Skærpet fokus på OT-sikkerhed: Standarder bliver afgørende i mødet med nye EU-krav
Med IEC 62443-serien som fælles ramme kan danske virksomheder styrke deres industrielle kontrolsystemer og sikre overholdelse af NIS2-direktivets skærpede krav.
Foto: Dansk Standard
Cybersikkerhed i automations- og styresystemer – også kendt som OT-cybersikkerhed – har i mange år været en teknisk disciplin for de få. Men med EU’s NIS2-direktiv, Cyber Resilience Act og de skærpede krav til cyber- og informationssikkerhed, bliver OT-cybersikkerhed nu et ledelsesanliggende. Det stiller nye krav til processer, ansatte og teknologi – og her har standarder en vigtig rolle.
En af de mest centrale standarder på området er IEC 62443-serien, der giver et fælles rammeværk for cybersikkerhed i industrielle automatiserings- og kontrolsystemer. Serien er under løbende udvikling og bliver i stigende grad brugt som reference i både offentlige udbud og lovgivning – ikke mindst i EU, hvor der arbejdes på at bringe den i overensstemmelse med Cyber Resilience Act.
Standarder relevante for kritisk infrastruktur
“Mange virksomheder er ikke klar over, at OT-cybersikkerhed er meget mere end firewalls og adgangskoder. Det handler om procesforståelse, ansvar og samarbejde mellem leverandører, automationsingeniører, IT-afdelingen og den øvrige drift,” siger Søren Storm, chefkonsulent i Dansk Standard.
”Her giver IEC 62443 en fælles forståelsesramme, som både ledelse, teknikere, konsulenter og leverandører kan arbejde ud fra”.
IEC 62443 adskiller sig fra ISO 27000-serien ved at være målrettet OT-miljøet, hvor tilgængelighed og driftssikkerhed vægtes højere end fortrolighed. Det gør standarderne særligt relevante for bl.a. produktionsvirksomheder, energisektoren og anden kritisk infrastruktur, som står overfor et meget mere omfangsrigt trusselsbillede.
En opfordring til at komme i gang
Det er altså oplagt for virksomheder og organisationer at bruge IEC 62443 som udgangspunkt for deres OT-arbejde – både i forbindelse med risikovurderinger, kravspecifikationer og leverandørstyring.
Standarderne er opdelt efter roller og livscyklus, og derfor vil flere aktører kunne finde mere målrettede dele af IEC 62443 til netop deres rolle for et samlet automationsprojekt. I 2024 blev udgivet opdaterede dele for serviceudbydere (del -2-4) og systemejere (del -2-1), samt to helt nye dele om evalueringsmetoder (del 6).
“Standarderne er ikke kun for de store spillere – de er netop designet til at kunne anvendes trinvis, i forhold til sikkerheds- og modenhedsniveauer,” uddyber Søren Storm.
“Hvis man skal starte med at forstå rammen, kan de grundlæggende forklaringer findes i IEC TS 62443-1-1, hvor IEC TR 62443-3-1 vil give en systemforklaring, og IEC 62443-3-2 er første step mod en risikovurdering.”
Vil du vide mere?
Standardserien IEC 62443 og mange andre standarder for industriel automation kan følges i standardiseringsudvalget S-565.
