Op basis van Richtlijn (EU) 2016/1148 van het Europees Parlement werd de Europese cyberbeveiligingsstrategie eind 2018 omgezet in Oostenrijkse wetgeving (NIS-wet). Het doel was een hoog beveiligingsniveau voor netwerk- en informatiesystemen te waarborgen. De eis was om passende en proportionele technische en organisatorische beveiligingsmaatregelen te nemen en beveiligingsincidenten te melden. ASFINAG, als Oostenrijkse snelwegbeheerder, werd bij kennisgeving van 12 november 2019 aangewezen als exploitant van elementaire diensten. Een van deze essentiële diensten is tunnelbeheer. Uiterlijk 11 november 2022 moest een bewijs van NIS-conformiteit worden overlegd aan een zogenaamd gekwalificeerd orgaan. Een tunnelsysteem is tegenwoordig uitgerust met een groot aantal IT- en OT-systemen en -componenten. Deze zijn met elkaar verbonden en met bewakingscentra op afstand voor controle en monitoring. Dit creëert een veelheid aan potentiële beveiligingsrisico’s, die kunnen leiden tot een verstoring van de werking van veiligheidsapparatuur en een vermindering van de beschikbaarheid van de tunnel. Tot de invoering van de NIS-wet (NIS-G) [2] heeft ASFINAG zeer succesvol de strategie “nooit een werkend systeem aanraken” gevolgd. Dat wil zeggen: het was goed gepland, goed gebouwd en goed onderhouden. Softwarewijzigingen werden zoveel mogelijk vermeden. Om aan de NIS-G te voldoen, moest deze strategie volledig worden gewijzigd naar “het systeem up-to-date houden”, wat zeer frequente softwarewijzigingen betekent. ASFINAG beheert momenteel 167 tunnelsystemen, dus het NISFIT ©-programma is ontwikkeld om deze systemen “cyberveilig” te maken. Om een ​​voldoende niveau van informatiebeveiliging te bereiken, moeten de volgende belangrijke punten worden aangepakt: Een naadloos IT-assetmanagement om te weten waar welke systemen en componenten zijn geïnstalleerd en in gebruik zijn, en om potentiële risico’s te kunnen inschatten. Een ander belangrijk element is fysieke beveiliging op locatie en beheer van toegang op afstand. Alleen personen die daartoe bevoegd zijn, mogen beveiligde toegang krijgen. Ten derde is actieve monitoring van de systemen vereist, inclusief regelmatige virusscans en penetratietests. Om dit alles mogelijk te maken, en om te voldoen aan de verplichting om beveiligingsincidenten binnen de gestelde termijn te melden, is een Security Operation Centre (SOC) opgezet. Uiteindelijk is ASFINAG erin geslaagd om tijdig aan de controlerende instantie aan te tonen dat alle noodzakelijke maatregelen voor netwerk- en informatiesysteembeveiliging (NIS) waren getroffen.

Download PDF