Tilbake

Nye standarder for cybersikkert radioutstyr i Europa

Tekst: Trond Salater, fagsjef industri og automasjon

EU-kommisjonen ønsker å styrke arbeidet med standardisering innenfor cybertrusler og cybersikkerhet. De ønsker spesiell oppmerksomhet mot trådløst utstyr og produkter. For å ta tak i dette har de europeiske standardiseringsorganisasjonene CEN og Cenelec opprettet en felles komite. Komiteen skal arbeide på tvers av fagområder og nylig la de sine møter til Norge.

 

Radioutstyrsdirektivet (RED) har vært gjeldene siden 13. juni 2016. Siden den gang har vi fått nytt regelverk så som personvernforordningen (GDPR) i 2018. Ikke minst har vi fått betydelig økt oppmerksomhet omkring cybertrusler og cybersikkerhet.  Dette er noen av bakteppet for at EU-kommisjonen i 2021 ønsket å styrke sikkerheten for trådløst («wireless») utstyr og produkter. Forrige uke hadde NEK besøk av CEN/Cenelec JTC13 WG8 «Special working group RED Standardisation Request«. Denne arbeidsgruppen utarbeider de kommende harmoniserte standardene for nettopp dette.

Mandat fra EU-kommisjonen – cybersikkerhet

Ved inngangen til 2022 fikk standardiseringsorganisasjonene CEN og Cenelec en forespørsel  – Standardisation Request – fra EU-kommisjonen  om å utarbeide utkast til harmoniserte standarder som skal styrke cybersikkerheten for alt radioutstyr som kan kommuniserer over internett.

Eksempelvis mobiltelefoner, smartklokker (wearables), leketøy og annet IoT-utstyr, samt IIoT-utstyr for industri og lignende bruksområder. Hensikten skal være å øke sikkerheten før produktene selges på det europeiske markedet. Medisinsk utstyr og utstyr for sivil luftfart og transportsektoren skal ikke omfattes av dette arbeidet, da disse fagfeltene er dekket av andre direktiver.

Oppgaven skal løses ved å styrke følgende punkter under Artikkel 3  i Radioutstyrsdirektivet 2014/53/EU:

  • Artikkel 3 nr. 3 bokstav d bestemmer at radioutstyr ikke skal skade nettverket eller dets funksjon eller misbruke nettverksressurser, og dermed forårsake en uakseptabel forringelse av tjenesten
  • Artikkel 3 nr. 3 bokstav e fastsetter at radioutstyr skal inneholde sikkerhetstiltak for å sikre at personopplysningene og personvernet til brukeren og abonnenten beskyttes
  • Artikkel 3 nr. 3 bokstav f fastsetter at radioutstyr skal støtte visse funksjoner som sikrer beskyttelse mot svindel

 

Felles arbeidsgruppe – CEN/Cenelec JTC 13 for cybersikkerhet

CEN og Cenelec  er spesielt utpekt av EU-kommisjonen til å utarbeide standarder. Cenelec har ansvaret for elektrotekniske og ekom standarder, mens Cenelec dekker de andre feltene. I 2017 opprettet disse organisasjonene en felles komite – JTC 13 – Cybersecurity and Data Protection. Cybersikkerhet og beskyttelse av data er en gjennomgripende aktivitet som har betydning på tvers av fagdisipliner.  En felles komite som kan utvikle standardarder for cybersikkerhet og beskyttelse av data er derfor fornuftig. Oppgaven omfatter mange av aspektene innen det stadig mer komplekse informasjonssamfunnet, hvor beskyttelse blir stadig viktigere. Komiteen speiler også arbeidet internasjonalt mot ISO/IEC JTC1.

CEN/Cenelec JTC13 har sju arbeidsgrupper, hvor WG8 «Special Working Group RED Standardization Request» er den siste tilveksten. Mer om denne felles komiteen kan man lese om her.

Norsk deltagelse JTC13 WG8

Norge har tatt ett ansvar i å arbeide for sterkere cybersikkerhet og har med flere deltakere i arbeidet. Judith Rossebø fra ABB er en av deltakerne. Hun representere også Cenelec TC65X gjennom sin rolle som leder (chair) i denne komiteen. Nylig ble også Paul Erling Lia fra Nasjonal Kommunikasjonsmyndighet (Nkom) med i arbeidet. Nkom har for øvrig også ansvar for ETSI som også deltar i med representanter i dette arbeidet.

Foto: Trond Salater

Ben Kokx , Chair JTC 13 WG8, Reyham Cigdem, Astrid de Heas, Secretariat JTC13 WG8) and Judith Rossebø, Chair Cenelec TC 65X

Både Judith og Paul Erling er medlem i NEKs standardiseringskomite NK65, som arbeider med industrielle prosesser, kontroll og automatisering. I denne komiteen er de spesielt engasjert  i arbeidgruppe AG1 Cybersikkerhet. Denne arbeidsgruppens spesielle oppgave er å følge med på og kommentere endringer til standardserien NEK EN IEC 62443, som tar for seg cybersikkerhet i operasjonell teknologi (OT). Denne standardserien er for øvrig samlet i NEK 820 Cybersikkerhet.

Komite på besøk i Norge

I uke 3  hadde NEK besøk av CEN/Cenelec JTC13 WG8 «Special working group RED Standardisation Request«. Denne arbeidsgruppen utarbeider de kommende harmoniserte standardene for nettopp dette. Gjennom uken ble det gjennomført en rekke møter for å diskutere og komme med forslag til løsninger som vil tilfredsstille EUs forespørsel.

Horisontal standard OT-sikkerhet

IEC TC 65 jobber nå med å gjøre IEC 62443-serien til en horisontal standard, hvilket betyr at IEC 62443 vil få en solid innvirkning mot de øvrige standardiseringskomitene og de standardene som utvikles.

Les mer om arbeidet til NK 65