De regel legt de nadruk op prestatiegerichte normen die zijn afgestemd op het cyberveiligheidskader van het National Institute of Standards and Technology (NIST) en volgt de door de Cybersecurity and Infrastructure Security Agency (CISA) opgestelde sectoroverschrijdende veiligheidsdoelen. Dit bouwt voort op de cyberveiligheidsmaatregelen die de TSA sinds 2021 heeft ingevoerd via jaarlijkse beveiligingsrichtlijnen.
Een belangrijk onderdeel van de regel vereist dat transportoperators een uitgebreid cyberrisicobeheerprogramma (CRM) implementeren, dat jaarlijkse cybersecurity-evaluaties op bedrijfsniveau omvat, evenals gedetailleerde strategieën voor incidentrespons en herstel. Operators worden aangemoedigd om systemen te monitoren, back-ups te onderhouden en robuuste protocollen zoals patchbeheer en netwerksegmentatie te implementeren om kwetsbaarheden te verkleinen. Daarnaast stelt de TSA voor dat deze cyberbeveiligingsplannen jaarlijks worden beoordeeld en gecontroleerd om de effectiviteit ervan te waarborgen, met een onafhankelijk evaluatieproces om mogelijke belangenconflicten te vermijden.
In een verklaring benadrukte TSA-administrator David Pekoske de samenwerking tussen de TSA en belanghebbenden uit de industrie om de cyberweerbaarheid te vergroten en nodigde hij de publieke sector en de industrie uit om feedback te geven op de voorgestelde regelgeving. Belanghebbenden hebben tot 5 februari 2025 om hun opmerkingen over de potentiële economische en operationele gevolgen in te dienen.
De voorgestelde regel bevat ook bepalingen voor een nieuw door de TSA goedgekeurd Cybersecurity Assessment Plan (CAP), dat jaarlijkse evaluaties en audits verplicht stelt. Bovendien is er een voorstel voor verplichte veiligheidsonderzoeken voor cybersecurity-coördinatoren en leidinggevenden die verantwoordelijk zijn voor het beheer van deze CRM-programma’s.
Gezien de toenemende cyberdreigingen is het TSA-initiatief een belangrijke stap om de transportsector van het land beter te beveiligen, en weerspiegelt het de inzet om een sterkere cyberbeveiligingsstructuur op te bouwen ter bescherming van kritieke infrastructuren.
Source: Industrial Cyber
De European Cyber Intelligence Foundation is een non-profit denktank gespecialiseerd in inlichtingen en cybersecurity en biedt adviesdiensten aan overheidsinstanties. Om potentiële bedreigingen te beperken, is het belangrijk om aanvullende cybersecuritymaatregelen te implementeren met behulp van een betrouwbare partner zoals INFRA www.infrascan.net, of je kunt zelf proberen met check.website.