Security in spoorwegen
Security is voor spoorwegen een onderwerp dat in tegenstelling tot Safety nog nauwelijks aandacht heeft. Omdat er steeds meer geautomatiseerde systemen in de spoorwegen ontstaan, zou de aandacht daaraan moeten toenemen. Denk bijbvoorbeeld aan ERTMS, een systeem dat veilig moet blijven om treinen veilig over het spoor te kunnen laten rijden. Inbreuk op het systeem moet worden voorkomen en mocht het toch gebeuren, dan moet het effect beheersbaar zijn.
Op de website van de Europese Commissie is naast onderstaande werkzaamheden meer te vinden over security beveiliging in het personenvervoer. LINK naar deze EC pagina: Improving passenger railway security
In Europa is er al van alles geregeld op het terrein van security, niet specifiek voor spoorwegen maar in zijn algemeenheid. Er bestaat een richtlijn voor security, de zogenaamde NIS-richtlijn (Directive on security of Network and Information Systems). Deze richtlijn 2016/1148 is van 6 juli 2016 en in Nederland omgezet in nationale wetgeving; enerzijds in de wet beveiliging netwerk- en informatiesystemen en anderzijds in een aantal besluiten. 14 december 2022 is deze richtlijn vervangen door NIS2, 2022/2555
De NIS2 richtlijn 2022/2555 over Netwerk en Informatiesystemen voor cybersecurity
Rectificatie van de richtlijn 2055/2555, (zie bladzijde 108, artikel 2, lid 2, punt a), iii) nog geen geconsolideerde versie !
Bijbehorende richtlijn 2022/2557 voor kritieke entiteiten
De Europese richtlijn is 2016/1148. Deze richtlijn is inmiddels vervangen (per 18.10.2024) door de richtlijn NIS2 2022/2555
De richtlijn 2016/1148 kent tevens twee onderliggende uitvoeringshandelingen (verplichte verordeningen)
Voor spoorwegen is er een Commissie Besluit tot de oprichting van een security platform voor treinreizigers.
Om de Europese werkzaamheden op het terrein van security te organiseren bestaat er een Europees Security Agentschap genaamd ENISA. Dit Agentschap is gevestigd in Athene. De verordening voor dit agentschap is 2019/881 van 17.04.2019.
Link naar de ENISA website
Onderstaand pagina's met links naar de desbetreffende nationale en Europese regelgeving.
Security nationale regelgeving
De Europese richtlijn 2016/1148 is in Nederland omgezet in nationale wet- en regelgeving.
Onderstaand een overzicht van de wet en bijbehorende besluiten
Wet Beveiliging netwerk en Informatiesystemen, geldig vanag 01.01.2019
Besluit aanwijzing CSIRT voor digitale diensten
Besluit aanwijzing toezichthoudende ambtenaren
Besluit beveiliging netwerk- en informatiesystemen
Regeling beveiliging netwerk- en informatiesystemen IenW
Besluit tot aanpassing van de nationale regelgeving Besluit Aanwijzing Toezichthouders Spoorwegen (Besluit ATS) van 17.03.2020
De wijziging behelst de aanwijzing van ambtenaren van ILT belast met toezicht op het NS vervoerplan inzake de beveiliging van de Eurostarverbinding van Amsterdam naar Londen [LINK naar Besluit ATS]
Naast deze regelgeving bestaat er een informatiefolder van het Nationaal Cyber Security Centrum van het Ministerie van Justitie en Veiligheid over CSIRT [LINK]
Er bstaat ook een groeiboek cybersecurity van het Centrum Ondergronds Bouwen [LINK] In dit boek, gebaseerd op risicobenadering, staan handreikingen voor de diverse spelers hoe zich voor te bereiden op security vraagstukken.
Security Europese regelgeving
Naast de genoemde richtlijn bestaan er een aantal uitvoeringshandelingen die door de Europese Commissie zijn vastgesteld en gepubliceerd.
Het gaat daarbij om de volgende verordeningen
Verordening 2021/887 van 20.05.2021 en gepubliceerd in L202 van 08.06.2021. Het betreft de oprichting van een kenniscentrum voor cybersecurity. In deze Verordening krijgt de Commissie de opdracht om met een waarnemend directeur en eventueel eigen personeel het kenniscentrum in te richten. Daarna kan er een definitieve uitvoerend directeur worden benoemd.
Verordening 2021/887 tot oprichting van het kenniscentrum cybersecurity.
Oprichting van een security platform voor treinreizigers C232/03 van 29.06.2018 en is gepubliceerd op 03.07.2018 in C232/10
UITVOERINGSVERORDENING 2018/151 VAN DE COMMISSIE van 30 januari 2018
tot vaststelling van toepassingsbepalingen voor Richtlijn 2016/1148 wat betreft de nadere specificatie van de door digitaledienstverleners in aanmerking te nemen elementen voor het beheer van de risico's in verband met de beveiliging van netwerk- en informatiesystemen en van de parameters om te bepalen of een incident aanzienlijke gevolgen heeft
UITVOERINGSBESLUIT 2017/179 VAN DE COMMISSIE van 1 februari 2017
tot vaststelling van de procedurele regelingen die noodzakelijk zijn voor de werking van de samenwerkingsgroep overeenkomstig artikel 11, lid 5, van Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie
Naast deze gedelegeerde handelingen bestaat er een Security Agentschap ENISA. De taken en bevoegden van dit Agentschap zijn vastgelegd in een Verordening
VERORDENING 2019/881 van 17 april 2019 inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie en tot intrekking van Verordening (EU) nr. 526/2013 (de cyberbeveiligingsverordening)
Besluit 2021/04 van 09.12.2020 betreffende de plaats van vestiging van het kenniscentrum voor industrie, technologie en onderzoek op het gebied van cyberbeveiliging
Gepubliceerd in L004 van 07.01.2021
Studie rapport ERA en ENISA (Security Agentschap) hebben samen een studie gedaan naar security bij spoorwegen. Het rapport, beschikbaar op de website van ENISA Link naar het rapport van de studie Railway Cyber Security, uitgave van ENISA 13.11.2020
Rapport van ENISA, genaamd: THREAT LANDSCAPE: TRANSPORT SECTOR over de periode van January 2021 to October 2022, gepubliceerd op 21.03.2023 Treat Landscape Report. Voor spoorwegen, zie blz 33 e.v.