EN SV
standards

Cybersikkerhedsstandarder fra ISO 27001 til IEC 62443

7 minutters læsning
Cybersikkerhedsstandarder fra ISO 27001 til IEC 62443

Oversigt over cybersikkerhedsstandarder: ISO 27001, IEC 62443, EN 18031 og flere. Lær hvilke standarder der er relevante for din organisation.

Forskel mellem normer og standarder

Begrebet "Standard" henviser til tekniske specifikationer udviklet af anerkendte organisationer, hvis anvendelse generelt er frivillig. Standarder beskriver ofte specifikke metoder, procedurer eller karakteristika for produkter og tjenester.

Derimod er "normer" mere formelle og udgives af officielle standardiseringsorganer. Normer opnår ofte bred accept og betragtes i stigende grad inden for regulatoriske rammer (se f.eks. New Legislative Framework i EU). Mens standarder ofte dækker branchespecifikke krav, har normer tendens til at være bredere og bære større vægt i lovgivningen.

Normers rolle i corporate governance

Normer er en væsentlig del af governance, risiko- og compliance-styring (GRC). De hjælper organisationer med at overholde juridiske krav, identificere og håndtere potentielle risici og generelt etablere gennemsigtige og effektive virksomhedsstrukturer.

Standarder som ISO 31000 (risikostyring) eller ISO/IEC 27001 (informationssikkerhedsstyring) giver afprøvede rammer der støtter organisationer i systematisk håndtering af operative risici.

Standardiseringsorganisationer

På internationalt niveau spiller International Organization for Standardization (ISO), International Electrotechnical Commission (IEC) og International Telecommunication Union (ITU) førende roller i udvikling af globalt anvendelige normer.

I Europa udfører European Committee for Standardization (CEN) sammen med European Committee for Electrotechnical Standardization (CENELEC) og European Telecommunications Standards Institute (ETSI) vigtige opgaver i europæisk standardiseringsarbejde.

I Tyskland er German Institute for Standardization (DIN) og German Commission for Electrical, Electronic & Information Technologies in DIN and VDE (DKE) særligt vigtige i skabelse og vedligeholdelse af nationale normer.

Harmonisering af normer i EU

Harmoniseringen af normer inden for Den Europæiske Union foregår gennem offentliggørelse af såkaldte harmoniserede standarder i Amtsblatt der Europäischen Union (OJEU) (https://eur-lex.europa.eu/oj/direct-access.html?locale=de). Disse standarder hjælper virksomheder med at udvikle produkter og tjenester der anerkendes på tværs af alle EU-medlemsstater og overholder gældende regulativer.

Offentliggørelse af en standard i OJEU signalerer at den anerkendes af EU-institutionerne. Produkter der overholder disse standarder anses derfor for at være i overensstemmelse med relevante EU-regler.

Særligt i den europæiske kontekst opstår spørgsmålet ofte om hvilke standarder der faktisk har regulatorisk relevans og hvilke der mere tjener som best practice. Hvis du ønsker at afklare denne klassificering for dine produkter eller organisation kan en kort orienteringsdiskussion være hjælpsom.

Valg af relevante normer inden for cybersikkerhed

Inden for cybersikkerhed er standarder som ISO/IEC 27001 af stor betydning. Denne standard giver en ramme for informationssikkerhedsstyring og hjælper organisationer med at beskytte sig mod sikkerhedstrusler.

Vigtige, brancheuafhængige standarder for operatører inkluderer:

  • ISO/IEC 27001: "Information security, cyber security and privacy protection - Information security management systems - Requirements"
    Denne standard definerer krav til et informationssikkerhedsstyringssystem (ISMS). Den tilbyder en systematisk tilgang til styring af følsomme virksomhedsinformationer og er anvendelig på tværs af brancher.
  • ISO/IEC 27701: "Security techniques - Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management - Requirements and guidelines"
    Som en udvidelse til ISO 27001 fokuserer denne standard på privatliv. Den giver vejledning til implementering, vedligeholdelse og kontinuerlig forbedring af et privacy information management system (PIMS).
  • ISO 22301: "Security and resilience - Business continuity management systems - Requirements"
    Denne standard specificerer krav til et business continuity management system (BCMS). Den hjælper organisationer med at forberede sig på, reagere på og genoprette sig fra forstyrrende hændelser.

Vigtige standarder for produktproducenter inkluderer:

  • ISO/IEC 15408: "Information technology, security techniques and privacy protection - Evaluation criteria for IT security"
    Denne familie af standarder, også kendt som Common Criteria, giver en ramme for specifikation, implementering og evaluering af sikkerhedsfunktioner i IT-produkter. Den bruges ofte til certificering af sikkerhedsprodukter.
  • ISO/IEC 30111: "Information technology - IT security techniques - Vulnerability handling processes"
    Denne standard giver vejledning til organisationer om håndtering af sårbarheder i deres produkter og tjenester. Den beskriver processer for intern styring af sikkerhedsmangler.
  • ISO/IEC 29147: "Information technology - Security techniques - Vulnerability disclosure"
    Denne standard indeholder retningslinjer for offentliggørelse af sårbarheder. Den hjælper organisationer med at etablere effektive processer til modtagelse og behandling af sårbarheds-rapporter.
  • EN 18031: "Common security requirements for radio equipment"
    Denne standard adresserer informationssikkerhed og beskyttelse af personlige data for internetforbundet radioudstyr.

Der er også yderligere branchespecifikke standarder.

Branchen generelt

  • IEC 62443: "IT security for industrial automation systems"
    Denne serie af standarder omhandler IT-sikkerhed for industrielle automations- og kontrolsystemer (IACS). Den giver vejledning til producenter, integratorer og operatører af industrielle anlæg.

Biler og landbrugsmaskiner

  • ISO/SAE 21434: "Road vehicles - Cybersecurity engineering"
    Denne standard fokuserer på cybersikkerhed i bilindustrien. Den definerer krav til cybersikkerhedsrisikostyring i køretøjsudvikling og gennem hele produktlivscyklussen.
  • ISO 24089: "Road vehicles - Development and operation of software updates"
    Denne standard d��kker processer og krav til softwareopdateringer i køretøjer. Den er særligt relevant givet den stigende digitalisering og tilslutning af køretøjer.
  • ISO 24882: "Agricultural and forestry machinery and tractors - Cybersecurity engineering"
    Denne standard, som også er under udvikling, sigter mod at specificere cybersikkerhedskrav for landbrugsmaskiner for at minimere sikkerhedsrisici gennem hele livscyklussen.

Jernbaneindustrien

  • CLC/TS 50701: "Rail applications - Cybersecurity"
    Denne tekniske specifikation adresserer cybersikkerhed i jernbanesektoren. Den giver vejledning til implementering af cybersikkerhedsforanstaltninger i jernbanesystemer.
  • IEC 63452: "Rail applications - Cybersecurity"
    Denne standard under udvikling beskriver en ensartet metode til styring af cybersikkerhed i jernbanesystemer ved at tilpasse kravene fra IEC 62443 til de specifikke anvendelser og driftsmiljøer for jernbaner og integrere dem med RAMS-livscyklusser fra IEC 62278-serien.

Maskinteknik

  • EN 50742: "Protection against tampering"
    Denne standard under udvikling beskriver hvordan maskiner kan sikres mod tilsigtet og utilsigtet manipulation i overensstemmelse med Maskineforordningen.

Medicinsk teknologi

  • IEC 80001-5-1: "Application of risk management for IT-networks incorporating medical devices - Safety, effectiveness and data and system security when implementing and using connected medical devices or connected health software - Part 5-1: Product lifecycle activities"
    Denne standard giver vejledning til cybersikkerhed for netværksforbundne medicinske enheder. Den støtter sundhedsorganisationer i risikovurdering og -afbødning.
  • IEC TR 60601-4-5: "Medical electrical equipment - Part 4-5: Guidance and justification - Security-related technical requirements for security"
    Denne tekniske rapport omhandler cybersikkerhed for medicinsk elektrisk udstyr og systemer og tilbyder producenter vejledning om at overveje cybersikkerhedsaspekter.

Elevatorer, rulletrapper og rullefortove

  • ISO 8102-20: "Electrical requirements for lifts, escalators and moving walks - Part 20: Cybersecurity"
    Denne standard adresserer cybersikkerhedskrav specifikt for elevatorer, rulletrapper og rullefortove. Den definerer foranstaltninger til beskyttelse mod cybertrusler gennem hele livscyklussen - fra udvikling gennem drift til nedlukning. Standarden orienterer sig mod eksisterende principper fra IEC 62443, men tilpasser dem til specifikationer for vertikal transportteknologi.

Internet of Things

  • ETSI EN 303 645: "CYBER - Cybersecurity for consumer Internet of Things: Baseline requirements"
    Denne europæiske standard definerer cybersikkerhedskrav for forbruger IoT-enheder. Den sigter mod at sikre et grundlæggende sikkerhedsniveau for disse enheder.

Normer og standarder inden for cybersikkerhed tjener ikke kun teknisk kvalitetssikring, men er også nøglesøjler for effektiv corporate governance. De hjælper med at opfylde regulatoriske krav, reducere risici og styrke tilliden til digitale produkter og tjenester. Internationalt samarbejde om standardisering og harmonisering på EU-niveau sikrer at virksomheder kan konkurrere på et globaliseret marked uden at miste sikkerhed af syne.

Normer og standarder er centrale værktøjer til styring af cybersikkerhedsrisici - forudsat at de bruges målrettet og i kontekst. Hvis du ønsker at bestemme hvilke standarder der giver mening for din organisation og hvordan de stemmer overens med regulatoriske krav, kan dette afklares i en uforpligtende konsultation.