Regler for cybersikkerhed i transportsektoren

Få overblik over regler og krav til cybersikkerhed i transportsektoren.

Dit ansvar som transportvirksomhed

Trafikstyrelsen fører tilsyn med cybersikkerhed i transportsektoren.

Hvis din virksomhed er omfattet af reglerne, har I ansvar for sikkerheden i de net- og informationssystemer, I bruger. Det betyder, at I skal gennemføre en risikovurdering med sigte på at begrænse risici for og konsekvenser ved sikkerhedshændelser i jeres net- og informationssystemer.

Cybersikkerhedsreglerne på transportområdet bygger især på EU-regler. De vigtigste er:

  • NIS 2-loven, som bygger på EU-direktiv 2022/2555 om et højt fælles cybersikkerhedsniveau i EU
  • luftfartsspecifikke regler om cybersikkerhed for systemer, der vedrører både security og safety

Trafikstyrelsen arbejder for at skabe klarhed om, hvordan de forskellige regler hænger sammen for aktører i transportsektoren. Nedenfor kan de læse mere om de forskellige regler.

NIS 2-loven

NIS 2-loven stiller krav til processer og foranstaltninger på cybersikkerhedsområdet.

Loven gælder på tværs af samfundets kritiske sektorer. På transportområdet kan mellemstore og store virksomheder være omfattet som enten væsentlige eller vigtige enheder.

Det gælder virksomheder inden for:

  • luftfart
  • jernbane
  • havne og havnefaciliteter
  • vejområdet
  • post- og kurertjenester

Der er forskel på, hvordan Trafikstyrelsen fører tilsyn.

Store virksomheder, der er væsentlige enheder, er underlagt løbende tilsyn. Mellemstore virksomheder, der er vigtige enheder, er som udgangspunkt underlagt reaktivt tilsyn. Det betyder, at tilsynet typisk sker, hvis der er mistanke om manglende efterlevelse af reglerne.

Alle virksomheder på post- og kurerområdet, der er omfattet af reglerne, er også underlagt reaktivt tilsyn.

Særlige regler for luftfart

Der findes særlige luftfartsspecifikke EU-regler om cybersikkerhed. De omfatter både securityområdet og safetyområdet i luftfarten.

Reglerne handler om at beskytte relevante systemer mod cyberhændelser. Formålet er at understøtte sikker luftfart.

Cybersikkerhed på securityområdet

EU-forordning 2019/1583 regulerer cybersikkerhed på securityområdet. I Danmark gælder den blandt andet for:

  • lufthavnsoperatører
  • luftfartsselskaber
  • fragtagenter
  • sikkerhedsgodkendte leverandører

Reglerne betyder, at aktørerne skal identificere og beskytte security-kritiske informations- og kommunikationsteknologisystemer og data mod cyberangreb.

Kravene suppleres af nationale regler i Det Danske Nationale Sikkerhedsprogram for Civil Luftfart, NASP.

Cybersikkerhed på safetyområdet

Der kommer også regler om cybersikkerhed på safetyområdet. Reglerne kaldes Part-IS.

Formålet med Part-IS er, at både Trafikstyrelsen og aktører i luftfarten bidrager til at beskytte luftfartssystemer mod cyberangreb.

Et centralt krav forventes at være, at organisationer etablerer et ledelsessystem for informationssikkerhed, også kaldet ISMS.

Organisationer skal også indberette cybersikkerhedshændelser.

Relevante links

  • For mere information om NIS 2 for transportsektoren: NIS2
  • For mere information om NIS 2 generelt, herunder tværgående NIS 2-vejledninger, registrering, hændelsesunderretning mv., se Styrelsen for Samfundssikkerheds hjemmeside: SAMSIK NIS 2

FAQ

Trafikstyrelsen fører tilsyn med cybersikkerhed i transportsektoren.

Det har virksomheden selv. Hvis din virksomhed er omfattet af reglerne, skal I beskytte de net- og informationssystemer, I bruger.

En risikovurdering er en vurdering af, hvilke cybertrusler der kan ramme virksomheden, hvor alvorlige de kan være, og hvordan risikoen kan begrænses.

Indholdsoversigt