Cyber- og fysisk motstandsdyktighet: Hvorfor jernbanen ikke kan overse NIS2 og CER

Trusselbildet som rammer jernbanesektoren utvikler seg raskt. Fra cyberangrep til fysisk sabotasje – risikoene er ikke hypotetiske. Én enkelt forstyrrelse kan lamme forsyningskjeder, stoppe passasjertrafikk og svekke offentlighetens tillit.

Den nye EU-lovgivningen er utformet for å møte disse truslene direkte:e:

• NIS2 (Direktiv (EU) 2022/2555) - fokuserer på å styrke cybermotstandsdyktigheten hos essensielle og viktige virksomheter.
• CER (Direktiv (EU) 2022/2557) - har som mål å øke fysisk og operasjonell motstandsdyktighet hos kritiske aktører.

Å bygge motstandsdyktighet er en strategisk nødvendighet

For jernbaneoperatører er disse initiativene ikke bare krav om etterlevelse – de er strategiske nødvendigheter.

Hvis en jernbaneorganisasjon er klassifisert som kritisk under CER, er den automatisk definert som essensiell under NIS2. Det betyr at organisasjonen må etterleve begge regelverkene, som dekker alt fra håndtering av cyberrisiko og hendelsesrapportering til fysisk sikring og sikkerhet i forsyningskjeden.

Å unnlate å handle kan få alvorlige konsekvenser – bøter på opptil 10 millioner euro, personlig ansvar for ledelsen, og i verste fall full operasjonell stans.

Men det finnes også gode nyheter: veien til etterlevelse kan også være veien til økt motstandsdyktighet.

Fra etterlevelse til konkurransefortrinn

Hos Rambøll ser vi på NIS2 og CER som mer enn regulatoriske krav – de er verktøy som hjelper virksomheter med å fremtidssikre driften. Vårt firetrinns veikart gjør komplekse krav håndterbare og bidrar til å bygge både etterlevelse og reell motstandsdyktighet.

1. Avklare forpliktelser og sette retning: Vi starter med å identifisere hvordan organisasjonen din er klassifisert under begge direktivene og avklare deres juridiske ansvar. Sammen gjennomgår vi sektorspesifikke krav og identifiserer eksisterende tiltak dere kan bygge videre på. Vi hjelper også ledelsen med å etablere roller, ansvar og styringsstruktur for å sikre tydelig eierskap fra starten av.

2. Vurdere risikoer og bygge motstandsdyktighet: Deretter gjennomfører vi integrerte risikovurderinger, basert på det dere allerede har gjort, for å identifisere sårbarheter i både fysiske og digitale systemer. Deretter utvikler vi praktiske planer for motstandsdyktighet – inkludert forretningskontinuitet, fysisk sikkerhet og cybersikkerhet, med fokus på hendelseshåndtering, forsyningskjedesikkerhet og opplæring.

3. Forberede på hendelser og rapportering: Vi hjelper organisasjonen med å etablere responsive handlingsplaner tilpasset ulike hendelsestyper. Dette inkluderer tilpasning til EUs rapporteringskrav, forbedret tverrfaglig samhandling og integrasjon med nasjonale og europeiske informasjonsdelingsplattformer.

4. Opprettholde etterlevelse og kontinuerlig forbedring: Til slutt støtter vi dere med å lage systemer som ikke bare er i samsvar, men som også kontinuerlig forbedres. Dette inkluderer opplæring, forberedelse til revisjoner og resultatovervåking for å sikre at organisasjonen holder tritt med nye trusler. Vi tilbyr også løpende opplæring for å bygge en kultur for sikkerhet og resiliens i hele organisasjonen.

Resultatet er en strukturert og håndterbar tilnærming som både sikrer etterlevelse og styrker evnen til å motstå og komme seg etter forstyrrelser – og som beskytter drift, omdømme og kundenes tillit.

Hva skiller jernbanen ut

Implementeringen av NIS2 og CER er ikke universell. For jernbanesektoren må man ta hensyn til sikkerhetskritiske systemer, komplekse avhengigheter og aldrende infrastruktur.