En otoño se publicará el borrador para la aprobación del estándar internacional de ciberseguridad para aplicaciones ferroviarias IEC 63452. Con la participación en el proyecto de expertos de cuatro continentes, el estándar abordará la gestión de la ciberseguridad de los sistemas ferroviarios con un enfoque integral.
El primer paso en la estandarización de la ciberseguridad en aplicaciones ferroviarias fue la publicación de la especificación técnica europea CLC/TS 50701:2021 en julio de 2021. Basada en la serie de estándares de seguridad para sistemas de automatización y control industrial ISA/IEC 62443, esta especificación proporciona a los diversos actores del sector ferroviario requisitos y orientación para la gestión de la ciberseguridad. Su objetivo principal es proteger las características de fiabilidad, disponibilidad, mantenimiento y seguridad funcional de los sistemas ferroviarios para que no se vean comprometidas en caso de ciberataques o por el uso inadecuado durante actividades de configuración o mantenimiento.
En febrero de 2022, IEC aprobó la propuesta para la creación de un estándar internacional que, partiendo de la especificación técnica europea, mejorará y ampliará su contenido. El equipo del proyecto que está trabajando en la elaboración del documento cuenta actualmente con expertos de 21 comités nacionales de Europa, América, África y Asia, así como enlaces con asociaciones del sector como UITP (Union Internationale des Transports Publics) y UNIFE (European Rail Supply Industry Association); y agencias como ERA (European Union Agency for Railways) y ENISA (European Network and Information Security Agency).
Los puntos principales que abordará el futuro estándar IEC 63452 incluyen:
- Orientación sobre la creación de modelos de referencia que pueden utilizarse como documentación de entrada para el análisis de riesgos del sistema en consideración, incluyendo los sistemas en la nube que no se trataban en la especificación técnica.
- Requisitos del sistema de gestión de ciberseguridad OT (tecnología operacional), cubriendo operación y mantenimiento.
- Relación entre las actividades de ciberseguridad y el ciclo de vida de las aplicaciones ferroviarias relacionadas con la seguridad funcional, proponiendo puntos de sincronización entre ambos.
- Procedimiento para el análisis de riesgos de ciberseguridad en soluciones ferroviarias, considerando la posibilidad de utilizar sistemas de referencia o códigos de buenas prácticas.
- Pautas de diseño y requisitos técnicos de ciberseguridad adaptados al contexto ferroviario.
- Requisitos para la verificación, validación y pruebas a lo largo del diseño e integración de soluciones ferroviarias, y su aceptación por parte del operador.
Todos los actores del sector (propietarios de los activos responsables de la operación, proveedores de servicios de integración y mantenimiento, así como suministradores de productos) están representados en el equipo del proyecto. Se espera así lograr una distribución equilibrada y consensuada de requisitos y actividades entre los diferentes roles.
El marco jurídico europeo en materia de ciberseguridad, especialmente la directiva NIS2, está influyendo positivamente en el futuro estándar
El marco jurídico europeo en materia de ciberseguridad, especialmente la directiva NIS2, está influyendo positivamente en el futuro estándar, impulsando la inclusión de requisitos adicionales en la gestión de la ciberseguridad en la cadena de suministro, la gestión de incidentes y la gestión de vulnerabilidades.
La ley de ciberresiliencia también ha generado interés y debate dentro del equipo del proyecto, aunque con menor influencia en el documento ya que, al igual que en la especificación técnica europea, este estándar sólo aborda la relación con los suministradores de productos desde el punto de vista de la gestión de la cadena de suministro, y permite el uso de otros estándares o marcos de referencia para los procesos de desarrollo de productos y la implementación de requisitos técnicos.
En cuanto al progreso del proyecto, está previsto que en otoño se publique el segundo borrador del documento para su aprobación y comentarios. Si es aceptado, el borrador final se distribuirá en febrero de 2025 y el estándar se publicará en julio de 2025.
