupy kapitałowej — w tym zatrudnienia, obrotów oraz sum bilansowych podmiotów powiązanych.
W branży intermodalnej i logistycznej ma to szczególne znaczenie, ponieważ działalność operacyjna często jest rozdzielona pomiędzy wiele wyspecjalizowanych podmiotów: operatorów terminali, spółki transportowe, podmioty zarządzające infrastrukturą czy centra usług wspólnych.
Wyjątek — niezależność systemów IT
Przepisy przewidują wyjątek dla sytuacji, w której przekroczenie progów następuje wyłącznie wskutek agregacji danych przedsiębiorstw powiązanych, a system informacyjny danego podmiotu pozostaje niezależny od ich systemów.
W praktyce jednak ocena niezależności systemów IT wymaga szczegółowej i udokumentowanej analizy — zwłaszcza tam, gdzie funkcjonują wspólne systemy zarządzania transportem, magazynami, monitoringiem czy bezpieczeństwem sieci.
Co oznacza status podmiotu kluczowego?
Uzyskanie statusu podmiotu kluczowego wiąże się z szerokim katalogiem obowiązków wynikających z UKSC, obejmujących m.in.:
- wdrożenie systemu zarządzania bezpieczeństwem informacji,
- ciągłe monitorowanie bezpieczeństwa,
- obsługę incydentów,
- obowiązki raportowe,
- szkolenia dla kadry kierowniczej,
- audyty bezpieczeństwa,
- nadzór proaktywny.
W praktyce oznacza to konieczność zaangażowania nie tylko działów IT, ale również zarządu, compliance, operacji i działów prawnych.
Cyberbezpieczeństwo w TSL to dziś również kwestia ciągłości operacyjnej
W sektorze TSL cyberbezpieczeństwo coraz rzadziej jest postrzegane wyłącznie jako zagadnienie techniczne. Atak na systemy IT może wpływać na możliwość realizacji transportu, dostępność danych o ładunkach, pracę magazynów, komunikację z kontrahentami czy ciągłość procesów logistycznych.
Dlatego analiza obowiązków wynikających z UKSC powinna być elementem szerszego podejścia do zarządzania ryzykiem operacyjnym i bezpieczeństwem organizacji.
Od kwalifikacji trzeba zacząć
W przypadku grup kapitałowych i modeli opartych na centralizacji usług IT nie warto opierać się wyłącznie na uproszczonych formularzach lub kalkulatorach służących ocenie podlegania przepisom. Kluczowe znaczenie ma analiza rzeczywistego modelu świadczenia usług, relacji w grupie oraz architektury systemów IT.
Prawidłowa kwalifikacja powinna obejmować zarówno perspektywę prawną, jak i organizacyjną oraz technologiczną.
Zapraszamy do kontaktu
Jeżeli chcą Państwo ocenić, czy model świadczenia usług IT w grupie może powodować obowiązki wynikające z UKSC, przeanalizować status podmiotu kluczowego lub przygotować organizację do nowych wymagań w zakresie cyberbezpieczeństwa — zapraszamy do kontaktu z zespołem DSK.
Kontakt: Natalia Wysocka, adwokat, cyberbezpieczeństwo: n.wysocka@dsk-kancelaria.pl
Magdalena Jacolik, prawnik, audytor wiodący ISO 27001:2022: m.jacolik@dsk-kancelaria.pl
