Dyrektywa o cyberbezpieczeństwie NIS2 oraz Akt o Sztucznej Inteligencji wpłyną na branżę kolejową mocniej, niż zdajemy sobie z tego sprawę – uprzedziła podczas debaty otwarcia Forum Bezpieczeństwa Kolejowego partner w Kancelarii DZP dr Aleksandra Auleytner. Konieczna będzie zmiana wielu innych aktów prawnych, wprowadzenie nowych wymogów do dokumentacji przetargowej, a także wzmocnienie zabezpieczeń całego szeregu systemów informatycznych.
– Często w kontekście NIS2 mówi się o infrastrukturze, rzadziej – o taborze. Tymczasem również on będzie nią mocno dotknięty – zwróciła uwagę dr Auleytner. Jej zdaniem dyrektywa będzie początkiem innego niż dotąd myślenia o zarządzaniu taborem. – Bardzo ważnym wątkiem stanie się śledzenie łańcucha dostaw i zarządzanie jego ryzykiem. Zmieni się sposób myślenia o poddostawcach: przepisy wprost mówią o sprawdzaniu ich polityki cyberbezpieczeństwa i zabezpieczeń – uzasadniła.
Wpływ takich zmian na zamówienia taborowe będzie niebagatelny. – W umowach pojawią się bardzo poważne zapisy o tym, jak radzić sobie z wykonaniem tych obowiązków. Nie można z tym czekać – zaznaczyła prawniczka. Rozstrzygnięcia będzie wymagała – między innymi – kwestia tego, jak implementować zapisy na styku z ochroną know-how czy kodu źródłowego oprogramowania, którego zamawiający tabor często nie dostaje na własność. – Jak wpłynąć na wykonanie tych obowiązków? NIS2 nie w pełni odpowiada na ten postulat, ale jest jakąś próbą. To duży obszar, który będzie wymagał przemyślenia – podsumowała.
Akt o AI: Kolejarze i programiści w gąszczu przepisów
1 sierpnia ubiegłego roku wszedł w życie Akt o AI – rozporządzenie unijne będące pierwszą w świecie całościową regulacją prawną dla systemów i modeli sztucznej inteligencji. – Wprowadza on, między innymi, kategorię systemów w transporcie kolejowym wymagających interwencji Komisji Europejskiej w postaci zmiany przepisów o interoperacyjności. Zapewne w bieżącym i przyszłym roku będą toczyły się przygotowania do tych zmian – stwierdziła dr Auleytner.
Duża grupa przepisów dotykających bezpośrednio transportu kolejowego zacznie jednak obowiązywać już od tego roku. – Bardzo duża część systemów IT to systemy wysokiego ryzyka. Przystosowanie ich do AI Act wymaga spełnienia bardzo wielu wymogów – poinformowała prelegentka. Do tej kategorii zaliczono – między innymi – systemy zliczania pasażerów, badania natężenia ruchu, diagnostyki utrzymania predykcyjnego czy układania rozkładu jazdy. Bardzo wiele z nich zawiera już bowiem elementy tzw. generatywnej sztucznej inteligencji.
– Zabezpieczenia będą musiały być bardzo rygorystyczne i kosztowne. Wiele postanowień dotyka tych samych zagadnień, które znajdują się w NIS2, regulując je w inny sposób: inne są choćby terminy zgłaszania incydentów. To trudne w kontekście myślenia długofalowego, jakiego wymagają choćby zakupy taboru – zauważyła prawniczka. Jak przyznała, na pojawiające się w związku z tym pytania nie ma prostych odpowiedzi. – Duże wyzwanie przed branżą. W styczniu KE wydała wytyczne dotyczące tylko jednego obszaru Aktu o AI – dotyczącego systemów niedozwolonych: interpretacja 4 przepisów zajęła ponad 200 stron. To pokazuje, jak trudno się zmierzyć z implementacją tych regulacji – podała przykład. Przepisy dotyczące incydentów wysokiego ryzyka wejdą w życie w sierpniu 2026 r.
Ministerstwo Cyfryzacji: NASK czuwa
– Bezpieczeństwo kolei to także bezpieczeństwo pasażerów i ich danych osobowych, przekazywanych m. in. poprzez system zakupu biletów, takich jak dane kart płatniczych – zwrócił uwagę podsekretarz stanu w Ministerstwie Cyfryzacji Rafał Rosiński. Rola przewoźników jest więc ogromna: muszą oni zadbać o ich bezpieczne przechowywanie. – Również wykorzystanie AI czy Internetu Rzeczy może poprawić bezpieczeństwo. Dbając o zabezpieczenia, kolej musi współpracować z Naukową i Akademicką Siecią Komputerową, działającej pod nadzorem Ministerstwa Cyfryzacji. Jej zadanie to m. in. właśnie ochrona przed zagrożeniami cyfrowymi – dodał.
Dwa zasadnicze akty prawne związane z regulacjami unijnymi – dotyczące dyrektywy NIS2 (ustawa o Krajowym Systemie Cyberbezpieczeństwa) i Aktu o AI – są w trakcie konsultacji społecznych. – Jako Polska chcemy być liderem w ich wdrażaniu. Robimy wszystko, by w masie zawirowań legislacyjnych zapewnić ochronę prywatności i zabezpieczenie przed cyberatakami – zapewnił przedstawiciel rządu. Jak dodał, zasadnicze znaczenie ma właściwa ocena artykułów dostarczanych przez dostawców wysokiego ryzyka.
Podanie adresu e-mail oraz wciśnięcie ‘OK’ jest równoznaczne z wyrażeniem
zgody na:
przesyłanie przez Zespół Doradców Gospodarczych TOR sp. z o. o. z siedzibą w
Warszawie, adres: Sielecka 35, 00-738 Warszawa na podany adres e-mail newsletterów
zawierających informacje branżowe, marketingowe oraz handlowe.
przesyłanie przez Zespół Doradców Gospodarczych TOR sp. z o. o. z siedzibą w
Warszawie, adres: Sielecka 35, 00-738 Warszawa (dalej: TOR), na podany adres e-mail informacji
handlowych pochodzących od innych niż TOR podmiotów.
Podanie adresu email oraz wyrażenie zgody jest całkowicie dobrowolne. Podającemu przysługuje prawo do wglądu
w swoje dane osobowe przetwarzane przez Zespół Doradców Gospodarczych TOR sp. z o. o. z
siedzibą w Warszawie, adres: Sielecka 35, 00-738 Warszawa oraz ich poprawiania.
Zapisz
się do newslettera:
