Administracja Bezpieczeństwa Transportu (TSA) wydała zawiadomienie o proponowanym rozporządzeniu, którego celem jest ustanowienie obowiązkowych obowiązków w zakresie zarządzania ryzykiem cybernetycznym i sprawozdawczości dla określonych właścicieli i operatorów systemów transportu naziemnego.
TSA Administrator David Pekoske stwierdził: „TSA ściśle współpracowała z interesariuszami branżowymi, aby zwiększyć odporność cyberbezpieczeństwa podstawowej infrastruktury transportowej kraju. Proponowane przepisy mają na celu rozszerzenie tej wspólnej inicjatywy i dalsze wzmocnienie ram cyberbezpieczeństwa dla podmiotów transportu powierzchniowego. Oczekujemy cennych opinii zarówno od uczestników branży, jak i opinii publicznej dotyczących tego proponowanego rozporządzenia”.
Ta zasada odzwierciedla stałe zaangażowanie TSA w wymagania oparte na wydajności. Opiera się na zorientowanych na wydajność nakazach cyberbezpieczeństwa, które TSA wydała w corocznych Dyrektywach Bezpieczeństwa od 2021 r., wykorzystując ramy cyberbezpieczeństwa ustanowione przez Narodowy Instytut Standardów i Technologii oraz międzysektorowe cele wydajności cyberbezpieczeństwa stworzone przez Agencję Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA).
Zgodnie z tymi standardami i wymogami niniejsza zasada proponuje:
- Konkretni właściciele/operatorzy rurociągów, kolei towarowych, kolei pasażerskich i kolei tranzytowych, których profil ryzyka cyberbezpieczeństwa został uznany za podwyższony, muszą opracować i wdrożyć kompleksowy program zarządzania ryzykiem cybernetycznym.
- Właściciele/operatorzy tych pojazdów, a także podmioty obsługujące transport publiczny wyłącznie autobusowy oraz usługi autobusowe o podwyższonym ryzyku, które mają obowiązek zgłaszania poważnych naruszeń bezpieczeństwa fizycznego do Transportation Security Administration (TSA), będą również zobowiązani do zgłaszania incydentów związanych z bezpieczeństwem cybernetycznym do Cybersecurity and Infrastructure Security Agency (CISA).
- Ponadto obowiązujące obecnie wymagania TSA dotyczące transportu kolejowego i autobusowego o podwyższonym ryzyku zostaną rozszerzone i obejmą również właścicieli/operatorów rurociągów o podwyższonym ryzyku. Spowoduje to konieczność wyznaczenia koordynatora ds. bezpieczeństwa fizycznego i zgłaszania do TSA wszelkich istotnych kwestii związanych z bezpieczeństwem fizycznym.
TSA podkreśla, że utrzymanie solidnych ram cyberbezpieczeństwa jest niezbędne do zapewnienia, że sektor transportu powierzchniowego jest odpowiednio przygotowany do radzenia sobie z cyberzagrożeniami i zarządzania nimi. Postanowienia określone w tym proponowanym rozporządzeniu mają na celu zwiększenie odporności cyberbezpieczeństwa w całym sektorze systemów transportu powierzchniowego.