ISO 8102-20 leverer branchespecifikke cybersikkerhedskrav for elevatorsystemer. Et kompakt resumé af kravene.
Omfang
Standarden beskriver krav til cybersikkerhed i følgende livscyklusfaser af det såkaldte "Equipment under Control" (EUC):
- Udvikling (inklusive sikre udviklingsprocesser)
- Fremstilling
- Installation
- Drift og vedligeholdelse
- Nedlukning
Det gælder for nye EUC som kan tilsluttes til eksterne systemer såsom bygningsnetværk eller cloud-tjenester, men ikke til eksisterende installationer før standardens udgivelsesdato.
Standarden er primært rettet mod produktleverandører og systemintegratorer, mens operatørens ("aktivejers") ansvar understøttes indirekte gennem passende dokumentation og anbefalinger.
Struktur og indhold
ISO 8102-20 definerer følgende centrale aspekter:
Sikker udviklingslivscyklus
Integration af en sikker udviklingsproces baseret på principperne i IEC 62443-4-1. Dette inkluderer risikoanalyse, trusselmodellering og kontinuerlig forbedring af sikkerhedsforanstaltninger.
Sikkerhedskrav for produkter og systemer
Definition af sikkerhedskontroller for essentielle, sikkerhedskritiske og alarmfunktioner af EUC. Sikkerhedsmål såsom autentificering, dataintegritet og tilgængelighed prioriteres.
Verifikation og validering
Forpligtelse til at udføre sikkerhedstest såsom penetrationstest, sårbarhedsscanning og uafhængige anmeldelser.
Sikkerhedshændelseshåndtering
Processer til rapportering, vurdering og afhjælpning af sikkerhedshændelser samt til rettidig distribution af sikkerhedsopdateringer.
Informationsformidling
Dokumentation til operatører om anbefalede sikkerhedsforanstaltninger, konfigurationskrav og sikker bortskaffelse.
Kontekst og relation til IEC 62443
ISO 8102-20 komplementerer IEC 62443 ved at definere branchespecifikke krav for EUC. Standarden henviser direkte til IEC 62443-4-1 (sikker udviklingsproces) og IEC 62443-4-2 (tekniske sikkerhedskrav). Den bruger også sikkerhedsniveaumodellen fra IEC 62443-3-3 og giver specifikke krav til alarm-, sikkerheds- og essentielle funktioner.
En central forskel ligger i anvendelsesfokus: mens IEC 62443 generelt målretter industrielle kommunikationsnetværk, adresserer ISO 8102-20 de specifikke risici og krav til elevatorer og rulletrapper, for eksempel med hensyn til deres tilslutning til bygningsnetværk og cloud-tjenester.
Den tætte tilpasning med IEC 62443 sikrer høj kompatibilitet og gør det muligt for producenter at udnytte eksisterende certificeringsprocesser.
Konklusion
ISO 8102-20 er et værdifuldt værktøj for producenter og integratorer til systematisk at adressere cybersikkerheden for elevatorer, rulletrapper og rullefortove. Dens orientering mod IEC 62443 sikrer en konsistent implementering af dokumenterede sikkerhedsstandarder, mens dens branchespecifikke krav hjælper med at lette overholdelse af nuværende og fremtidige cyberreguleringer.
ISO 8102-20 står ikke alene men sidder sammen med andre krav såsom IEC 62443, maskinforordningen, CRA eller RED. Hvis du gerne vil afklare hvilken rolle standarden spiller for dine produkter, udviklingsprocesser eller godkendelser, kan dette arrangeres og struktureres i en uforpligtende samtale.