Cyber og fysisk modstandsdygtighed: Hvorfor jernbaner ikke kan ignorere NIS2 og CER

Trusselsbilledet mod jernbanenetværk udvikler sig hurtigt. Fra cyberangreb til fysisk sabotage - risiciene er ikke hypotetiske. En enkelt forstyrrelse kan lamme forsyningskæder, afbryde passagerernes mobilitet og underminere offentlighedens tillid.

Ny EU-lovgivning er designet til at tackle disse trusler direkte:

• NIS2 (direktiv (EU) 2022/2555 ) - Fokuseret på at forbedre cyberrobustheden på tværs af væsentlige og vigtige enheder.
• CER (direktiv (EU) 2022/2557 ) - sigter mod at styrke kritiske enheders fysiske og operationelle modstandsdygtighed.

Indarbejdelse af robusthed er en strategisk nødvendighed

For jernbaneoperatører er disse initiativer strategiske nødvendigheder snarere end afkrydsningsfelter for overholdelse.

Hvis din jernbaneorganisation er klassificeret som "kritisk" under CER, er du automatisk "essentiel" under NIS2. Det betyder, at du skal overholde begge dele, som dækker alt fra cyberrisikostyring og hændelsesrapportering til fysisk modstandsdygtighed og sikkerhed i forsyningskæden.

Manglende handling kan resultere i bøder på op til 10 millioner euro, ansvar for virksomhedsledelsen og, hvad der er mest kritisk, nedlukning af driften.

Men der er gode nyheder: Vejen til compliance kan også være en vej til resiliens.

Fra compliance til konkurrencefordel

Hos Rambøll ser vi NIS2 og CER som værktøjer, der kan hjælpe organisationer med at fremtidssikre driften. Vores firefasede køreplan er designet til at gøre komplekse krav håndterbare og sikre, at resultatet er forbedret systemberedskab såvel som compliance.

1. Afklar forpligtelser og sæt retningen: Vi starter med at identificere, hvordan din organisation er klassificeret under begge direktiver, og afklarer dit juridiske ansvar. Sammen gennemgår vi sektorspecifikke krav og identificerer eksisterende tiltag, som du kan bygge videre på. Vi hjælper dig også med at engagere ledelsen, definere roller og etablere den rigtige styringsstruktur for at sikre, at ejerskabet er klart fra starten.

2. Vurder risici og opbyg modstandskraft: Dernæst gennemfører vi integrerede risikovurderinger, hvor vi trækker på det, du allerede har gjort for at identificere sårbarheder i både fysiske systemer og cybersystemer. Vi hjælper dig med at udvikle praktiske resiliensplaner, herunder forretningskontinuitet, fysisk sikkerhed og cybersikkerhedsforanstaltninger som f.eks. hændelseshåndtering, sikkerhed i forsyningskæden og personaleuddannelse.

3. Forbered dig på hændelser og rapportering: Vi hjælper dig med at opbygge smarte, responsive handlingsplaner, der er skræddersyet til hændelsestyper. Dette omfatter tilpasning til EU's rapporteringskrav, forbedring af tværfunktionel koordinering og integration med nationale og europæiske informationsdelingsplatforme.

4. Overhold kravene og bliv ved med at forbedre dig: Endelig støtter vi dig i at skabe systemer, der ikke kun overholder reglerne, men som også løbende forbedres. Det omfatter uddannelse, revisionsforberedelse og overvågning af ydeevne, så din organisation er på forkant med nye trusler. Vi tilbyder også løbende uddannelse for at indarbejde en kultur med sikkerhed og modstandsdygtighed i hele din organisation.

Resultatet er en struktureret, håndterbar tilgang, der sikrer compliance, men som også styrker din evne til at modstå og komme dig efter forstyrrelser, hvilket beskytter din drift, dit omdømme og dine kunders tillid.

Det, der adskiller jernbanen fra andre

CER og NIS2-implementering er ikke generisk. For jernbaner skal der tages højde for sikkerhedskritiske systemer, komplekse gensidige afhængigheder og ældre infrastruktur.