Tilbake

Cybersikkerhet i forbrukerutstyr og tingenes internett – IoT/IIoT

I september 2022 presenterte EU-kommisjonen Cyber Resilience Act (CRA), et lovforslag (forordning) viss hensikt skal bli å øke sikkerheten for produkter som har digitale elementer og programvare.

Dette skal bidra til å redusere sårbarheten til forbrukere og bedrifter mot økende cyberrisiko. Representanter fra arbeidsgruppe Cenelec TC 65X WG3 Cyber security hadde nylig møte hos NEK. Her ble innspill om bruk av relevante standarder og krav til denne kommende forordningen drøftet.

Forventet sikkerhet – CE-merke

Vi som forbrukere eller innkjøpere har blitt vant til at produkter som selges i EU/EØS har et CE-merke. Dette betyr at produsenten av utstyret har gått god for at produktet er i henhold til europeiske krav til sikkert, helse og miljø. Hvilket igjen betyr at produktet skal følge krav i de respektive forordninger eller direktiver som gjelder for produktet.

I Norge blir forordninger og direktiver gjennomført via lover og forskrifter. Eksempelvis Forskrift om EØS-krav til radioutstyr («radioutstyrsforskriften«), Forskrift om elektrisk utstyr (FEU), Produktforskriften (kap. 2A) og Forskrift om maskiner.

Stadig flere produkter har et eller annen digital element eller medfølgende programvare slik at det kan kobles opp til internett (wi-fi). Kjøper man en ny vaskemaskin eller komfyr skal man lete lenge før man finner et produkt som ikke er ment for å kobles opp mot internett.

Med innføringen av Cyber Resilience Act vil CE-merket også innbefatte at produktene, i tillegg til de eksisterende krav til sikkerhet, helse og miljø – f.eks. elektrisk sikkerhet, også får et minimum nivå på sikkerhet mot cyberrisiko.

CRA – lovordningens hovedmål

  • Sikkerhetskrav for Digitale Produkter: Loven introduserer strenge sikkerhetskrav for digitale produkter og tilhørende tjenester. Dette inkluderer alt fra smarttelefoner til Internett-tilkoblede enheter og kritisk infrastruktur.
  • Ansvarlighet for Produsenter: Produsenter av digitale produkter vil være ansvarlige for å sikre at deres produkter er sikre ved utlevering og forblir sikre gjennom hele produktets livssyklus.
  • Oppdateringer og Støtte: Loven krever at produsenter tilbyr regelmessige sikkerhetsoppdateringer og fastsetter minimumsperioder for hvor lenge sikkerhetsoppdateringer skal tilbys.
  • Samsvarserklæringer: Produsenter må utstede og holde oppdaterte EU-samsvarserklæringer.
  • Informasjon til Forbrukere: Forbrukerne skal få klar informasjon om sikkerhetsaspekter, inkludert varigheten av sikkerhetsoppdateringer og unike produktidentifikatorer.
  • Tilsyn og Sanksjoner: Det vil være tilsyn med håndhevelsen av disse reglene, og bøter kan pålegges for brudd.

Innspill fra industrien

Arbeidsgruppe WG3 Cyber Security fra Cenelec teknisk komite TC 65X hadde nylig et møte hos NEK.  Cenelec TC 65X er komiteen som utarbeider standarder innen industri og automatisering. Denne komiteen speiler arbeidet som gjøres globalt i IEC TC 65 på europeisk nivå, og tilpasser standarder til europeiske krav (EU).

I Norge er det teknisk komite NEK  NK 65 som speiler arbeidet for begge disse internasjonale komiteene på nasjonalt nivå.

Cyber Resilience Act vil ikke bare få konsekvenser for IoT-produkter vi som forbrukere omgir oss med. CRA vil også stille krav til IIoT-produkter (Industrial Internet of Things) også kjent som industriell IoT.

Eksempler på dette er sensorer og aktuatorer, smarte ventiler og pumper. Generelt, alt av elektrisk utstyr knyttet opp mot industri 4.0 og som vil sørge for en smartere, automatisert, bærekraftig og effektive industri må forholde seg til Cyber Resilience Act. Dette gjelder også i stor grad kritisk infrastruktur innen kraftforsyning.

Harmoniserte standarder

Lovgivningen i EU støtter seg i vesentlig grad på standarder når det skal gjennomføres forordninger og direktiver. Her er det spesielt de harmoniserte standardene det siktes til. Følger man en harmonisert standard, «presumtion of conformity», har man tilfredsstilt de respektive krav i forordning/direktiv.

For operasjonell teknologi (OT), som man finner mye av innen industri og kritisk infrastruktur, er standardserien NEK EN IEC 62443 svært sentral. For nevnte komponenter som sensorer og aktuatorer vil spesifikt delstandarden NEK EN IEC 62443-4-2 være viktig.

I Cenelec TC 65X jobbes det nå for å gjøre standardserien EN IEC 62443 til en harmonisert standard.

Norsk deltagelse

Judith Rossebø (ABB) er medlem av NEK NK65 og er komiteleder (Chair) i Cenelec TC 65X. Her er hun aktiv i flere arbeidsgrupper internasjonalt, ikke bare i TC 65X WG3 Cyber Security, men også i IEC TC65 WG 10 Security for industrial process measurement and control – Network and system security.

Judith sitter også som offisiell Liaison fra TC65X  inn mot CEN/Cenelec felles arbeidsgruppe JWG 13 Cybersecurity and Data Protection. I denne arbeidsgruppen jobbes det nå intens med å lage utkast til standarder som skal sikre radioutstyr i Europa.