Die Regel betont leistungsbasierte Standards, die mit dem Cybersicherheitsrahmenwerk des National Institute of Standards and Technology (NIST) übereinstimmen und den von der Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) entwickelten branchenspezifischen Zielen folgen. Sie baut auf Cybersicherheitsmaßnahmen auf, die die TSA seit 2021 durch jährliche Sicherheitsrichtlinien eingeführt hat.
Ein wesentlicher Bestandteil der Regel verlangt von Transportunternehmen, ein umfassendes Cyber-Risikomanagement-Programm (CRM) einzuführen, das jährliche Cybersicherheitsbewertungen auf Unternehmensebene sowie detaillierte Strategien zur Reaktion auf und zur Wiederherstellung von Vorfällen beinhaltet. Betreiber werden aufgefordert, ihre Systeme zu überwachen, Backups zu erstellen und robuste Protokolle wie Patch-Management und Netzwerksegmentierung zu implementieren, um Schwachstellen zu reduzieren. Darüber hinaus schlägt die TSA vor, jährliche Bewertungen und Audits dieser Cybersicherheitspläne durchzuführen, um ihre Wirksamkeit sicherzustellen, und fordert eine unabhängige Evaluierung, um Interessenkonflikte zu vermeiden.
In einer Erklärung betonte TSA-Administrator David Pekoske die Zusammenarbeit zwischen der TSA und ihren Branchenpartnern zur Erhöhung der Cyberresilienz und lud die Öffentlichkeit sowie Industrievertreter dazu ein, Rückmeldungen zu den vorgeschlagenen Regelungen zu geben. Interessierte Parteien haben bis zum 5. Februar 2025 Zeit, Kommentare zu den potenziellen Auswirkungen, einschließlich wirtschaftlicher und betrieblicher Effekte, einzureichen.
Der Vorschlag enthält außerdem Bestimmungen für einen neuen von der TSA genehmigten Cybersicherheitsbewertungsplan (CAP), der jährliche Bewertungen und Audits erfordert. Ferner gibt es einen Vorschlag für verpflichtende Sicherheitsüberprüfungen für Cybersicherheitskoordinatoren und Führungskräfte, die mit der Verwaltung dieser CRM-Programme betraut sind.
Angesichts der wachsenden Bedrohungen im Bereich der Cybersicherheit stellt die Initiative der TSA einen bedeutenden Schritt dar, um die Transportsysteme des Landes besser abzusichern und ein robusteres Cybersicherheitsnetzwerk zum Schutz kritischer Infrastrukturen aufzubauen.
Source: Industrial Cyber
Die European Cyber Intelligence Foundation ist ein gemeinnütziger Think Tank, der sich auf Geheimdienste und Cybersicherheit spezialisiert hat und Beratungsdienste für Regierungsbehörden anbietet. Um potenzielle Bedrohungen zu mindern, ist es wichtig, zusätzliche Cybersicherheitsmaßnahmen mit Hilfe eines vertrauenswürdigen Partners wie INFRA www.infrascan.net umzusetzen, oder Sie können es selbst versuchen mit check.website.