Efterlevnad & Säkerhet Hur säkerhet uppnås i uppkopplade enheter – visualisera vägen Efterlevnad & Säkerhet Säkerheten för uppkopplade enheter är viktigare än någonsin. I takt med teknikutvecklingen ökar fördelarna och mervärdet, vilket sammantaget ger positiva effekter. Eftersom din enhet är uppkopplad blir den mer lättillgänglig för dig, men även för andra. Det innebär att hackare (illvilliga tredje parter, kriminella) och främmande makt (militära, kritiska infrastrukturattacker) också har lättare att komma åt dina data. Det är därför EU och USA reglerar cybersäkerheten för enheter, programvara och digitala tjänster. Dela Certifications from organizations is one way to approach the security and standards. Even though it is in the best interest of all legitimate parties, taking measures in securing connected devices is no longer voluntary. Etteplan has been following the regulatory changes related to cyber security and delivering software and device development following secure-by-design principles already for the last few years. Here are some of the newest regulatory additions as outlined by Sales Director in Software and Embedded Solutions, Antti Tolvanen in the following section. Konsekvenser av uppdaterade regler inom cybersäkerhet Den 1 augusti 2024 måste försäkran om överensstämmelse för trådlösa IoT-enheter med delegerade akter 3(3) d, e och f i direktivet om radioutrustning (RED) förnyas för att lagligen kunna säljas inom EU. Före slutet av 2024 kommer NIS2-direktivet (Network and Information Security) att göra ledningssystem för informationssäkerhet samt säkra utvecklingsprocesser obligatoriska för alla företag och deras direkta underleverantörer, vilket även påverkar hela leveranskedjan. För digitala tjänsteleverantörer, som SoS-företag och leverantörer av funktionstjänster, kommer NIS2 att börja tillämpas tillsammans med en implementeringsakt som innehåller mer detaljerade säkerhetskrav. Under 2026 kommer cyberresiliensakten att göra cybersäkerhet till en obligatorisk del av CE-märkningen för alla produkter med digitala element (alla enheter, all programvara och många programvaru- och maskinvarukomponenter). Redan 2025 kommer sårbarhets- och incidentrapportering att bli obligatorisk, även för alla gamla produkter. Det är viktigt att notera att för kritiska produkter, vilket inkluderar enheter som routrar, gateways, industriella IoT-enheter, robotar och smarta mätare, kommer tredjepartsbedömningar av efterlevnad att bli obligatoriska. Egenbedömning av tillverkaren kommer dock att tillåtas för icke-kritiska produkter. En särskilt intressant detalj är att medicinskt bevisad psykologisk skada och bristande efterlevnad av cybersäkerhetslagar har lagts till som enhets-/programvarutillverkares ansvar i EU:s nyligen offentliggjorda förslag till direktiv om skadeståndsansvar. I USA fortsätter implementeringen av dekret 14028: i en nyligen publicerad promemoria från Office for Management and Budgeting ges programvaru- och enhetsleverantörer till federala myndigheter endast 270 dagar för att intyga efterlevnad av NIS2-riktlinjerna. Federal Acquisition Regulation håller också på att uppdateras och Cybersecurity and Infrastructure Security Agency (CISA) kommer att publicera bindande operativa direktiv för USA. När det gäller viktig infrastruktur kommer både EU:s och USA:s marknader att vara horisontellt reglerade när det gäller cybersäkerhet. Du kan lära dig mer om nya cybersäkerhetsbestämmelser i webbseminariet om cybersäkerhet. Vad detta innebär för säkra inbyggda enheter Bland de viktigaste aspekterna av inbyggd säkerhet är säker start och säkra uppdateringar som endast används för att köra autentiserad firmware. Ett av de viktigaste arkitektursrelaterade besluten är valet av kritiska maskinvarukomponenter som stöder dessa säkerhetsfunktioner. Olika enheter kräver olika skyddsnivåer. Linux och Zephyr är några operativsystem som kan användas som vägledning för att identifiera branschkrav och därmed erbjuda tillförlitliga val. Det är mycket fördelaktigt att välja ett operativsystem som har stöd för olika säkerhetsfunktioner och som i sin tur stöds av samhället i stort. Det är mycket viktigt att kontrollera att styrkretstillverkaren stöder det valda operativsystemet och leverantörsspecifika maskinvarulösningar. Ur ett applikationsperspektiv är det bästa sättet att undvika risker att proaktivt se till att du ligger steget före och ständigt håller dig uppdaterad om säkerheten. Sårbarhetsrapportering samt regelbunden jämförelse av enhetens programvaruförteckning med allmänt kända sårbarheter förvandlas till rättsliga krav. Ändring av lösenord, flerfaktorsautentisering, begränsad åtkomsttid och rollbaserade åtkomstnivåer är några av de funktioner du kan använda för att uppnå lämplig säkerhetsnivå. Author Tomasz Śleboda, Software Specialist
Efterlevnad & Säkerhet | 05.06.2023 En outtröttlig diagnostiker med hög precision – maskininlärning skapar nya möjligheter inom sjukvårdsbranschen
Efterlevnad & Säkerhet | 10.05.2023 Medicinteknisk utrustning och konnektivitet – spännande möjligheter, strängare regler
Efterlevnad & Säkerhet | 10.05.2023 Hårdvarutestledare tillför kostnadseffektivitet och kvalitet till produktkontrollprocesser
Efterlevnad & Säkerhet | 12.04.2022 Vid säkerhetsbedömning av tillgångsförvaltning - ta hänsyn till cybersäkerhet