Cyber-regulering

Trafikstyrelsen regulerer og vejleder om forhold for cybersikkerheden for aktører i transportsektoren, og fører tilsyn med, at reglerne bliver overholdt.

I disse år er der et stigende fokus på cybersikkerheden i transportsektoren, såvel nationalt og internationalt. Mange virksomheder anvender eller er helt afhængige af digitale løsninger til at kunne levere transportløsninger. Det er derfor også vigtigt, at virksomheder sørger for, at de anvendte digitale løsninger er tilstrækkeligt beskyttet.    

Virksomheder er grundlæggende selv ansvarlige for at beskytte deres forretningskritiske systemer og data mod hændelser, som for eksempel cyberangreb. Men der findes også visse minimumskrav til cybersikkerhed, der skal overholdes.

Cybersikkerhedsreglerne på transportområdet kommer primært fra EU og dækker både over generelle og sektorspecifikke regler:

  • De tværsektorielle NIS-regler, der udspringer af EU’s NIS-direktiv (Direktiv for Netværk- og informationssikkerhed).
  • Luftfartsspecifikke regler om cybersikkerhed for systemer vedr. security såvel som safety. 

Trafikstyrelsen arbejder på at skabe klarhed omkring den indbyrdes sammenhæng mellem de forskellige regelsæt, som transportsektorens aktører er underlagt

Net- og informationssikkerhedsdirektivet (NIS-direktivet)

NIS-direktivets formål er at øge cybersikkerheden i hele EU for en række udpegede kritiske sektorer, herunder transportsektoren. Hver sektormyndighed har ansvar for implementering af direktivet på deres område. Trafikstyrelsen administrerer reglerne på transportområdet.

I transportsektoren er aktører fra jernbane og luftfarten omfattet af NIS-reglerne

Direktivet trådte i kraft i 2016 og er gennemført i Danmark på transportområdet ved såvel lov og bekendtgørelse.

NIS -direktivet består af tre dele: 

  1. Opbygning af nationale kapaciteter: EU-landene skal med andre ord opbygge færdigheder til at beskytte data og systemer mod cyberangreb. I Danmark stilles der krav om, at virksomheder, der er udpeget som NIS-operatører, bliver certificeret efter en internationalt anerkendt standard for styring af sikkerheden i net- og informationssystemer, f.eks. ISO27001-standarden.
  2. Tværnationalt samarbejde: EU-landene skal dele viden om trusler og arbejde sammen om at forhindre og håndtere cyberangreb
  3. Nationalt tilsyn: Nationale myndigheder skal overvåge cybersikkerhed for kritiske virksomheder. I Danmark betyder det konkret, at Trafikstyrelsen sikrer, at udpegede transportvirksomheder opnår certificering efter en internationalt anerkendt standard. 

Den 16. december 2020 fremsatte Europa Kommissionen forslag til et revideret NIS direktiv (NIS 2).

Med NIS 2 ønsker Europa Kommissionen at styrkeharmonisering og ensartning af implementeringen af direktivet på tværs af EU-landene og på tværs af sektorer. Forslaget til det nye direktiv indebærer en væsentlig udvidelse af, hvem der er omfattet: I forslaget udvides direktivet med flere sektorer samt flere aktører fra de enkelte sektorer sektor. For transportområdet udvider forslaget direktivet til at omfatte en række luftfartsselskaber, lufthavne, jernbaneoperatører, havnefaciliteter, hvis virksomhederne har en vis størrelse målt på antal medarbejdere og omsætning.

Derudover lægges der også op til et væsentligt udvidet myndighedstilsyn med efterlevelsen af direktivet såvel som udvidede sanktionsmuligheder.

Det nye direktiv er vedtaget og skal være implementeret i dansk lovgivning den 18. oktober 2024. 

Læs mere her

NIS 2 direktivet

Luftfartsregulering

I disse år udrulles der luftfartsspecifikke EU-regler om cybersikkerhed både for så vidt angår luftfart/security og luftfart/safety. Reglerne handler i sidste ende om at understøtte sikker luftfart ved at sikre, at virksomheder i luftfarten beskytter relevante systemer mod cyberhændelser.

EU-forordning 2019/1583 regulerer cybersikkerhed på securityområdet. Forordningen gælder i Danmark for lufthavnsoperatører, luftfartsselskaber, fragtagenter og sikkerhedsgodkendte leverandører. Forordningen trådte i kraft d. 31. december 2021.

Forordningen indebærer krav om, at aktørerne identificerer og beskytter deres security-kritiske informations- og kommunikationsteknologisystemer og data mod cyberangreb. Forordningens krav suppleres med nationale regler i Det Danske Nationale Sikkerhedsprogram for Civil Luftfart (NASP).

Inden for de kommende år vil nye regler om cybersikkerhed ligeledes træde i kraft for aktører på safetyområdet, de såkaldte Part-IS regler. Formålet med Part-IS er at få alle aktører – både Trafikstyrelsen og luftfartsvirksomheder og aktører i sektoren – til at bidrage til beskyttelse af luftfartssystemer mod cyberangreb. Omdrejningspunktet for reglerne forventes at være et krav om etablering af et ledelsessystem for informationssikkerhed (ISMS). Derudover skal organisationer indberette cybersikkerhedshændelser. 

Part-IS bestemmelserne vil være gældende fra den 16. oktober 2025 for organisationer som omfattes af scope i den delegerede akt. 

Læs mere her

Security - (EU) 2019/1583

Part-IS - (EU) 2022/1645

EASA opinion
 

Senest opdateret 15-11-2023