Ten wpis zaczynam wyjątkowo od angielskich słów. W języku polskim posługujemy się pojęciem „bezpieczeństwo”. Zgodnie z definicją ze słownika języka polskiego „bezpieczeństwo” rozumiemy jako stan braku zagrożenia. W transporcie kolejowym spotykamy się z różnymi znaczeniami tego słowa. Może być to bezpieczeństwo funkcjonalne, bezpieczeństwo techniczne lub bezpieczeństwo fizyczne. Od pewnego czasu coraz częściej mówi się o cyberbezpieczeństwie. W języku angielskim posługujemy się pojęciami „safety” oraz „security” i stosujemy je do opisania różnych zagadnień.
Kolejowe safety
Przez większą część swojej historii kolej była sektorem zamkniętym, który dość wolno otwierał się na nowe technologie. o ile chodzi o jej dotychczasowe funkcjonowanie kluczowym aspektem, na który kładziono nacisk, zarówno na poziomie legislacji jak i wykonawczym, były wymagania bezpieczeństwa rozumiane jako „safety”. Przepisy UE definiują to jako brak niedopuszczalnego ryzyka szkody. Bezpieczna kolej jest domeną UE już od wielu lat, co wynika z szeregu aktów prawnych, takich jak dyrektywy w sprawie bezpieczeństwa, w sprawie interoperacyjności oraz rozporządzenie w sprawie CSM RA.
Nowoczesna kolej staje się systemem otwartym, interoperacyjnym. W ramach UE zostało podjętych szereg inicjatyw legislacyjnych, których celem jest utworzenie jednolitego europejskiego obszaru kolejowego, w którym transport kolejowy będzie mógł funkcjonować bez przeszkód, a ich likwidacja polega także na cyfryzacji kolei. Ten proces powinien ułatwić funkcjonowanie wielu podmiotom, zwłaszcza zarządcom infrastruktury, przewoźnikom, producentom srk.
Cyfrowa kolej
Infrastruktura kolejowa bazuje przede wszystkim na sieci komputerowej, zarówno przewodowej jak i bezprzewodowej. Oznacza to, że może być ona realnie narażona na ataki cyberprzestępców, a wachlarz podmiotów narażonych na taki atak jest szeroki.
Każdy z podmiotów działających na rynku kolejowym dysponuje pewnymi danymi, które można określić mianem danych wrażliwych. Przykładowo przewoźnicy towarowi mogą przewozić materiały niebezpieczne. Wszystkie informacje, takie jak na przykład rozkład jazdy pociągu z takim towarem są potencjalnym celem ataku.
Obecnie kończą się prace legislacyjne nad nowym rozporządzeniem w sprawie sieci TEN-T (chodzi o rozwój transeuropejskiej sieci transportowej). Wynikają z niego konkretne obowiązki dla zarządców, przewoźników oraz operatorów transportu intermodalnego. Rozporządzenie przewiduje ambitne terminy instalacji radiowego systemu ERTMS, a także rozwoju aplikacji ICT służących do wymiany informacji potrzebnych do zarządzania infrastrukturą kolejową, przepustowością i przewozami. Zobowiązuje również do zapewnienia cyberbezpieczeństwa oraz odporności infrastruktury.
Cyberbezpieczeństwo stanowi stosunkowo nowe zagadnienie na kolei. Jeszcze do niedawna prawo unijne było w tym zakresie dość ubogie. Skoro kolej stoi przed nieuchronnym procesem cyfryzacji, to powinny zostać podjęte stosowne kroki w celu jej zabezpieczenia przed cyberprzestępcami. Oczywiście, na etapie produkcji urządzeń sterowania ruchem kolejowym mają zastosowanie normy CENELEC, tj. PN-EN 50126 (proces RAMS), PN-EN 50128 czy też PN-EN 50129. Jednak jest to tylko jeden aspekt zapewnienia niezawodności i bezpieczeństwa.
Dyrektywa NIS 2
Nie są to wymagania, które zabezpieczyłyby cały system kolei. W tym celu potrzebne jest współdziałanie wielu podmiotów, również samych państw UE. Dlatego też została opracowana dyrektywa 2022/2055 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii. Nakłada ona konkretne obowiązki, które powinny wziąć na siebie państwa Unii, ale także wskazuje podmioty, które będą zobowiązane do dostosowania się do jej wymagań.
Cały sektor transportu został określony w dyrektywie jako sektor kluczowy, czyli taki, którego funkcjonowanie jest istotne z punktu widzenia Unii. Przepisy dyrektywy będą miały zastosowanie do wszystkich zarządców infrastruktury kolejowej. o ile chodzi o przewoźników kolejowych oraz operatorów OIU, to należy wziąć pod uwagę ich wielkość. o ile dane przedsiębiorstwo przekroczy pułapy przewidziane dla średnich przedsiębiorstw, wówczas będzie związane przepisami dyrektywy.
Do podstawowych obowiązków tych podmiotów będzie należało wdrożenie polityki zarządzania ryzykiem w cyberbezpieczeństwie. Przepisy krajowe powinny konkretnie określić jakie środki techniczne, operacyjne i organizacyjne mają zostać podjęte. Przepisy dyrektywy określają jedynie ich ramy. Środki zarządzania ryzykiem powinny być jednak proporcjonalne do tego (zidentyfikowanego) cyberzagrożenia. Jednocześnie środki powinny uwzględniać aktualny stan wiedzy, a także obowiązujące normy i koszt wdrożenia.
Warto zwrócić uwagę na załączniki do dyrektywy NIS 2. Załącznik II określa, które sektory gospodarki zostały uznane za ważne z punktu widzenia Unii. Zgodnie z klasyfikacją NACE, produkcja urządzeń sterowania ruchem kolejowym została objęta wymaganiami NIS 2. Podobnie producenci taboru kolejowego zostali uznani za sektor ważny.
Dyrektywa 2022/2555 powinna zostać wdrożona przez państwa UE do listopada 2024 roku. Do tego czasu każdy z podmiotów, który został nią objęty powinien dostosować swoje systemy zarządzania bezpieczeństwem do nowych wymagań lub opracować odpowiednie dokumenty wewnętrzne.
Podoba Ci się to co piszę? Udostępnij mój post i podziel się swoimi przemyśleniami w komentarzu!
Jeżeli jesteś zainteresowany tematem, zobacz proszę mój poprzedni wpis.
Warto też zobaczyć co pisze się na ten temat w serwisach zagranicznych.