OT-säkerhet, lagar och standard

Fyra nya EU-gemensamma regelverk är aktuella inom cybersäkerhet. De har bäring på lite olika typer av produkter och verksamheter och tidplanerna för när de ska införas i Sverige skiljer sig åt. Två av dem är direktiv, där innehållet ska införlivas i svenska lagar och förordningar. De två andra är EU-förordningar, som gäller direkt i hela unionen. Alla har det gemensamt, att de uppmuntrar användningen av standard som en metod att nå de mål och nivåer som beskrivs i regelverken. 

Två av regelverken behandlar särskilt cybersäkerhet hos produkter, system och verksamheter.  

• NIS2 – Det är direktivet 2022/2555 om åtgärder för en hög gemensam cybersäkerhetsnivå (NIS2) och system.  

• CRA (– Förordningen 2024/2847 om övergripande cybersäkerhetskrav för produkter med digitala element (CRA, Cyber Resilience Act). Det första införs i Sverige i den nya cybersäkerhetslagen den 15 januari 2026. Nu den 15 december kommer en utredning att visa vilka följder CRA får i Sverige.  

Kritiska verksamheter 

Två av regelverken har ett bredare syfte, där cybersäkerhet ingår som en del.  

• CER – Det ena är direktivet 2022/2557 om kritiska entiteters motståndskraft (CER), som ska införas genom den kommande lagen om motståndskraft hos kritiska verksamhetsutövare.  

Syftet är att säkerställa tjänster som är nödvändiga för att upprätthålla viktiga samhällsfunktioner eller central ekonomisk verksamhet, oavsett om störningen eller avbrottet har föranletts av till exempel naturolyckor, terroristattacker, pandemier eller andra allvarliga händelser.  

• Den andra är maskinförordningen 2023/1230 som träder i kraft den 20 januari 2027. Den ersätter då det nuvarande maskindirektivet och de svenska föreskrifterna AFS 2023:4.  

För cybersäkerhet är det främst standarderna SS-EN ISO/IEC 27001 för ledningssystem och SS-EN ISO/IEC 27002 för kontroller av informationssäkerhet som är kända, och det finns fler i samma serie. Nu när fler sektorer berörs, blir även de mer tekniskt inriktade standarderna från IEC aktuella i sammanhanget.  

Beprövade standarder 

Medan direktiven och förordningarna fastställer juridiskt bindande krav, ger standarder och tekniska rapporter serien IEC 62443 en praktisk och internationellt erkänd ram för implementering av cybersäkerhet i system för industriell processtyrning och teknisk infrastruktur (SCADA-system). Den riktar sig till alla som är verksamma i anläggningens livscykel – från komponenttillverkare till systemintegratörer och operatörer – och skapar ett gemensamt språk för säkerhetskrav. De delar av IEC 62443 som är standarder har också antagits som europeisk och svensk standard i serien SS-EN IEC 62443. 

SS-EN IEC 62443 ger praktiska specifikationer som kan överföras till befintliga arkitekturer och värdekedjor. Samtidigt bygger det en bro till reglering, eftersom det gör det möjligt för tillverkare och företag att metodiskt implementera lagstiftarens krav. 

Modultänk underlättar 

Standardserien är uppbyggd i moduler och täcker både organisatoriska och tekniska aspekter. Med hjälp av säkerhetsnivåer bygger den upp olika skyddsklasser, från grundläggande skydd mot oavsiktlig felanvändning, till åtgärder mot högprofilerade och riktade attacker. Detta gör det möjligt för företag att utforma sin säkerhetsarkitektur, baserat på individuella hotscenarier och riskprofiler.