Sverige sv
Hotline
Kontakt
Sverige | svenska

Security-standardserien IEC 62443

Normativa och rättsliga krav på industrial security

En laptop med ett paragraftecken står på ett bord.

Den internationella standardserien IEC 62443 ”Industriella kommunikationsnätverk – IT-säkerhet för nätverk och system” visar hur man kan skapa IT-säkerhet inom automation. Ämnena sträcker sig från riskanalys och krav för säker drift till säker produktutveckling (Security by Design). Det innebär att IEC 62443 för närvarande är den bästa översikten för anläggningsoperatörer, maskintillverkare och enhetstillverkare om hur man implementerar industrial security på ett effektivt sätt.

IEC 62443 tar upp fem områden: grundläggande krav för industrial security, principen om zoner och kommunikationskanaler (zones and conduits), Security Level, security-livscykeln samt riskanalys.

Överblick över de viktigaste standardavsnitten i IEC 62443:

För komponenttillverkare

För systemintegratörer

För operatörer
IEC 62443-4-1 – utvecklingsprocessen IEC 62443-2-4 – riktlinjer och tillvägagångssätt IEC 62443-2-4 – riktlinjer och tillvägagångssätt
IEC 62443-4-2 – security-funktioner för komponenterna IEC 62443-3-2 – security-funktioner för automations- och styrsystem IEC 62443-2-1 – drift och service
  IEC 62443-3-3 – security-funktioner för hela automations- och styrsystemet  

Det viktiga här är tillvägagångssättet för Security Risk Assessment, som kan användas som underlag för att definiera skräddarsydda security-åtgärder. Även samspelet mellan organisatoriska och tekniska åtgärder betonas. Tekniska lösningar i sig leder i värsta fall till falsk säkerhet eftersom tekniska åtgärder lätt kan åsidosättas av människor. Ett lösenord skyddar exempelvis bara om det ändras, inte delas eller inte skrivs ut synligt på enheten.

Industriella automationssystem behöver en defense-in-depth-strategi för att uppfylla kraven på OT-security. Med sina expertkunskaper stöder Pilz maskintillverkare och maskinoperatörer vid implementeringen av de organisatoriska och tekniska kraven som är specifika för IEC 62443.

Med ett industrial security-koncept och genom efterlevnad av standarder och rättsliga krav ökar cybersäkerheten signifikant hos ett företag även på maskinnivå. 

Andra standarder som är relevanta för security

ISO/IEC TS 63074:2023

”Safety of machinery – Security aspects related to functional safety of safetyrelated control systems”

Den här standarden handlar främst om knutpunkten mellan säkerhet i bemärkelsen safety och security. Den behandlar med andra ord det som utgör kärnan i kraven i maskinförordningen. Vid identifiering av säkerhetshot och svaga punkter använder den sig av IEC 62443-serien. Den tar hänsyn till svaga punkter i safety-styrningen som kan utnyttjas vid security-hot (t.ex. obehörig åtkomst, sabotageprogram eller cyberattacker). Syftet är att skydda safety-funktionerna så att de faktiskt också har den skyddande verkan som är avsedd. Särskilt för safety rekommenderas en defense-in-depth-princip.

Dokumentet definierar användningsområden och tillämpar motsvarande hotmodeller på dessa. Detta bidrar till förståelse för hur security-hot kan påverka safety. Andra effekter av en cyberattack tas inte upp uttryckligen.

En tillverkningshall med förarlösa transportsystem

SS-EN ISO/IEC 27001 – ledningssystem för informationssäkerhet (ISMS)

NIS 2 handlar om hantering av informationssäkerhetssystem. Här riktas särskild uppmärksamhet mot ISO/IEC 27001 eftersom den är erkänd i hela världen som de facto-standarden för informationssäkerhet och kan certifieras. Den föreskriver kraven på ett system för hantering av informationssäkerhet.

Man talar om informationssäkerhet snarare än IT-säkerhet eftersom all information måste skyddas, oavsett om den är digital eller analog (handskriven, muntlig, i bildform), om den är nedskriven på en lapp eller sparas i molnet. Eftersom mycket information bearbetas med stöd av IT nu för tiden spelar IT-security en motsvarande stor roll.

I grunden handlar det om att minimera informationssäkerhetsrisker inom alla områden i en organisation. Därmed påverkas även produktionsmedel som maskiner och OT-nätverk.

När en organisation behöver ett ISMS enligt ISO/IEC 27001 på grund av yttre krav (t.ex. rättsliga krav eller överenskommelser med kunder genom avtal) eller vill implementera det på eget initiativ (t.ex. för att skydda sig själv eller kunna visa upp utåt att man använder en kvalitetsstandard) går frågan om industriell cybersäkerhet inte att kringgå.

Därmed sluts kretsen och man är tillbaka vid standarden IEC 62443, som för närvarande är det bästa ramverket för hur man ser på informationssäkerhet inom industrial security.

Lagar och förordningar om security

Det snabbt ökande hotet i form av cyberattacker med potential för enorma ekonomiska skador leder globalt till en introduktion av rättsliga ramförhållanden för att uppfylla minimistandarder för företag, industriella anläggningar, maskiner och maskinkomponenter. Cybersäkerhet är ett nytt krav, och särskilt när det gäller kritisk infrastruktur är den ett måste.

För att minska riskerna har den europeiska lagstiftaren tagit fram nya regelverk.

Maskinförordningen

Maskinförordningen 2023/1230 antogs i juni 2023 och blir bindande för alla EU-länder efter en övergångsfrist på 42 månader. Maskinförordningen gäller för tillverkare av maskiner eller maskinkomponenter, alltså producenter (OEM = Original Equipment Manufacturer) och systemintegratörer. I framtiden måste maskintillverkare bekräfta att maskinerna uppfyller kraven i maskinförordningen, vilket även inbegriper security-aspekter. Dit hör skydd mot manipulation och åtgärder för att kunna stå emot när en tredje part gör illvilliga försök att skapa risksituationer. Efterlevnad av maskinförordningen bekräftas formellt i försäkran om överensstämmelse. Maskinen får ett CE-märke som ett synligt bevis. Maskiner som inte uppfyller kraven i den nya maskinförordningen får inte längre säljas i EU.

Sedan flera år stöder Pilz maskintillverkarna under processen för överensstämmelse inom nästan alla områden, t.ex. säkerhetskoncept, riskanalys och riskbedömning, ända fram till försäkran om överensstämmelse. I framtiden kommer vi även göra detta för security-aspekterna.

Omslag för whitepaper

Whitepaper om security

Pilz vägledning för maskintillverkare och maskinoperatörer om hur man hanterar den gällande EU-lagstiftningen ger en överblick över kraven och processen för att efterleva skyldigheterna.

Ladda ner nu!
Fyra kugghjul går in i varandra

Kunskap om maskinförordningen

Läs mer här om maskinförordningen och dra nytta av de kostnadsfria resurserna som t.ex. whitepaper och webbinarier.

Läs mer nu!

Det andra EU-direktivet för nätverks- och informationssäkerhet (NIS 2) 2022/2555

Det nya EU-direktivet för nätverk och informationssystem (NIS 2) reglerar en enhetlig skyddsnivå med avseende på cyberattacker för ”väsentliga och viktiga” anordningar inom EU. Till skillnad från maskinförordningen beskriver den krav på cybersäkerhet för företag, inte för maskiner. Direktivet innehåller olika krav för olika områden, beroende på hur betydelsefullt ett företag är för nationalekonomin (allvarlighetsgrad). Några exempel på hög allvarlighetsgrad är företag inom energiförsörjning och järnvägstrafik. NIS 2 berör dessutom bl.a. tillverkare av maskiner och anläggningar med mer än 50 anställda eller med en årlig omsättning på över 10 miljoner euro, även från mindre kritiska sektorer.

Företagen måste vidta tekniska, kommersiella och organisatoriska åtgärder för att hantera säkerhetsrisker i nätverks- och informationssystem. Hit hör bland annat att utbilda chefer och anställda. Då behöver man inte bara ta hänsyn till klassisk kontors-IT utan också till OT-området och därmed industrial security.

Cyber Resilience Act (2024/2847)

Cyber Resilience Act (CRA) har som mål att förbättra security-egenskaperna hos produkter som har digitala komponenter. Därför gäller den för tillverkare och distributörer av produkter. Dit hör också maskintillverkare. CRA inför bindande security-krav i hela produktlivscykeln. Den kräver tillbörlig aktsamhet under hela livscykeln, och tillverkaren är också skyldig att tillhandahålla programvaruuppdateringar för patchhantering hos användaren under en tidsperiod på minst 5 år om en svag punkt i fråga om security för produkten upptäcks. CE-märkning av produkter förutsätter att detta efterlevs när CRA träder i kraft. Därmed utökar CRA NIS2-direktivet och maskinförordningen angående security-egenskaper hos produkterna.

Ditt heltäckande industrial security-sortiment från Pilz – steg för steg till den säkra maskinen:

Top
Kontakta

Pilz Skandinavien K/S, dansk Filial
Smörhålevägen 3
434 42 Kungsbacka
Sweden

Telefon: +46 300 13990
E-post: pilz.se@pilz.dk

Teknisk support

Telefon: +46 300 13990 / +45 74436332
E-post: support.se@pilz.dk

  1. Pilz
    2. /
  2. Support
    3. /
  3. Lagstiftning och standarder
    4. /
  4. Security-standardserien
Öppna kontaktformulär
Telefon:+46 300 13990 / +45 74436332
E-post: support.se@pilz.dk
Cookie settings

Hur kan vi hjälpa dig?

Jag förstår att de personuppgifter som samlas in utan mitt samtycke endast används för att uppfylla avtal och behandla mina förfrågningar. Mer information om dataskydd och kontaktuppgifter för vårt dataskyddsombud hittar du här: Pilz dataskydd
Samtycket kan när som helst tas tillbaka (det räcker med ett e-postmeddelande).
* Obligatoriskt fält