03.10.2023 – Cybersicherheit wird immer wichtiger – auch bei den Eisenbahnen. Als Hilfestellung für die Unternehmen hat das Bundesamt für Verkehr eine Richtlinie erarbeitet.
SBB.jpg)
© SBB
Korrekte und verfügbare Daten und Informationen sind eine wesentliche Voraussetzung dafür, dass die verschiedenen Geschäftsprozesse im Eisenbahnverkehr funktionieren. Die Bahnunternehmen und Infrastrukturbetreiber müssen deshalb Anlagen, Systeme und Fahrzeuge, die Informatik-Systeme enthalten, soweit verhältnismässig gegen missbräuchliche Eingriffe schützen. Um den heutigen Ansprüchen an die Informationssicherheit zu genügen, müssen sie in angemessener Weise mit Cyberrisiken umgehen können. Dazu gehört, dass sie ein Managementsystem für Informations- bzw. Cybersicherheit (ISMS) betreiben.
Das BAV beschreibt in seiner neuen Richtlinie die minimalen Anforderungen, die für das ISMS einzuhalten sind. Dazu gehört zum Beispiel, dass die Unternehmen die Verantwortlichkeiten im Bereich der Cybersicherheit klar definieren und zuweisen. Zudem hält die Richtlinie fest, dass die Unternehmen regelmässige Audits zur Cybersicherheit durchführen müssen und dass dabei auch Lieferanten und Dienstleister zu berücksichtigen sind. In der Richtlinie sind Massnahmen aufgeführt, welche zur Sicherstellung eines angemessenen Informationssicherheitsniveaus für den Eisenbahnsektor risikobasiert anzuwenden sind.
Das BAV will die Richtlinie zusammen mit weiteren neuen Bestimmungen aus der Revision der Eisenbahnverordnung (EBV) und der entsprechenden Ausführungsbestimmungen (AB-EBV) auf den 1. Juli 2024 in Kraft setzen. Das BAV hat sie schon jetzt publiziert, damit sich die Bahnen für die Erarbeitung oder Weiterentwicklung ihres ISMS bereits darauf abstützen können. Die Richtlinie des BAV steht im Einklang mit der nationalen Cyberstrategie NCS.
Fragen zur Cybersicherheit können an cybersecurity@bav.admin.ch gerichtet werden.
