För system i industri och teknisk infrastruktur är cybersäkerhet (inom industrin ofta kallad OT-säkerhet) en viktig fråga, liksom förmågan att upprätthålla säkerhetskritiska funktioner, ofta kallat funktionssäkerhet.
De reviderade EU-direktiven om cybersäkerhet (2022/2555/EU) och kritiska verksamheters motståndskraft (CER, 2023/2557/EU) ställer krav på planer och åtgärder inom fler sektorer och verksamheter än tidigare. Till exempel omfattas även reningsverk och fjärrvärmeanläggningar, liksom läkemedelstillverkare och viss annan industri. Läs mer om detta, till exempel i SEK Aktuellt nr 1 2023 som kan laddas ner här.
Att upprätthålla cybersäkerheten och de säkerhetskritiska funktionerna är två olika saker, men de påverkar varandra och sammanfaller delvis. Hackerattacker och annan påverkan på systemet ska inte äventyra säkerheten för personer, egendom och miljö (”safety”), det är en grundläggande målsättning. Samtidigt ska det man gör för att öka cybersäkerheten (”security”) inte inverka negativt på säkerheten för personer, egendom och miljö (”safety”) – och tvärtom. Dessutom får man se upp, så att inte skyddsåtgärder får negativa konsekvenser för säkerheten på högre nivåer.
På båda områdena finns internationella standarder som erbjuder beprövade principer och metoder som kan användas – både av beställare, leverantörer och av konsulter. För cybersäkerhet finns standardserien IEC 62443 och för säkerhetskritiska system finns IEC 61508. Baserat på den senare finns också standarder som är anpassade för särskilda områden, som IEC 61521 för processindustrin och IEC 62062 för maskiner, läs om den här. De internationella standarderna är också antagna som europeisk standard, EN, och fastställda som svensk standard, SS-EN.
Standarderna kommer från IEC, som är den internationella organisationen för standardisering inom el, elektronik, IT och anslutande teknikområden. Från IEC finns också ett dokument, IEC TR 63069, som belyser sambandet mellan de båda frågorna, se preview på de inledande avsnitten här. Arbetet med en ny och utökad utgåva är igång, där de vägledande principerna som presenteras i IEC TR 63069 ska specificeras närmare för att underlätta en samordnad tillämpning av de båda standarderna IEC 61508 och IEC 62443.
Bland annat har det föreslagits en mer detaljerad information för riskhantering, inklusive riskbedömning, under systemets hela livscykel, med precisa hänvisningar till relevanta avsnitt i standarderna. Ett avsnitt som främst ser ut att utökas, är förstås det som behandlar samarbetet mellan ”safety” och ”security”. Ett annat är det som handlar om incidenthantering. Dessutom tillkommer sannolikt ett tillämpningsexempel med flödesscheman.
Det är inte för sent att anmäla sig för den som vill engagera sig och bidra i projektet – eller hålla sig informerad åt vart det är på väg. I projekt inom IEC deltar svensk forskning och industri, svenska myndigheter och andra berörda genom SEK Svensk Elstandard. SEK är inte bara den svenska medlemmen i IEC utan är även den svenska standardiseringsorganisationen inom motsvarande områden.
Det nuvarande dokumentet är en teknisk rapport, och därmed bara rent informativ och förklarande. Nästa utgåva är tänkt att bli en teknisk specifikation (TS), det vill säga ett förstadium till en ”riktig” internationell standard.
Arbetet sker i den tekniska kommittén IEC TC 65, där den svenska spegelkommittén är SEK TK 65 Industriell processtyrning. Det är också därifrån som standarderna IEC 61508 (som också är under omarbetning), IEC 61511 och IEC 62443 kommer, liksom flera andra viktiga standarder inom industriautomation och industriell processtyrning. Bland de pågående projekten finns även det administrativa skalet (”AAS”) som är en uppmärksammad pelare i arbetet med digitala tvillingar i industrin. Läs om det här, där det även skrivs om en revision av flera delar av standarden IEC 62264 för integrering av processtyrning och affärssystem (MES).
Medverkan ger företag, organisation, myndighet eller lärosäte en unik insikt och en möjlighet att påverka framtidens standarder. Den som inte engagerar sig i att skriva standarderna, men läser och använder dem, kan förstås enkelt ha sitt standardbibliotek uppdaterat och lättillgängligt på nätet med SEK e‑Standard.
Thomas Borglin
SEK Svensk Elstandard
SEK Svensk Elstandard är en ideell organisation som drivs utan vinstintresse och som är utsedd av regeringen att ansvara för all standardisering inom det elektrotekniska området i Sverige. Alla svenska företag, myndigheter, organisationer, högskolor och universitet kan delta i standardiseringsarbetet som till största del bedrivs genom internationella och europeiska samarbeten. SEK är svensk nationalkommitté i IEC, International Electrotechnical Commission. IEC och det internationella standardiseringsarbetet är stommen i SEKs verksamhet och standarder från IEC ligger till grund för de flesta europeiska och svenska standarder inom det elektrotekniska området.