ISO 8102-20 giver branchespecifikke cybersikkerhedskrav for elevatorsystemer. Alle krav er kompakt opsummeret.
Anvendelsesområde
Standarden specificerer cybersikkerhedskrav for følgende livscyklusfaser af det såkaldte "Equipment under Control" (EUC):
- Udvikling (inklusive sikre udviklingsprocesser)
- Fremstilling
- Installation
- Drift og vedligeholdelse
- Dekommissionering
Det gælder for nye EUC, der kan forbindes til eksterne systemer såsom bygningsnetværk eller cloudtjenester, men ikke for eksisterende installationer, der er ældre end offentliggørelsen af standarden.
Standarden er primært rettet mod produktleverandører og systemintegratorer, mens operatørens ("asset owner") ansvar støttes indirekte gennem passende dokumentation og anbefalinger.
Struktur og indhold
ISO 8102-20 definerer følgende centrale aspekter:
Sikker udviklingslivscyklus
Integration af en sikker udviklingsproces ifølge principperne i IEC 62443-4-1. Dette omfatter risikoanalyse, trusselmodellering og kontinuerlig forbedring af sikkerhedsforanstaltninger.
Sikkerhedskrav til produkter og systemer
Definition af sikkerhedskontroller for væsentlige, sikkerhedsrelaterede og alarmfunktioner af EUC. Sikkerhedsmål såsom autentificering, dataintegritet og tilgængelighed prioriteres.
Verifikation og validering
Forpligtelse til at udføre sikkerhedstest såsom penetrationstest, sårbarhedsscanning og uafhængige vurderinger.
Håndtering af sikkerhedshændelser
Processer for rapportering, vurdering og afbødning af sikkerhedshændelser samt for rettidig distribution af sikkerhedsopdateringer.
Informationslevering
Dokumentation til operatører om anbefalede sikkerhedsforanstaltninger, konfigurationskrav og sikker bortskaffelse.
Forhold til IEC 62443
ISO 8102-20 supplerer IEC 62443 ved at definere branchespecifikke krav for EUC. Standarden henviser direkte til IEC 62443-4-1 (sikker udviklingsproces) og IEC 62443-4-2 (tekniske sikkerhedskrav). Den bruger også sikkerhedsniveaumodellen fra IEC 62443-3-3 og giver specifikke krav til alarm-, sikkerheds- og væsentlige funktioner.
En central forskel ligger i anvendelsesfokuset: mens IEC 62443 retter sig mod industrielle kommunikationsnetværk generelt, adresserer ISO 8102-20 de specifikke risici og krav for elevatorer og rulletrapper, for eksempel vedrørende deres forbindelse til bygningsnetværk og cloudtjenester.
Den tætte tilpasning med IEC 62443 sikrer høj kompatibilitet og gør det muligt for producenter at udnytte eksisterende certificeringsprocesser.
Konklusion
ISO 8102-20 er et værdifuldt værktøj for producenter og integratorer til systematisk at adressere cybersikkerheden for elevatorer, rulletrapper og moving walkways. Dens tilpasning med IEC 62443 sikrer en konsekvent implementering af påviste sikkerhedsstandarder, mens dens branchespecifikke krav hjælper med at lette overholdelse af nuværende og fremtidige cyberreguleringer.