Security in spoorwegen

Security is voor spoorwegen een onderwerp dat in tegenstelling tot Safety nog nauwelijks aandacht heeft. Omdat er steeds meer geautomatiseerde systemen in de spoorwegen ontstaan, zou de aandacht daaraan moeten toenemen. Denk bijbvoorbeeld aan ERTMS, een systeem dat veilig moet blijven om treinen veilig over het spoor te kunnen laten rijden. Inbreuk op het systeem moet worden voorkomen en mocht het toch gebeuren, dan moet het effect beheersbaar zijn.

De Europese Commissie is naast onderstaande werkzaamheden gestart met een consultatie voor security beveiliging personenvervoer. In 2018 is een consultatie onder stakeholders uitgevoerd. Op een webpagina van de Europese Commisie is meer te vinden over deze consultatie.
LINK naar deze EC pagina:  Improving passenger railway security
In Europa is er al van alles geregeld op het terrein van security, niet specifiek voor spoorwegen maar in zijn algemeenheid. Er bestaat een richtlijn voor security, de zogenaamde NIS-richtlijn (Directive on security of Network and Information Systems). Deze richtlijn 2016/1148 is van 6 juli 2016 en in Nederland omgezet in nationale wetgeving; enerzijds in de wet beveiliging netwerk- en informatiesystemen en anderzijds in een aantal besluiten.


De Europese richtlijn is 2016/1148
  
Deze richtlijn kent tevens twee onderliggende uitvoeringshandelingen (verplichte verordeningen)

Voor spoorwegen is er een Commissie Besluit tot de oprichting van een security platform voor treinreizigers.

Om de Europese werkzaamheden op het terrein van security te organiseren bestaat er een Europees Security Agentschap genaamd ENISA. Dit Agentschap is gevestigd in Athene. De verordening voor dit agentschap is 2019/881 van 17.04.2019.
Link naar de ENISA website

Onderstaand pagina's met links naar de desbetreffende nationale en Europese regelgeving.

NATIONALE REGELGEVING

Security nationale regelgeving

De Europese richtlijn 2016/1148 is in Nederland omgezet in nationale wet- en regelgeving.
Onderstaand een overzicht van de wet en bijbehorende besluiten

Wet Beveiliging netwerk en Informatiesystemen, geldig vanag 01.01.2019

Besluit aanwijzing CSIRT voor digitale diensten

Besluit aanwijzing toezichthoudende ambtenaren

Besluit aanwijzing toezichthouders Wet beveiliging netwerk- en informatiesystemen [...] energie, digitale infrastructuur en voor digitale diensten

Besluit beveiliging netwerk- en informatiesystemen

Besluit tot aanpassing van de nationale regelgeving Besluit Aanwijzing Toezichthouders Spoorwegen (Besluit ATS) van 17.03.2020
De wijziging behelst de aanwijzing van ambtenaren van ILT belast met toezicht op het NS vervoerplan inzake de beveiliging van de Eurostarverbinding van Amsterdam naar Londen [LINK naar Besluit ATS]

Naast deze regelgeving bestaat er een informatiefolder van het Nationaal Cyber Security Centrum van het Ministerie van Justitie en Veiligheid over CSIRT [LINK]

Er bstaat ook een groeiboek cybersecurity van het Centrum Ondergronds Bouwen [LINK] In dit boek, gebaseerd op risicobenadering, staan handreikingen voor de diverse spelers hoe zich voor te bereiden op security vraagstukken.

EUROPESE REGELGEVING

Security Europese regelgeving

Naast de genoemde richtlijn bestaan er twee uitvoeringshandelingen die door de Europese Commissie zijn vastgesteld en gepubliceerd.
Het gaat daarbij om de volgende verordeningen

Oprichting van een security platform voor treinreizigers C232/03 van 29.06.2018 en is gepubliceerd op 03.07.2018 in C232/10
   

UITVOERINGSVERORDENING 2018/151 VAN DE COMMISSIE van 30 januari 2018
tot vaststelling van toepassingsbepalingen voor Richtlijn 2016/1148 wat betreft de nadere specificatie van de door digitaledienstverleners in aanmerking te nemen elementen voor het beheer van de risico's in verband met de beveiliging van netwerk- en informatiesystemen en van de parameters om te bepalen of een incident aanzienlijke gevolgen heeft
   

UITVOERINGSBESLUIT 2017/179 VAN DE COMMISSIE van 1 februari 2017
tot vaststelling van de procedurele regelingen die noodzakelijk zijn voor de werking van de samenwerkingsgroep overeenkomstig artikel 11, lid 5, van Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie
   

Naast deze gedelegeerde handelingen bestaat er een Security Agentschap ENISA. De taken en bevoegden van dit Agentschap zijn vastgelegd in een Verordening

VERORDENING 2019/881 van 17 april 2019 inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie en tot intrekking van Verordening (EU) nr. 526/2013 (de cyberbeveiligingsverordening)