Przejdź do treści
dyrektywaNIS2

Branża · Załącznik I

NIS2 w transporcie i lotnictwie

Transport to jeden z czterech filarów polskiej gospodarki, w którym NIS2 spotyka się z trzema niezależnymi reżimami regulacyjnymi — unijnym (NIS2 + Aviation Cybersecurity), krajowym (ustawa o KSC, ULC, Prawo lotnicze) i sektorowym (EASA PART-IS dla lotnictwa). Ten przewodnik tłumaczy, jak te trzy warstwy się układają i co z nich realnie wynika dla operatora TSL, linii lotniczej albo przewoźnika kolejowego.

Aktualizacja: 10 min czytania

Autor:Dariusz ZającLead vCISO, Cyber Alterity

4 podsektory

Transport NIS2

lotniczy, kolejowy, wodny, drogowy

PART-IS

Drugi reżim cyber

EASA + ULC dla organizacji POA/MOA

24/7

Tryb pracy TSL

RTO godziny, nie dni — wymóg BCP

Kto z transportu jest w zakresie

Załącznik I dyrektywy NIS2 wskazuje transport jako sektor wysokiej krytyczności i wyróżnia cztery podsektory. Polski KSC powtarza ten podział z drobnym uzupełnieniem dotyczącym aviacji w obszarze obrony.

  • Transport lotniczy — linie lotnicze (przewoźnicy cywilni), zarządcy portów lotniczych, dostawcy obsługi naziemnej, organizacje certyfikowane przez ULC (POA, MOA, CAMO), dostawcy systemów ATC i CNS. Dla podmiotów posiadających certyfikat EASA pojawia się dodatkowo obowiązek z PART-IS.
  • Transport kolejowy — zarządcy infrastruktury (PKP PLK), przewoźnicy pasażerscy i towarowi powyżej progu wielkości, operatorzy systemów sterowania ruchem kolejowym.
  • Transport wodny — zarządcy portów morskich i śródlądowych, armatorzy floty handlowej, operatorzy systemów VTS (Vessel Traffic Service), operatorzy mostów i śluz.
  • Transport drogowy — operatorzy autostrad i dróg ekspresowych (GDDKiA — chociaż jako podmiot administracji), operatorzy systemów ITS (Intelligent Transport Systems), operatorzy systemów poboru opłat, duże firmy spedycyjne TSL przekraczające próg MŚP.

Próg klasyfikacji jest jednolity: średnie i duże przedsiębiorstwa są w zakresie, mikro i małe co do zasady wyłączone (z wyjątkiem wskazania „z urzędu" dla podmiotów o znaczeniu systemowym — np. jedyny przewoźnik obsługujący kluczowy odcinek).

PART-IS — drugi reżim cyber w lotnictwie

Organizacje lotnicze posiadające certyfikat EASA — POA (Production Organisation Approval), MOA (Maintenance Organisation Approval), ATO (Approved Training Organisation) — od lutego 2026 r. podlegają dodatkowemu reżimowi EASA PART-IS (Information Security). PART-IS narzuca własną listę wymagań cybersecurity weryfikowanych przez ULC podczas audytów certyfikacyjnych.

W praktyce dla polskiej organizacji lotniczej oznacza to dwa niezależne reżimy raportowania:

  • NIS2 / KSC — raportowanie do CSIRT NASK w kaskadzie 24 h / 72 h / 1 miesiąca dla incydentów o szerokim wpływie operacyjnym.
  • PART-IS — raportowanie do ULC dla incydentów mających wpływ na bezpieczeństwo lotów (safety) niezależnie od ich wpływu cybernetycznego. Inny formularz, inny adresat, inne terminy.

Dobra praktyka organizacyjna: jedna procedura obsługi incydentu z dwoma kanałami wyjściowymi — formalna mapa decyzyjna „incydent ⇒ CSIRT lub ULC lub oba" zbudowana razem z osobą odpowiedzialną za safety (Safety Manager) i osobą odpowiedzialną za security (CISO / vCISO).

WMS i TMS — krytyczność systemów w TSL

Większość polskich operatorów TSL prowadzi działalność oparci o dwa systemy kluczowe: Warehouse Management System (WMS) oraz Transport Management System (TMS). Awaria WMS-a w hubie dystrybucyjnym oznacza, że żaden samochód nie może być załadowany ani rozładowany — nie można sprawdzić, gdzie jest towar. Awaria TMS-a oznacza, że nie wiadomo, gdzie są ciężarówki i kiedy dojadą do klientów.

NIS2 nie nazywa tych systemów wprost, ale wymóg z Art. 21 ust. 2 („ciągłość działania, kopie zapasowe i zarządzanie kryzysowe") przekłada się na konkretne wymagania: testy odtworzeniowe WMS i TMS raz w roku, RTO liczone w godzinach (nie dniach), redundancja serwerów i kopii zapasowych w oddzielnej lokalizacji geograficznej.

Dla operatora TSL operującego w trybie 24/7 (np. obsługującego e-commerce z dostawami next-day) testy odtworzeniowe są organizacyjnie najtrudniejszą częścią NIS2. Nie ma „okna serwisowego" — a NIS2 wymaga formalnie udokumentowanego dowodu, że plan działa.

Regulatorzy — ULC plus organy sektorowe

Organ właściwy do spraw cyberbezpieczeństwa

Minister Infrastruktury

Sektor: Transport. Załącznik nr 1 do ustawy o KSC.

Źródło: Ministerstwo Cyfryzacji, „KSC pytania i odpowiedzi" pkt 11.1.

Organem właściwym do spraw cyberbezpieczeństwa dla całego sektora transportu (lotniczy, kolejowy, wodny, drogowy) jest Minister Infrastruktury (Min. Cyfr. pkt 11.1). Niżej wymienione urzędy sektorowe są regulatorami rynku transportowego — nadzorują przepisy techniczne, koncesje, jakość usług. W obszarze KSC działają jako naturalni partnerzy operacyjni, ale kary administracyjne wymierza minister wskazany w ustawie.

  • ULC (Urząd Lotnictwa Cywilnego) — sektorowy regulator lotnictwa cywilnego. Wykonuje audyty PART-IS i jest naturalnym partnerem operacyjnym dla podmiotów lotniczych, ale nie jest organem właściwym KSC.
  • UTK (Urząd Transportu Kolejowego) — organ właściwy dla transportu kolejowego, łącznie z systemami sterowania ruchem kolejowym (ERTMS/ETCS).
  • Urząd Morski — organ właściwy dla transportu wodnego, w tym systemów VTS i obsługi portów.
  • GITD (Główny Inspektorat Transportu Drogowego) — nadzór nad operatorami ITS i systemami poboru opłat na poziomie krajowym.
  • CSIRT NASK — kanał raportowania incydentów cyber dla wszystkich powyższych.

Łańcuch dostaw — TSL jako podmiot pośredni

Operator TSL bardzo często jest jednocześnie:

  • Podmiotem Kluczowym lub Ważnym z mocy własnej skali (Art. 21 obowiązuje wprost).
  • Dostawcą dla innych Podmiotów Kluczowych (np. obsługuje logistykę dla firmy farmaceutycznej), więc Art. 21(2)(d) nakłada na klienta obowiązek audytu jego cyberbezpieczeństwa.

Skutek praktyczny: operator TSL w 2026 r. będzie otrzymywał kwestionariusze bezpieczeństwa od wielu dużych klientów — z różnymi wymaganiami, w różnych formatach. Standardowa odpowiedź to jeden zwięzły dokument („Cybersecurity Posture") obejmujący: posiadane certyfikaty (ISO 27001, ewentualnie SOC 2), opis procedury obsługi incydentów, listę kluczowych dostawców, uzgodnione SLA dla zgłaszania incydentów u dostawcy. Mając ten dokument można odpowiedzieć na większość kwestionariuszy w pół godziny.

Realny precedens — atak na A.P. Møller-Maersk

Atak NotPetya w czerwcu 2017 r. spowodował przestój globalnej operacji duńskiego A.P. Møller-Maersk przez ok. 10 dni. Bezpośrednie straty operacyjne: ok. 250–300 mln EUR. Mechanizm propagacji opierał się na kompromitacji oprogramowania księgowego w łańcuchu dostaw — atak rozszedł się z jednego punktu na całą sieć grupy w obrębie godzin. Skutek dotknął wszystkich europejskich oddziałów Maersk, w tym polskich punktów obsługowych. Polski operator TSL o porównywalnej skali ma identyczny profil ryzyka — globalna infrastruktura, jednolity Active Directory, brak segmentacji jurysdykcyjnej. Wymagania NIS2 Art. 21 (zwłaszcza środek 4 — łańcuch dostaw) są wprost odpowiedzią regulacyjną na tego typu zdarzenia.

Co dalej

Praktyczna kolejność działań dla polskiego operatora TSL lub linii lotniczej w 2026 r.:

  1. Klasyfikacja — czy firma jest w zakresie? Klasyfikator obsługuje wszystkie cztery podsektory transportu: otwórz klasyfikator.
  2. Audyt rozbieżności względem 10 obowiązków z Art. 21 — szczegóły w pillarze Obowiązki techniczne Art. 21.
  3. Procedura raportowania — wdrożona bez zwłoki, uwzględniająca również PART-IS w organizacjach certyfikowanych przez ULC ( Raportowanie do CSIRT).
  4. Cybersecurity Posture — pojedynczy dokument odpowiadający na typowe kwestionariusze bezpieczeństwa od klientów.

Marka Cyber Alterity posiada doświadczenie wdrożeniowe w obszarze EASA PART-IS oraz zatwierdzeniach ULC — co czyni ją jedną z nielicznych polskich firm doradczych zdolnych do równoległej obsługi obu reżimów (NIS2 + PART-IS) bez podwajania pracy dokumentacyjnej.

Umów konsultację