EN DA
standards

Cybersäkerhetsstandarder från ISO 27001 till IEC 62443

7 minuters läsning
Cybersäkerhetsstandarder från ISO 27001 till IEC 62443

Översikt över cybersäkerhetsstandarder: ISO 27001, IEC 62443, EN 18031 och mer. Lär dig vilka standarder som är relevanta för din organisation.

Skillnad mellan normer och standarder

Termen "Standard" hänvisar till tekniska specifikationer utvecklade av erkända organisationer vars tillämpning i allmänhet är frivillig. Standarder beskriver ofta specifika metoder, procedurer eller egenskaper för produkter och tjänster.

Däremot är "normer" mer formella och publiceras av officiella standardiseringsorgan. Normer får ofta bred acceptans och betraktas alltmer inom regulatoriska ramverk (se t.ex. New Legislative Framework i EU). Medan standarder ofta täcker branschspecifika krav tenderar normer att vara bredare och har större vikt i lagstiftningen.

Normers roll i företagsstyrning

Normer är en väsentlig del av styrning, risk och compliance-hantering (GRC). De hjälper organisationer att efterleva lagkrav, identifiera och hantera potentiella risker och i allmänhet etablera transparenta och effektiva företagsstrukturer.

Standarder som ISO 31000 (riskhantering) eller ISO/IEC 27001 (informationssäkerhetshantering) tillhandahåller beprövade ramverk som stödjer organisationer i att systematiskt hantera operativa risker.

Standardiseringsorganisationer

På internationell nivå spelar International Organization for Standardization (ISO), International Electrotechnical Commission (IEC) och International Telecommunication Union (ITU) ledande roller i att utveckla globalt tillämpliga normer.

I Europa utför European Committee for Standardization (CEN) tillsammans med European Committee for Electrotechnical Standardization (CENELEC) och European Telecommunications Standards Institute (ETSI) viktiga uppgifter inom europeiskt standardiseringsarbete.

I Tyskland är German Institute for Standardization (DIN) och German Commission for Electrical, Electronic & Information Technologies in DIN and VDE (DKE) särskilt viktiga för att skapa och underhålla nationella normer.

Harmonisering av normer i EU

Harmoniseringen av normer inom Europeiska unionen sker genom publicering av så kallade harmoniserade standarder i Amtsblatt der Europäischen Union (OJEU) (https://eur-lex.europa.eu/oj/direct-access.html?locale=de). Dessa standarder hjälper företag att utveckla produkter och tjänster som erkänns i alla EU-medlemsstater och följer tillämpliga regleringar.

Publicering av en standard i OJEU signalerar att den erkänns av EU-institutionerna. Produkter som överensstämmer med dessa standarder anses därför följa relevanta EU-regler.

Speciellt i det europeiska sammanhanget uppstår ofta frågan vilka standarder som faktiskt har regulatorisk relevans och vilka som mer tjänar som best practice. Om du vill klargöra denna klassificering för dina produkter eller organisation kan en kort orienteringsdiskussion vara till hjälp.

Val av relevanta normer inom cybersäkerhet

Inom cybersäkerhet är standarder som ISO/IEC 27001 av stor betydelse. Denna standard tillhandahåller ett ramverk för informationssäkerhetshantering och hjälper organisationer att skydda sig mot säkerhetshot.

Viktiga, branschoberoende standarder för operatörer inkluderar:

  • ISO/IEC 27001: "Information security, cyber security and privacy protection - Information security management systems - Requirements"
    Denna standard definierar krav för ett informationssäkerhetshanteringssystem (ISMS). Den erbjuder ett systematiskt tillvägagångssätt för att hantera känslig företagsinformation och är tillämplig över branscher.
  • ISO/IEC 27701: "Security techniques - Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management - Requirements and guidelines"
    Som en utökning till ISO 27001 fokuserar denna standard på integritet. Den ger vägledning för implementering, underhåll och kontinuerlig förbättring av ett integritetsinformationshanteringssystem (PIMS).
  • ISO 22301: "Security and resilience - Business continuity management systems - Requirements"
    Denna standard specificerar krav för ett affärskontinuitetshanteringssystem (BCMS). Den hjälper organisationer att förbereda sig för, svara på och återhämta sig från störande incidenter.

Viktiga standarder för produkttillverkare inkluderar:

  • ISO/IEC 15408: "Information technology, security techniques and privacy protection - Evaluation criteria for IT security"
    Denna familj av standarder, även känd som Common Criteria, tillhandahåller ett ramverk för specifikation, implementering och utvärdering av säkerhetsfunktioner i IT-produkter. Den används ofta för certifiering av säkerhetsprodukter.
  • ISO/IEC 30111: "Information technology - IT security techniques - Vulnerability handling processes"
    Denna standard ger vägledning till organisationer om hantering av sårbarheter i deras produkter och tjänster. Den beskriver processer för intern hantering av säkerhetsbrister.
  • ISO/IEC 29147: "Information technology - Security techniques - Vulnerability disclosure"
    Denna standard innehåller riktlinjer för avslöjande av sårbarheter. Den hjälper organisationer att etablera effektiva processer för mottagning och behandling av sårbarhetsrapporter.
  • EN 18031: "Common security requirements for radio equipment"
    Denna standard adresserar informationssäkerhet och skydd av personuppgifter för internetansluten radioutrustning (radioutrustning).

Det finns också ytterligare branschspecifika standarder.

Branschgenerellt

  • IEC 62443: "IT security for industrial automation systems"
    Denna serie av standarder behandlar IT-säkerhet för industriella automations- och kontrollsystem (IACS). Den ger vägledning för tillverkare, integratörer och operatörer av industriella anläggningar.

Fordon och lantbruksmaskiner

  • ISO/SAE 21434: "Road vehicles - Cybersecurity engineering"
    Denna standard fokuserar på cybersäkerhet inom fordonsindustrin. Den definierar krav för cybersäkerhetsriskhantering i fordonsutveckling och genom hela produktlivscykeln.
  • ISO 24089: "Road vehicles - Development and operation of software updates"
    Denna standard täcker processer och krav för mjukvaruuppdateringar i fordon. Den är särskilt relevant med tanke på den ökande digitaliseringen och uppkopplingen av fordon.
  • ISO 24882: "Agricultural and forestry machinery and tractors - Cybersecurity engineering"
    Denna standard, som också är under utveckling, syftar till att specificera cybersäkerhetskrav för lantbruksmaskiner för att minimera säkerhetsrisker genom hela livscykeln.

Järnvägsindustrin

  • CLC/TS 50701: "Rail applications - Cybersecurity"
    Denna tekniska specifikation behandlar cybersäkerhet inom järnvägssektorn. Den ger vägledning för implementering av cybersäkerhetsåtgärder i järnvägssystem.
  • IEC 63452: "Rail applications - Cybersecurity"
    Denna standard under utveckling beskriver en enhetlig metod för att hantera cybersäkerhet i järnvägssystem genom att anpassa kraven från IEC 62443 till de specifika tillämpningarna och driftmiljöerna för järnvägar och integrera dem med RAMS livscyklerna från IEC 62278-serien.

Maskinteknik

  • EN 50742: "Protection against tampering"
    Denna standard under utveckling beskriver hur maskiner kan säkras mot avsiktlig och oavsiktlig manipulation i enlighet med Maskinförordningen.

Medicinsk teknologi

  • IEC 80001-5-1: "Application of risk management for IT-networks incorporating medical devices - Safety, effectiveness and data and system security when implementing and using connected medical devices or connected health software - Part 5-1: Product lifecycle activities"
    Denna standard ger vägledning för cybersäkerhet av nätverksanslutna medicinska enheter. Den stödjer vårdorganisationer i riskbedömning och riskmitigering.
  • IEC TR 60601-4-5: "Medical electrical equipment - Part 4-5: Guidance and justification - Security-related technical requirements for security"
    Denna tekniska rapport behandlar cybersäkerhet för medicinsk elektrisk utrustning och system och erbjuder tillverkare vägledning om att överväga cybersäkerhetsaspekter.

Hissar, rulltrappor och rullband

  • ISO 8102-20: "Electrical requirements for lifts, escalators and moving walks - Part 20: Cybersecurity"
    Denna standard behandlar cybersäkerhetskrav specifikt för hissar, rulltrappor och rullband. Den definierar åtgärder för att skydda mot cyberhot genom hela livscykeln - från utveckling genom drift till avveckling. Standarden orienterar sig mot befintliga principer från IEC 62443 men anpassar dem till specifikationerna för vertikal transportteknologi.

Internet of Things

  • ETSI EN 303 645: "CYBER - Cybersecurity for consumer Internet of Things: Baseline requirements"
    Denna europeiska standard definierar cybersäkerhetskrav för konsument IoT-enheter. Den syftar till att säkerställa en grundläggande säkerhetsnivå för dessa enheter.

Normer och standarder inom cybersäkerhet tjänar inte bara teknisk kvalitetssäkring utan är också nyckelpelare för effektiv företagsstyrning. De hjälper till att uppfylla regulatoriska krav, minska risker och stärka förtroendet för digitala produkter och tjänster. Internationellt samarbete inom standardisering och harmonisering på EU-nivå säkerställer att företag kan konkurrera på en globaliserad marknad utan att tappa siktet på säkerheten.

Normer och standarder är centrala verktyg för att hantera cybersäkerhetsrisker - förutsatt att de används målmedvetet och i sammanhang. Om du vill bestämma vilka standarder som är meningsfulla för din organisation och hur de stämmer överens med regulatoriska krav kan detta klargöras i en icke-bindande konsultation.