Krönika - Nya lagkrav nödvändiga för bättre cybersäkerhet på järnväg

Anpassa för mer cybersäkerhet i eu menar Jakub Tomczak. Foto: Mattias Diesel/Unsplash

Under större delen av sin historia har järnvägen varit en sektor som är ganska stängd för ny teknik. När det gäller dess verksamhet hittills har den nyckelaspekt som betonats både på lagstiftande och verkställande nivå varit säkerhetskrav som förstås som "säkerhet". Säkra järnvägar har varit EU:s domän sedan många år tillbaka, vilket framgår av flera lagar. Järnvägssäkerhets- och interoperabilitetsexperten Jakub Tomczak dyker in i denna bakgrund och de kommande nya EU-förordningarna gällande cybersäkerhet i denna artikel.

Den moderna järnvägen håller på att bli ett öppet, driftskompatibelt system. EU lanserade initiativet kallat det gemensamma europeiska järnvägsområdet där järnvägstransporter kommer att kunna fungera utan hinder som också avvecklas genom digitaliseringen av järnvägarna. Denna process borde underlätta för många aktörer, särskilt infrastrukturförvaltare, operatörer och tillverkare av signalteknik.

Datornätverk
Järnvägens infrastruktur är i första hand baserad på ett datornätverk, både trådbundet och trådlöst. Detta innebär att det kan vara sårbart för attacker från cyberbrottslingar, och utbudet av enheter som utsätts för en sådan attack är brett. Varje järnvägsoperatör har vissa uppgifter som kan beskrivas som känsliga. Till exempel kan godsoperatörer transportera farligt material. Information som tidtabellen för ett tåg som transporterar sådant gods är ett potentiellt mål för attack.

EU-lagstiftningen definierar allmän säkerhet och risken för oacceptabel skada. Exempel på lagstiftning inom järnväg är säkerhetsdirektiven, interoperabilitets direktivet och CSM RA-förordningen. Cybersäkerhet är dock en relativt ny fråga för järnvägen. Fram till nyligen har EU-lagstiftningen varit ganska dålig på detta område. Eftersom järnvägarna står inför en oundviklig digitaliseringsprocess bör lämpliga åtgärder vidtas för att säkra dem mot cyberbrottslingar. Europeiska CENELEC-standarder, såsom EN 50126, EN50128 eller EN50129, är för närvarande tillämpliga i produktionsstadiet för järnvägens signalutrustningen.

Det är dock inte krav som skulle säkra hela järnvägssystemet. Detta kräver samarbete från många aktörer, inklusive EU-länderna själva. Det är därför som direktiv 2022/2055 om åtgärder för en hög gemensam nivå av cybersäkerhet i hela unionen utarbetades. Den ålägger särskilda skyldigheter som eu-länderna ska ta på sig, men det identifierar också aktörerna och vad de kommer att krävas på för att nå upp till kraven.

Anpassa för mer cybersäkerhet
Detta nya direktiv bör vara implementerat av eu-länder senast i november 2024. Vid den tidpunkten bör varje omfattad enhet anpassa sina säkerhetshanteringssystem till de nya kraven. Hela transportsektorn har i direktivet identifierats som en sektor med hög kritik, där dess funktion är mycket relevant för fackförbundet. Bestämmelserna i direktivet kommer att gälla alla förvaltare av järnvägsinfrastruktur. När det gäller åtaganden av järnvägsföretag och operatörer av serviceanläggningar måste deras storlek beaktas. Om en operatör överskrider de gränser som föreskrivs för medelstora företag kommer den att vara bunden av bestämmelserna i direktivet.

Deras primära skyldigheter kommer att vara att implementera en policy för hantering av cybersäkerhetsrisk. Nationell lagstiftning bör specifikt definiera vilka tekniska, operativa och organisatoriska åtgärder som ska vidtas. Bestämmelserna i direktivet anger endast deras ramar. Riskhanteringsåtgärder bör dock stå i proportion till detta (identifierade) cyberhot. Samtidigt bör åtgärderna beakta den senaste tekniken samt tillämpliga standarder och kostnaden för genomförandet. 

bild
Jakub Tomczak är författare och advokat med fokus på järnvägssäkerhet och interoperabilitet. Foto: Railtech.com

Källa: Railtech.com