Risiko- og sårbarhedsvurderinger

Sidst opdateret 07/12/2021
Trafikstyrelsen har udarbejdet et værktøj som transportvirksomheder kan anvende til at gennemføre risiko- og sårbarhedsvurderinger.

I alle organisationer er brugen af digitale data og systemer forbundet med risici i større eller mindre omfang. Risici kan ikke fjernes helt, men ved at organisationen danner sig et overblik over aktuelle risici kan ledelsen træffe beslutning om, hvordan organisationens resurser bedst skal prioriteres for at nedbringe risici til et acceptabelt niveau

 

Trafikstyrelsen har i samarbejde med branchen og Center for Cybersikkerhed (CFCS) udviklet et værktøj til at udarbejde Risiko- Og Sårbarhedsvurderinger i forhold til cyber- og informationssikkerhed (Cyber-ROS). Værktøjet består af en række trusselsscenarier for digitale systemer og data, som anvendes i transportsektoren. Værktøjet kan anvendes uanset, om virksomheden i forvejen har en metode for risiko- og sårbarhedsvurderinger ift. cyber- og informationssikkerhed og blot søger input til analysen, eller hvis virksomheden skal have etableret en ny fast struktur for ROS-vurderinger på området. 

 

Trafikstyrelsens decentrale cyberenhed (DCIS) gennemfører årligt en risiko- og sårbarhedsvurdering af cyber- og informationssikkerhed for transportsektoren på baggrund af konklusionsskemaerne fra virksomhederne, som indsendes til Trafikstyrelsen. Sektorrisikovurderingen indeholder dog ikke oplysninger om enkelte virksomheders sårbarheder, tiltag eller niveau, men giver et anonymiseret overblik over hvilke risici sektoren forholder sig til og eksempler på tiltag til at håndtere disse. 

 

Cyber-ROS består af:

 

  1. Vejledning
  2. Trusselskatalog
  3. Risikoklassificeringsskema 
  4. Analyseskema
  5. Konklusionsskema 

 

Vejledningen er virksomhedens hjælp til at anvende Cyber-ROS. I vejledningen gennemgås både materialet samt Cyber-ROS-processen nærmere.

 

Trusselskataloget beskriver trusselsscenarier, som er relevante for virksomheden at forholde sig til. Scenarierne i trusselskataloget fokuserer b.la. på opretholdelsen af mobilitet og samfundskritiske transportfunktioner og på at sikre systemer, som er kritiske for passagernes sikkerhed både i relation til security-aspekter og safety-aspekter. Trusselsscenarierne kan dog også have andre konsekvenser, fx økonomiske tab eller mindre driftsmæssige forstyrrelser, som er vigtige for virksomheden. 

 

Risikoklassificeringsskemaet anvendes til at fastsætte virksomhedens niveau for risikoaccept, dvs. risici, som virksomheden har identificeret som acceptable, og som ikke derfor ikke vurderes at skulle fjernes eller begrænses (yderligere).

 

Analyseskemaet kan dokumentere og gennemgå risikovurderingens faser – identificering, analyse, evaluering og håndtering af risici – ud fra forskellige trusselsscenarier, der kan true virksomhedens data- og informationssikkerhed.

 

Konklusionsskemaet bruges til at indrapportere virksomhedens konklusioner fra trusselsscenarierne til Trafikstyrelsen. 

 

Er man som transportvirksomhed interesseret i at anvende værktøjet eller blot ønsker at vide mere, så kontakt Trafikstyrelsens cyberenhed (DCIS) via e-mailadressen cyber@tbst.dk for nærmere information. 

 

Vil du vide mere?

Mere generel information om risikostyring og cybertruslen i Danmark kan findes på Center for Cybersikkerheds hjemmeside eller via sikkerdigital.dk.