Cybersikkerhedslovgivning i transportsektoren

Trafikstyrelsen er tilsynsmyndighed for cybersikkerhed i transportsektoren. Tilsynet sker med udgangspunkt i flere regelsæt.

Virksomheder er ansvarlige for sikkerheden i de net- og informationssystemer, som de betjener sig af. Der er typisk krav om, at de virksomheder, som omfattes af krav på cybersikkerhedsområdet, gennemfører en risikovurdering med sigte på at begrænse risici for og konsekvenser ved sikkerhedshændelser i deres net- og informationssystemer.

Cybersikkerhedsreglerne på transportområdet udspringer primært af EU-regulering, herunder:

• NIS 2-loven, der udspringer af EU’s direktiv 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen
• Luftfartsspecifikke regler om cybersikkerhed for systemer vedr. security såvel som safety. 

Trafikstyrelsen ønsker at skabe størst mulig klarhed om den indbyrdes sammenhæng mellem de forskellige regelsæt, som transportsektorens aktører er underlagt.

NIS 2-loven

NIS 2-loven stiller krav til processer og foranstaltninger på cybersikkerhedsområdet på tværs af samfundets kritiske sektorer. På transportområdet omfattes mellemstore og store virksomheder (vigtige og væsentlige enheder) inden for luftfart, jernbane, havne og havnefaciliteter, vejområdet og post- og kurertjenester.

Trafikstyrelsens tilsyn med de omfattede virksomheder sker ud fra en samlet prioritering. Der føres løbende tilsyn med omfattede store virksomheder (væsentlige enheder), mens alle omfattede virksomheder på post- og kurerområdet og alle mellemstore virksomheder (vigtige enheder) alene er underlagt et reaktivt tilsyn i forbindelse med formodning om manglende efterlevelse af reglerne.

Læs mere her

For mere information om NIS 2 for transportsektoren se Trafikstyrelsens hjemmeside: NIS2

For mere information om NIS 2 generelt, herunder tværgående NIS 2-vejledninger, registrering, hændelsesunderretning mv., se Styrelsen for Samfundssikkerheds hjemmeside: SAMSIK NIS 2

 I disse år udrulles der luftfartsspecifikke EU-regler om cybersikkerhed både for så vidt angår luftfart/security og luftfart/safety. Reglerne handler i sidste ende om at understøtte sikker luftfart ved at sikre, at virksomheder i luftfarten beskytter relevante systemer mod cyberhændelser.

EU-forordning 2019/1583 regulerer cybersikkerhed på securityområdet. Forordningen gælder i Danmark for lufthavnsoperatører, luftfartsselskaber, fragtagenter og sikkerhedsgodkendte leverandører. Forordningen trådte i kraft d. 31. december 2021.

Forordningen indebærer krav om, at aktørerne identificerer og beskytter deres security-kritiske informations- og kommunikationsteknologisystemer og data mod cyberangreb. Forordningens krav suppleres med nationale regler i Det Danske Nationale Sikkerhedsprogram for Civil Luftfart (NASP).

Inden for de kommende år vil nye regler om cybersikkerhed ligeledes træde i kraft for aktører på safetyområdet, de såkaldte Part-IS regler. Formålet med Part-IS er at få alle aktører – både Trafikstyrelsen og luftfartsvirksomheder og aktører i sektoren – til at bidrage til beskyttelse af luftfartssystemer mod cyberangreb. Omdrejningspunktet for reglerne forventes at være et krav om etablering af et ledelsessystem for informationssikkerhed (ISMS). Derudover skal organisationer indberette cybersikkerhedshændelser. 

Part-IS bestemmelserne vil være gældende fra den 16. oktober 2025 for organisationer som omfattes af scope i den delegerede akt.

Læs mere her

Security - (EU) 2019/1583

Part-IS - (EU) 2022/1645

EASA opinion