Mit der zunehmenden Digitalisierung im Bahnsektor steigen auch die Anforderungen an die Cybersicherheit. Dem begegnete die Europäische Union mit der Richtlinie zur Netz- und Informationssystemsicherheit (NIS), die in Österreich bereits seit 2018, in Form des NIS-Gesetzes, Teil des Rechtssystems ist. Die derzeit geltende NIS-Richtlinie von 2016 („NIS 1“) wurde nun durch NIS 2 abgelöst und muss bis zum 17. Oktober 2024 in österreichisches Recht übernommen werden. Sie schreibt nicht nur eine umfassende Erweiterung von Risikomanagementmaßnahmen und Berichtspflichten vor, sondern erweitert auch den Kreis der betroffenen Unternehmen erheblich. Die leitenden Organe dieser Unternehmen haben die Umsetzung zu überwachen, haften bei Nichteinhaltung und müssen in diesem Fall mit beachtlichen Sanktionen zu rechnen.
Die Anforderungen aus den NIS-Regelungen beeinflussen das Management der digitalen Systeme in der gesamten europäischen Verkehrsbranche nachhaltig. Die Gewährleistung der Cybersicherheit im Bahnsektor bringt ein komplexes Regelwerk und hohe Anforderungen mit sich und stellt die Akteure vor eine Vielzahl von Herausforderungen bei der Umsetzung der durch die NIS-Regelungen vorgegebenen Rechtsvorschriften.
Im Rahmen unseres Branchenevent zum Thema „Kein Schiss vor NIS“ haben wir Expert*innen der Branche zusammengebracht. Erfahren Sie, wie innovative Technologien und bewährte Praktiken die Sicherheit und Resilienz kritischer Infrastrukturen in einer vernetzten Welt transformieren. Videos und Präsentationen vom Event finden Sie hier.
Netz- und Informationssysteme und ihre Sicherheit
Im Sinne des NIS-Gesetzes sind Netz- und Informationssysteme elektronische Kommunikationsnetze (z.B. Internet, Mobilfunknetze) oder digitale Verarbeitungsvorrichtungen, die über verschiedene Orte verteilt sind und digitale Informationen sammeln, verarbeiten, speichern und weitergeben (z.B. Cloud-Computing-Plattformen). Ebenso umfasst die Definition die Daten selbst, die in diesen Netzen verarbeitet werden. Gesellschaftlich ist das Funktionieren dieser Systeme, insbesondere bei Betreibern wesentlicher Dienste, zu denen auch der Schienenverkehr zählt, von zentraler Bedeutung. Mit dem NIS-Gesetz soll daher sichergestellt werden, dass neben der präventiven Vorbeugung, trotzdem eingetretene Sicherheitsvorfälle schnell behandelt werden können, um rasch wieder einen reibungslosen Betrieb herzustellen.
Von NIS 1 zu NIS 2: Evolution der Netzwerksicherheit in der Bahnbranche
Die Einführung der NIS-Richtlinie legt für die Bahnbranche als „Betreiber wesentlicher Dienste“ im Verkehrssektor spezifische Anforderungen fest, um die Sicherheit ihrer Netzwerke und Informationssysteme zu gewährleisten. Diese Anforderungen umfassen Risikoanalysen sowie technische und organisatorische Sicherheitsvorkehrungen unter Berücksichtigung des Stands der Technik und des evaluierten Risikos. Außerdem müssen Sicherheitsvorfälle unverzüglich an das zuständige Computer-Notfallteam gemeldet werden. Das kann, abhängig vom Digitalisierungsgrad und der Größe des Unternehmens einen hohen Aufwand und eine tiefgreifende Transformation für Eisenbahnverkehrsunternehmen (EVUs) bedeuten.
Mit der Einführung von NIS 2 wird der Kreis der durch das Gesetz betroffenen erheblich ausgeweitet. Die Einteilung in „Betreiber wesentlicher Dienste“ und „Anbieter digitaler Dienste“ wird zugunsten einer Einteilung in „Wesentliche Einrichtungen“ und „Wichtige Einrichtungen“ aufgegeben. Wurden unter NIS 1 dem Verkehrssektor angehörige Unternehmen noch durch das Bundeskanzleramt als „Betreiber wesentlicher Dienste“ identifiziert und per Bescheid verständigt, fallen nun alle großen und mittleren Unternehmen des Verkehrssektors in den Anwendungsbereich von NIS 2.
Auch die Anforderungen an das Risikomanagement werden erhöht und umfassen neben einer Risikoanalyse, Präventivmaßnahmen zur Cybersicherheit und Konzepten zur Bewältigung von Vorfällen auch Maßnahmen zur Sicherheit der Lieferkette. Auf diesem Wege können auch Unternehmen betroffen sein, die nicht ursprünglich unter den Geltungsbereich des NIS-Gesetzes fallen. Dazu kommen strenge Meldepflichten bei signifikanten Sicherheitsvorfällen, bei denen innerhalb von 24 Stunden eine Frühwarnung und innerhalb von 3 Tagen eine Einschätzung an die zuständige Behörde erfolgen muss.
Ziel der Einführung von NIS 2 ist die Anpassung der Regelungen an aktuelle Risiken im Bereich der Cybersicherheit. Sie soll die Resilienz und Reaktion auf Sicherheitsvorfälle EU-weit verbessern und so das kontinuierliche Funktionieren von gesellschaftlich wichtigen Bereichen, wie dem Bahnsektor gewährleisten.
Muss ich mich als EVU mit NIS auseinandersetzen?
Während man als EVU unter NIS 1 noch per Bescheid darüber informiert wurde, ob das Unternehmen von der Regelung betroffen ist, so fällt unter NIS 2 jedes mittlere und große Unternehmen des Sektors Verkehr, wobei große Unternehmen als „wesentliche“ und mittlere Unternehmen als „wichtige Einrichtungen“ klassifiziert werden. Unabhängig von der Klassifizierung, gelten die geforderten Sicherheitsmaßnahmen gleichermaßen, Unterschiede gibt es jedoch bei der Aufsicht und den Sanktionen. Während wesentliche Einrichtungen regelmäßig und gezielt extern überprüft werden, ist es bei wichtigen Einrichtungen an den Unternehmen selbst, die Einhaltung ihrer Maßnahmen zu überwachen. Eine Überprüfung findet hier nur bei begründetem Verdacht auf einen Sicherheitsvorfall statt. Bei Nichterfüllung der Sicherheitsanforderungen drohen empfindliche Geldstrafen bis zu 10 Mio. Euro (wesentliche Einrichtungen) bzw. 7 Mio. Euro (wichtige Einrichtungen). Außerdem haften Leitungsorgane, wenn essenzielle Risikoabwägungen vernachlässigt wurden.
Von den Sanktionen abgesehen ist die Auseinandersetzung mit den Vorschriften aus der NIS-Richtlinie im eigenen Interesse von Eisenbahnunternehmen, denn sie leisten einen wichtigen Beitrag zur Sicherheit und Stabilität des Schienenverkehrs. Wer die Regelungen ernst nimmt, der schützt sich nicht nur vor finanziellen und Reputationsverlusten, sondern stärkt auch das Vertrauen der Kunden in das Unternehmen.
Für einen Überblick über die Anforderungen aus der NIS-Richtlinie stellen wir Ihnen hier eine Checkliste zum Download zur Verfügung.
Anforderungen an einen Digitalisierungspartner für Bahnunternehmen im NIS-Kontext
Die Sicherheit der Lieferkette ist eines der Schlüsselelemente innerhalb der NIS-Richtlinie. Betroffene Unternehmen werden darin verpflichtet, ihre Dienstleister, Lieferanten und andere Partner in ihre Risikomanagementmaßnahmen einzubeziehen. In globalen, komplexen Lieferketten stellt das eine große Herausforderung dar. Außerdem bietet die enge Vernetzung zwischen Lieferanten und Kunden viel Angriffsfläche für Cyberkriminelle, um eventuelle Sicherheitslücken auszunützen. Bahnunternehmen müssen daher neben der Gesamtqualität der Dienstleistungen und Produkte auch die spezifischen Schwachstellen ihrer Partner im eigenen Risikomanagement berücksichtigen.
Der sorgfältigen Auswahl der Digitalisierungspartner kommt somit besondere Bedeutung zu. Dabei können Zertifizierungen nach nationalen und internationalen Informationssicherheitsstandards und Best Practises (z.B. ISO/IEC 27001-Zertifizierung) hilfreich sein, um einen glaubwürdigen Nachweis über die die Sicherheit der Lieferkette zu erbringen.
ONTEC erfüllt diese Schlüsselfaktoren in Sachen Cybersicherheit in hohem Maße und bringt neben jahrelanger Erfahrung mit der erfolgreichen Umsetzung auch noch tiefgehendes Know-how im Bahnsektor mit:
- Informationssicherheit für businesskritische Infrastruktur: ONTEC hat sich von Anfang an auf Lösungen für businesskritische Infrastrukturen und Applikationen, insbesondere in der Bahnbranche spezialisiert. Robusten Sicherheitsmaßnahmen kommt daher in allen Systemen eine besondere Bedeutung zu. Diese erstrecken sich von fundierten Sicherheitsarchitekturen über kluge Autorisierungs- und Authentifizierungsmethoden bis hin zu effektiven Prozessen zur Früherkennung und Behebung von Sicherheitsvorfällen.
- Vertrauenswürdige Fachkräfte mit Branchen-Know-how: Die NIS-Richtlinie führt das Personalwesen als einen der im Risikomanagement zu berücksichtigenden Punkte an. Mit über zwanzig Jahren Branchenerfahrung kennen die Mitarbeiter*innen der ONTEC die spezifischen Anforderungen und Bedürfnisse des Bahnsektors. Um den hohen Sicherheitsstandards gerecht zu werden, müssen sie außerdem regelmäßig Sicherheitsschulungen und -überprüfungen absolvieren.
- Effizientes Incident Management: Neben guten Vorab-Maßnahmen, die das Auftreten von Sicherheitsvorfällen grundsätzlich verhindern sollen, ist ein effizientes Incident Management unerlässlich, um Betriebskontinuität zu gewährleisten. ONTEC hat hier umfangreiche Mechanismen im Einsatz, um Sicherheitsvorfälle frühzeitig zu erkennen, zu analysieren, zu bewerten und angemessen darauf zu reagieren. So werden die Auswirkungen minimiert und der Geschäftsbetrieb aufrechterhalten.
- Maßgeschneiderte Services und SLAs mit klaren Security Kennzahlen: Um den spezifischen Anforderungen der verschiedenen Bahnunternehmen zu entsprechen entwickelt ONTEC für jeden Kunden maßgeschneiderte Services und Service Level Agreements (SLAs). Diese umfassen auch klar messbare Kriterien für Informationssicherheit und Incident Management im Allgemeinen und andere NIS-relevante Dienstleistungen im Besonderen.
- Zertifizierungen und Einsatz von Best Practises: Durch die Arbeit nach Best Practices, wie Secure Coding und Secure Operations oder ITIL ist IT-Sicherheit bei ONTEC ein integraler Bestandteil aller Prozesse. Durch regelmäßige Rezertifizierungen und damit verbundene Auditierungen, zum Beispiel im Rahmen der ISO 27001, erbringt ONTEC den Nachweis über die Einhaltung der innerhalb der Sicherheitsnormen vorgeschriebenen Maßnahmen.
Mit ONTEC kein Schiss vor NIS!
Die Einführung von NIS 2 stellt, nicht nur in der Bahnbranche, einen entscheidenden Schritt in Richtung EU-weiter Informationssicherheit dar. Aber es bedeutet auch einen großen Aufwand für die betroffenen Unternehmen. EVUs müssen die erforderlichen Sicherheitsmaßnahmen je nach Gefährdungspotential, Eintrittswahrscheinlichkeit des Risikos und Schwere der Auswirkungen sorgfältig planen. Mit ONTEC haben Sie einen kompetenten zertifizierten Digitalisierungspartner, dem marktführende Bahnunternehmen seit Jahrzehnten ihr Vertrauen schenken.
Insights von Matthias Hausegger, Vorstand der ONTEC AG zur Umsetzung von NIS 2 und wie die ONTEC AG dabei unterstützen kann im Rahmen des Informationsevents „Kein Schiss vor NIS“.