Nya säkerhetsregler med stor inverkan på den industriella di­gi­ta­li­se­rin­gen

Generellt sett är det viktigt att ha koll på regelkraven och implementera dem tidigt för att lyckas med nya projekt inom industriell digitalisering. Att inte följa nationella, regionala eller globala bestämmelser kan bli en kostsam katastrof. Tittar man på efterlevnaden för sent kan det ta utveckl-ingen tillbaka till ruta ett.

”Ett typiskt misstag inom traditionellt sett mindre reglerade vertikaler för enheter och digitala tjänster är att inte inse att det kan finnas olika regelkrav i EU, USA, Kina och andra regioner och länder. Om ett företag med tiden vill placera produkten på alla marknader, är det bäst att titta på alla krav från början”, säger Etteplans specialist inom cybersäkerhetsbestämmelser, Antti Tolvanen, Sales Director för Software & Embedded.
 

Det är lätt att förstå varför man nu inför cybersäkerhetsbestämmelser för driftteknik som system och lösningar för industriell produktion. Operativ teknik (OT) är avgörande i samhällets kritiska infrastruktur och nödvändig för att köra de industriella processerna i fabrikerna. Traditionellt är OT väl rustat för funktionell säkerhet. Jämfört med informationstekniken (IT) har det dock historiskt sett varit mindre fokus på cybersäkerhet i OT-lösningarna.

”Cybersäkerhetsincidenter som involverar OT kan orsaka massiva ekonomiska förluster på grund av förlorad produktion. Men de kan också utgöra en enorm säkerhetsrisk för människor, egendom och miljö”, säger Tolvanen.

Inom EU kommer nästan alla företag att direkt eller indirekt påverkas av det nya NIS2-direktivet, eftersom det gäller för många olika företag. Det förväntas bli införlivat i nationella lagstiftningar i slutet av 2024. Tillverkare av driftteknik, som industriell utrustning, måste följa direktivet.

”NIS2-direktivet klassificerar nästan alla tillverkare av elektriska produkter som så kallade viktiga entiteter, vilka måste implementera ett lämpligt system för sin informationssäkerhet. Lämpliga säkra utvecklingsprocesser relaterade till t.ex. enheter och digitala tjänster kommer också att bli obligatoriska, även hos direkta leverantörer.”
 

Enligt Tolvanen illustrerar den globala fordonsindustrin på ett bra sätt hur företag kommer att förbättra sina positioner inom cybersäkerhet på grund av NIS2:

”Biltillverkarna och praktiskt taget alla Tier 1-leverantörer hade under 2021 infört ett system för cybersäkerhet eftersom det kom ett typgodkännandekrav för nya biltyper i juli 2022. Inom fordonsindustrin rullas vissa krav på cybersäkerhetssystem ner ända till Tier 2- och 3-leverantörer”, förklarar Tolvanen.

Cybersäkerheten för nästan alla trådlöst anslutna enheter som säljs inom EU regleras av radioutrustningsdirektivets delegerade akter 3(3)def. Det innebär att försäljningen av icke-överensstämmande produkter bli olaglig inom EU den 1 augusti 2024.

Beroende på enhetens eller den digitala lösningens avsedda användning måste en del industriell utrustning om några år även uppfylla de nya cybersäkerhetskraven General Product Safety Regulation, Artificial Intelligence Act och Machine Regulation, som just nu håller på att tas fram eller uppdateras. Precis som radioutrustningsdirektivet kommer dessa nya förordningar att göra befintliga produkter och digitala tjänster olagliga att sälja inom EU om de brister i efterlevnaden av nya cybersäkerhetskrav.

Att investera i regelefterlevnad, produktsäkerhet och cybersäkerhet kräver en hel del expertis – och i många fall en tjock plånbok, åtminstone om företaget avser att hantera allt detta internt. Vanliga FoU-avdelningar saknar ofta cybersäkerhetsexperter.

”Idag lönar det sig inte att starta ett industriellt utvecklingsprojekt inom IoT eller SaaS utan att redan från början tillämpa en livscykelprocess för säker utveckling av produkt och programvara, på grund av den höga risken för bristande efterlevnad och kort livslängd på marknaden. Jag för-väntar mig också att bristande efterlevnad av tillämplig cyberlagstiftning förmodligen gör det svårare att få ersättning från försäkringen för återställningskostnader i händelse av cybersäkerhetsincidenter”, avslutar Antti Tolvanen.