Cyberresiliens och fysisk resiliens: Varför järnvägar inte kan bortse från NIS2 och CER

Hotbilden mot järnvägsnäten utvecklas snabbt. Riskerna är inte hypotetiska, från cyberattacker till fysiskt sabotage. En enda störning kan lamslå leveranskedjor, avbryta passagerarnas rörlighet och undergräva allmänhetens förtroende.

Ny EU-lagstiftning är utformad för att ta itu med dessa hot direkt:

• NIS2 (direktiv (EU) 2022/2555 ) - Fokuserar på att förbättra cyberresiliensen hos samhällsviktiga och viktiga enheter.
• CER (direktiv (EU) 2022/2557 ) - syftar till att stärka den fysiska och operativa motståndskraften hos kritiska enheter.

Att integrera motståndskraft är en strategisk nödvändighet

För järnvägsoperatörer är dessa initiativ strategiska krav snarare än kryssrutor för efterlevnad.

Om din järnvägsorganisation klassificeras som "kritisk" enligt CER, är du automatiskt "väsentlig" enligt NIS2. Det innebär att du måste följa båda, som täcker allt från hantering av cyberrisker och incidentrapportering till fysisk motståndskraft och säkerhet i leveranskedjan.

Underlåtenhet att agera kan leda till böter på upp till 10 miljoner euro, ansvar för företagsledningen och, vilket är mest kritiskt, nedstängning av verksamheten.

Men det finns goda nyheter: vägen till efterlevnad kan också vara en väg till motståndskraft.

Från efterlevnad till konkurrensfördel

På Ramboll ser vi NIS2 och CER som verktyg för att hjälpa organisationer att framtidssäkra sin verksamhet. Vår färdplan i fyra faser är utformad för att göra komplexa krav hanterbara och säkerställa att resultatet blir förbättrad systemberedskap samt efterlevnad.

1. Klargör skyldigheter och sätt riktningen: Vi börjar med att identifiera hur din organisation klassificeras enligt de båda direktiven och klargör ditt juridiska ansvar. Tillsammans granskar vi de sektorsspecifika kraven och identifierar befintliga åtgärder som ni kan bygga vidare på. Vi hjälper dig också att engagera ledarskapet, definiera roller och etablera rätt styrningsstruktur för att säkerställa att ägarskapet är tydligt från början.

2. Bedöm risker och bygg upp motståndskraft: Därefter genomför vi integrerade riskbedömningar med utgångspunkt i vad ni redan har gjort för att identifiera sårbarheter i både fysiska system och cybersystem. Vi hjälper er att utveckla praktiska planer för motståndskraft, inklusive åtgärder för affärskontinuitet, fysisk säkerhet och cybersäkerhet, t.ex. incidenthantering, säkerhet i leveranskedjan och personalutbildning.

3. Förbered för incidenter och rapportering: Vi hjälper er att ta fram smarta, responsiva handlingsplaner som är anpassade till olika typer av incidenter. Detta inkluderar anpassning till EU:s rapporteringskrav, förbättrad tvärfunktionell samordning och integrering med nationella och europeiska plattformar för informationsutbyte.

4. Uppfyll efterlevnaden och förbättra kontinuerligt: Slutligen hjälper vi er att skapa system som inte bara uppfyller kraven utan också ständigt förbättras. Detta omfattar utbildning, revisionsförberedelser och resultatövervakning som säkerställer att din organisation är på topp när det gäller hot som utvecklas. Vi tillhandahåller också fortlöpande utbildning för att skapa en kultur av säkerhet och motståndskraft i hela organisationen.

Resultatet är en strukturerad, hanterbar strategi som säkerställer efterlevnad men också stärker din förmåga att motstå och återhämta dig från störningar, vilket skyddar din verksamhet, ditt rykte och dina kunders förtroende.

Vad som skiljer järnvägen åt

CER och NIS2-implementering är inte generiska. För järnvägar måste man ta hänsyn till säkerhetskritiska system, komplexa ömsesidiga beroenden och äldre infrastruktur.