ISO 8102-20 ger branschspecifika cybersäkerhetskrav för hisssystem. En kompakt sammanfattning av kraven.
Omfattning
Standarden beskriver krav för cybersäkerhet under följande livscykelfaser för så kallade "Equipment under Control" (EUC):
- Utveckling (inklusive säkra utvecklingsprocesser)
- Tillverkning
- Installation
- Drift och underhåll
- Avveckling
Den gäller för ny EUC som kan anslutas till externa system som byggnadsnätverk eller molntjänster, men inte för befintliga installationer före standardens publiceringsdatum.
Standarden riktar sig främst till produktleverantörer och systemintegratörer, medan operatörens ("asset owner") ansvar stöds indirekt genom lämplig dokumentation och rekommendationer.
Struktur och innehåll
ISO 8102-20 definierar följande centrala aspekter:
Säker utvecklingslivscykel
Integrering av en säker utvecklingsprocess baserad på principerna i IEC 62443-4-1. Detta inkluderar riskanalys, hotmodellering och kontinuerlig förbättring av säkerhetsåtgärder.
Säkerhetskrav för produkter och system
Definition av säkerhetskontroller för grundläggande, säkerhetskritiska och larmfunktioner hos EUC. Säkerhetsmål som autentisering, dataintegritet och tillgänglighet prioriteras.
Verifiering och validering
Skyldighet att genomföra säkerhetstester som penetrationstester, sårbarhetscanningar och oberoende granskningar.
Säkerhetsincidenthantering
Processer för rapportering, bedömning och reparation av säkerhetsincidenter samt för snabb distribution av säkerhetsuppdateringar.
Informationsförmedling
Dokumentation för operatörer om rekommenderade säkerhetsåtgärder, konfigurationskrav och säker avfallshantering.
Kontext och relation till IEC 62443
ISO 8102-20 kompletterar IEC 62443 genom att definiera branschspecifika krav för EUC. Standarden hänvisar direkt till IEC 62443-4-1 (säker utvecklingsprocess) och IEC 62443-4-2 (tekniska säkerhetskrav). Den använder också säkerhetsnivåmodellen från IEC 62443-3-3 och ger specifika krav för larm-, säkerhets- och grundfunktioner.
En central skillnad ligger i tillämpningsfokus: medan IEC 62443 generellt riktar sig till industriella kommunikationsnätverk, adresserar ISO 8102-20 de specifika riskerna och kraven för hissar och rulltrappor, till exempel med avseende på deras anslutning till byggnadsnätverk och molntjänster.
Den nära anpassningen till IEC 62443 säkerställer hög kompatibilitet och gör det möjligt för tillverkare att utnyttja befintliga certifieringsprocesser.
Slutsats
ISO 8102-20 är ett värdefullt verktyg för tillverkare och integratörer för att systematiskt addressera cybersäkerheten för hissar, rulltrappor och rullande trottoarer. Dess orientering mot IEC 62443 säkerställer en konsekvent implementering av beprövade säkerhetsstandarder, medan dess branschspecifika krav hjälper till att underlätta överensstämmelse med nuvarande och framtida cyberregleringar.
ISO 8102-20 står inte ensam utan sitter vid sidan av andra krav som IEC 62443, maskinförordningen, CRA eller RED. Om du vill förtydliga vilken roll standarden spelar för dina produkter, utvecklingsprocesser eller godkännanden, kan detta arrangeras och struktureras i ett icke-bindande samtal.