Trafikstyrelsen regulerer og vejleder om forhold for cybersikkerheden for aktører i transportsektoren, og fører tilsyn med, at reglerne bliver overholdt.
I disse år er der et stigende fokus på cybersikkerheden i transportsektoren, såvel nationalt og internationalt. Mange virksomheder anvender eller er helt afhængige af digitale løsninger til at kunne levere transportløsninger. Det er derfor også vigtigt, at virksomheder sørger for, at de anvendte digitale løsninger er tilstrækkeligt beskyttet.
Virksomheder er grundlæggende selv ansvarlige for at beskytte deres forretningskritiske systemer og data mod hændelser, som for eksempel cyberangreb. Men der findes også visse minimumskrav til cybersikkerhed, der skal overholdes.
Cybersikkerhedsreglerne på transportområdet kommer primært fra EU og dækker både over generelle og sektorspecifikke regler:
- De tværsektorielle NIS-regler, der udspringer af EU’s NIS-direktiv (Direktiv for Netværk- og informationssikkerhed).
- Luftfartsspecifikke regler om cybersikkerhed for systemer vedr. security såvel som safety.
Trafikstyrelsen arbejder på at skabe klarhed omkring den indbyrdes sammenhæng mellem de forskellige regelsæt, som transportsektorens aktører er underlagt
Net- og informationssikkerhedsdirektivet (NIS-direktivet)
NIS-direktivets formål er at øge cybersikkerheden i hele EU for en række udpegede kritiske sektorer, herunder transportsektoren. Hver sektormyndighed har ansvar for implementering af direktivet på deres område. Trafikstyrelsen administrerer reglerne på transportområdet.
I transportsektoren er aktører fra jernbane og luftfarten omfattet af NIS-reglerne
Direktivet trådte i kraft i 2016 og er gennemført i Danmark på transportområdet ved såvel lov og bekendtgørelse.
NIS -direktivet består af tre dele:
- Opbygning af nationale kapaciteter: EU-landene skal med andre ord opbygge færdigheder til at beskytte data og systemer mod cyberangreb. I Danmark stilles der krav om, at virksomheder, der er udpeget som NIS-operatører, bliver certificeret efter en internationalt anerkendt standard for styring af sikkerheden i net- og informationssystemer, f.eks. ISO27001-standarden.
- Tværnationalt samarbejde: EU-landene skal dele viden om trusler og arbejde sammen om at forhindre og håndtere cyberangreb
- Nationalt tilsyn: Nationale myndigheder skal overvåge cybersikkerhed for kritiske virksomheder. I Danmark betyder det konkret, at Trafikstyrelsen sikrer, at udpegede transportvirksomheder opnår certificering efter en internationalt anerkendt standard.
Den 16. december 2020 fremsatte Europa Kommissionen forslag til et revideret NIS direktiv (NIS 2).
Med NIS 2 ønsker Europa Kommissionen at styrkeharmonisering og ensartning af implementeringen af direktivet på tværs af EU-landene og på tværs af sektorer. Forslaget til det nye direktiv indebærer en væsentlig udvidelse af, hvem der er omfattet: I forslaget udvides direktivet med flere sektorer samt flere aktører fra de enkelte sektorer sektor. For transportområdet udvider forslaget direktivet til at omfatte en række luftfartsselskaber, lufthavne, jernbaneoperatører, havnefaciliteter, hvis virksomhederne har en vis størrelse målt på antal medarbejdere og omsætning.
Derudover lægges der også op til et væsentligt udvidet myndighedstilsyn med efterlevelsen af direktivet såvel som udvidede sanktionsmuligheder.
Det nye direktiv er vedtaget og skal være implementeret i dansk lovgivning den 18. oktober 2024.
Læs mere her
NIS 2 direktivet