Przez większą część swojej historii kolej była sektorem zamkniętym, który dość wolno otwierał się na nowe technologie. Jeżeli chodzi o jej dotychczasowe funkcjonowanie kluczowym aspektem, na który kładziono nacisk, zarówno na poziomie legislacji jak i wykonawczym, były wymagania bezpieczeństwa rozumiane jako ‘safety’. Przepisy unijne definiują to jako brak niedopuszczalnego ryzyka szkody. Bezpieczna kolej jest domeną UE już od wielu lat, co wynika z szeregu aktów prawnych, takich jak dyrektywy w aspekcie bezpieczeństwa, interoperacyjności oraz rozporządzenia w sprawie CSM RA.
Nowoczesna kolej staje się systemem otwartym, interoperacyjnym. W ramach UE zostało podjętych szereg inicjatyw legislacyjnych, których celem jest utworzenie jednolitego europejskiego obszaru kolejowego, w którym transport kolejowy będzie mógł funkcjonować bez przeszkód, a ich likwidacja polega także na cyfryzacji kolei. Ten proces powinien ułatwić funkcjonowanie wielu podmiotom, zwłaszcza zarządcom infrastruktury, przewoźnikom, producentom srk (systemy sterowania ruchem kolejowym).
Cyfrowa kolej
Infrastruktura kolejowa bazuje przede wszystkim na sieci komputerowej, zarówno przewodowej, jak i bezprzewodowej. Oznacza to, że może być ona realnie narażona na ataki cyberprzestępców, a wachlarz podmiotów narażonych na potencjalny atak jest szeroki.
Każdy z podmiotów działających w sektorze kolejowym dysponuje pewnymi danymi, które można określić mianem danych wrażliwych. Przykładowo przewoźnicy towarowi mogą przewozić materiały niebezpieczne. Wszystkie informacje, takie jak na przykład rozkład jazdy pociągu z takim towarem są potencjalnym celem ataku.
Cyberbezpieczeństwo stanowi stosunkowo nowe zagadnienie na kolei. Jeszcze do niedawna prawo unijne było w tym zakresie dość ubogie. Skoro kolej stoi przed nieuchronnym procesem cyfryzacji, to powinny zostać podjęte stosowne kroki w celu jej zabezpieczenia przed cyberprzestępcami. Oczywiście, na etapie produkcji urządzeń sterowania ruchem kolejowym mają zastosowanie normy CENELEC, tj. EN50128 czy 50129. Jednak nie są to wymagania, które zabezpieczyłyby cały system kolei. W tym celu potrzebne jest współdziałanie wielu podmiotów, również samych państw UE. Dlatego też została opracowana dyrektywa 2022/2055 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii. Nakłada ona konkretne obowiązki, które powinny wziąć na siebie państwa Unii, ale także wskazuje podmioty, które będą zobowiązane do dostosowania się do jej wymagań.
Cały sektor transportu został określony w dyrektywie jako sektor kluczowy, czyli taki, którego funkcjonowanie jest istotne z punktu widzenia Unii. Przepisy dyrektywy będą miały zastosowanie do wszystkich zarządców infrastruktury kolejowej. Jeżeli chodzi o przewoźników kolejowych oraz operatorów OIU, to należy wziąć pod uwagę ich wielkość. Jeżeli dane przedsiębiorstwo przekroczy pułapy przewidziane dla średnich przedsiębiorstw, wówczas będzie związane przepisami dyrektywy.
Do podstawowych obowiązków tych podmiotów będzie należało wdrożenie polityki zarządzania ryzykiem w cyberbezpieczeństwie. Przepisy krajowe powinny konkretnie określić jakie środki techniczne, operacyjne i organizacyjne mają zostać podjęte. Przepisy dyrektywy określają jedynie ich ramy. Środki zarządzania ryzykiem powinny być jednak proporcjonalne do tego (zidentyfikowanego) cyberzagrożenia. Jednocześnie środki powinny uwzględniać aktualny stan wiedzy, a także obowiązujące normy i koszt wdrożenia.
Obecnie kończą się prace legislacyjne nad nowym rozporządzeniem w sprawie sieci TEN-T. Wynikają z niego konkretne obowiązki dla zarządców, przewoźników oraz operatorów transportu intermodalnego. Rozporządzenie przewiduje ambitne terminy instalacji radiowego systemu ERTMS, a także rozwoju aplikacji ICT służących do wymiany informacji potrzebnych do zarządzania infrastrukturą kolejową, przepustowością i przewozami. Zobowiązuje również do zapewnienia cyberbezpieczeństwa oraz odporności infrastruktury.
Dyrektywa 2022/2555 powinna zostać wdrożona przez państwa UE do listopada 2024 roku. Do tego czasu każdy z podmiotów, który został nią objęty powinien dostosować swoje systemy zarządzania bezpieczeństwem do nowych wymagań.
Autor: Jakub Tomczak – prawokolei.pl