De spoorwegsector heeft behoefte aan harmonisering van de EU-wetgeving inzake cyberbeveiliging

Marta García, Technical Affairs Manager bij de European Rail Supply Industry Association (UNIFE), belicht het huidige wetgevingskader op het gebied van cyberbeveiliging dat van invloed is op de spoorwegindustrie, evenals de dringende behoefte aan harmonisatie en samenwerking in heel Europa.

Nu de spoorwegen steeds afhankelijker worden van onderling verbonden systemen en digitale technologieën, is het nemen van robuuste cyberbeveiligingsmaatregelen cruciaal voor het behoud van de integriteit en betrouwbaarheid van spoorwegnetwerken. Nu de Europese Unie worstelt met het veranderende landschap van cyberbeveiligingsdreigingen, is het noodzakelijk om de bestaande wetgeving te onderzoeken en de unieke uitdagingen van de spoorwegsector aan te pakken.

Interviewer: Welke cyberbeveiligingswetgeving of voorstellen die van invloed zijn op de spoorwegsector bestaan er al op Europees niveau?

Marta García: “Er zijn veel horizontale wetten en voorstellen, die van invloed zijn op meerdere sectoren, waaronder de spoorwegsector. Na de EU-strategie voor cyberbeveiliging die in 2020 is uitgebracht, wordt de richtlijn Netwerk- en informatiebeveiliging 2 (NIS2) momenteel in elke lidstaat omgezet. De Cyber Resilience Act (CRA), die cyberbeveiliging door ontwerp, certificering en een onderhoudsfase met rapportageverplichtingen omvat, bereikte een voorlopig akkoord in november 2023 en heeft een aanzienlijke impact op onze sector, vooral binnen de toeleveringsketen. De Radio Equipment Directive (RED) is ook van invloed op onder andere de spoorwegsector.”

Interviewer: Wat zijn de belangrijkste zorgen van UNIFE-leden met betrekking tot cyberbeveiliging?

Marta García: “Cyberbeveiliging is een belangrijke prioriteit voor UNIFE, met name het waarborgen van het juiste niveau van cyberbeveiliging en bescherming voor kritieke infrastructuur. Onze belangrijkste zorg is het bereiken van een uniforme aanpak in heel Europa, harmonisatie, met speciale aandacht voor het vermijden van dubbel werk in de wetgeving. Er zijn talloze horizontale initiatieven op Europees niveau, met technische details over certificering en te gebruiken standaarden, en parallel daaraan belangrijke verticale regelgeving zoals de Interoperabiliteitsrichtlijn die haar processen omvat. Coördinatie tussen horizontale en verticale kaders is cruciaal om overlappingen te voorkomen en een uniform kader te creëren dat is afgestemd op de complexiteit van de spoorwegsector.”

Interviewer: Welke cybersecurity-gerelateerde kwesties vindt UNIFE momenteel het meest urgent om op Europees niveau aan te pakken?

Marta García: “Cyberveiligheid is een topprioriteit voor Europa vanwege de huidige geopolitieke situatie en het voortdurend veranderende bedreigingslandschap. Het vergroten van het bewustzijn in de toeleveringsketen, vooral met betrekking tot impactvolle regelgeving zoals de Cyber Resilience Act (CRA), is cruciaal voor bedrijven om voorbereid te zijn op de grote uitdagingen die de regelgeving voorstelt. Deze wetgeving verandert de eisen voor productontwerp en heeft een grote impact op fabrikanten in alle sectoren. Bewustwording, vooral bij het MKB, is cruciaal, het MKB is erg belangrijk in de toeleveringsketen van de spoorwegen en het is van het grootste belang om verstoringen te voorkomen.”

Interviewer: Kunt u ons meer vertellen over de geschetste cyberbeveiligingswetgeving die van invloed is op de spoorwegsector die momenteel bij beleidsmakers ligt? Wat zijn volgens u de gevolgen van deze wetgeving voor het vermogen van de spoorwegsector om zich te beschermen tegen cyberdreigingen?

Marta García: “Het wetsvoorstel voor de Cyber Resilience Act (CRA) heeft momenteel een voorlopig akkoord bereikt in november 2023 en er zal de komende maanden formeel over worden gestemd. UNIFE en haar leden zijn het afgelopen jaar actief in gesprek geweest met medewetgevers om dit belangrijke stuk wetgeving beter af te stemmen op de complexiteit van de spoorwegsector, uiteindelijk is het een sectoroverschrijdend voorstel dat van toepassing is op de meeste sectoren in Europa. Deze wetgeving legt alle verplichtingen bij fabrikanten en heeft verschillende belangrijke doelstellingen, waaronder het implementeren van cyberbeveiliging door ontwerp, het instellen van een onderhoudsfase voor het leveren van patches om kwetsbaarheden aan te pakken, meldingsverplichtingen voor uitgebuite kwetsbaarheden en het opleggen van rapportageverplichtingen.

Niet-naleving van de wetgeving kan resulteren in aanzienlijke boetes, die een impact hebben op het hele beheer van de toeleveringsketen. Elke fabrikant die een digitaal verbonden product of software op de markt brengt, moet aan deze regelgeving voldoen. Hoewel dit in eerste instantie tot hogere kosten kan leiden, is het uiteindelijk een investering in het verbeteren van de cyberbeveiliging in alle sectoren.

Andere belanghebbenden zullen te maken krijgen met hogere kosten als gevolg van de implementatie van cyberbeveiliging door ontwerp- en certificeringsvereisten. Dit houdt niet alleen in dat cyberbeveiligingscontroles en -maatregelen moeten worden geïmplementeerd, maar ook dat certificering moet plaatsvinden door middel van zelfbeoordeling of beoordeling door derden. De extra lasten omvatten het voldoen aan rapportageverplichtingen en het in contact treden met autoriteiten. Als zodanig heeft de Cyber Resilience Act (CRA) de meeste impact voor UNIFE-leden.”

Interviewer: Wat zou deze wetgeving kunnen betekenen voor kleine en middelgrote ondernemingen (KMO’s) die deze technologie in heel Europa ontwikkelen?

Marta García: “KMO’s en grote bedrijven die producten integreren, zullen zich moeten houden aan cyberbeveiligingseisen, waaronder cyberbeveiliging door ontwerp. Dit due diligence-proces zal nodig zijn voor alle spelers in de toeleveringsketen die verschillende producten integreren.

De aanpassing aan de nieuwe CRA-methodologie brengt uitdagingen met zich mee, vooral voor kleine en middelgrote ondernemingen (kmo’s), die mogelijk personeel moeten aannemen om het proces te doorlopen en ervoor te zorgen dat aan specifieke productvereisten wordt voldaan. Bovendien is er onzekerheid rond de Cyber Resilient Act (CRA), aangezien deze gericht is op certificering door middel van normen, en er is al een normalisatieverzoek naar de Europese normalisatieorganisatie (ENO) gestuurd om te voldoen aan de technische vereisten in bijlage I van de Cyber Resilience Act, die gelijktijdig met het wettelijke goedkeuringsproces wordt ontwikkeld. Deze voortdurende ontwikkeling draagt bij aan de complexiteit van en onzekerheid over de wetgeving.”

Interviewer: Hoe verschilt de spoorwegsector van andere als het gaat om cyberveiligheid?

Marta García: “De complexiteit en het kritieke karakter van de spoorwegsector vereisen regelgeving op maat. Het is cruciaal om rekening te houden met deze complexiteit om onnodige lasten en overlappende regelgeving te voorkomen.”

Het is ook van essentieel belang om te benadrukken dat de spoorwegsector, bestaande uit exploitanten, spoorwegondernemingen, infrastructuurbeheerders en belanghebbenden uit de sector, gezamenlijk het voortouw nemen bij aanzienlijke inspanningen om cyberbeveiliging te standaardiseren. Inspanningen op het gebied van standaardisering van cyberbeveiliging, zoals TS50701 en de huidige migratie naar IEC63452, die in 2025 zal worden gepubliceerd, worden en zullen zowel op Europees als internationaal niveau worden erkend. Dit toont de proactieve aanpak van de spoorwegsector en dient als benchmark voor anderen die op zoek zijn naar begeleiding bij het standaardiseren van cyberbeveiliging.

Conclusie

Terwijl de Europese spoorwegsector zich een weg baant door de complexe cyberbeveiligingswetgeving, is het duidelijk dat een verenigde en gecoördineerde aanpak essentieel is om risico’s te beperken en veerkracht te garanderen. Nu initiatieven zoals de Cyber Resilience Act (CRA) klaar staan om de toekomst van cyberbeveiliging in het spoor vorm te geven, wordt het noodzakelijk voor belanghebbenden om het bewustzijn te vergroten, samenwerking te bevorderen en zich aan te passen aan de veranderende regelgeving. Door de zorgen van UNIFE en andere spelers in de sector aan te pakken, kunnen beleidsmakers de weg vrijmaken voor een veiligere en veerkrachtigere spoorweginfrastructuur, klaar om de uitdagingen van het digitale tijdperk aan te gaan.

Verder lezen:

• Vrouwen in het spoor: de helft van de passagiers, 22 procent van de werknemers
• RailTech Europe`24: de digitalisering van het Europese spoor bevorderen
• RailTech Europe ’24: Cyberveilige communicatie voor bestuurderloze treinen
• Cyberveiligheid voor spoorwegsystemen – hoe te handhaven in het digitale tijdperk