ISO 8102-20 tillhandahåller branschspecifika cybersäkerhetskrav för hisssystem. Alla krav sammanfattas kompakt.
Omfattning
Standarden specificerar cybersäkerhetskrav för följande livscykelfaser av så kallade "Equipment under Control" (EUC):
- Utveckling (inklusive säkra utvecklingsprocesser)
- Tillverkning
- Installation
- Drift och underhåll
- Avveckling
Den gäller för nya EUC som kan anslutas till externa system som byggnadsnätverk eller molntjänster, men inte för befintliga installationer som föregick publiceringen av standarden.
Standarden riktar sig primärt till produktleverantörer och systemintegratörer, medan operatörens ("tillgångsägaren") ansvar stöds indirekt genom lämplig dokumentation och rekommendationer.
Struktur och innehåll
ISO 8102-20 definierar följande centrala aspekter:
Säker utvecklingslivscykel
Integration av en säker utvecklingsprocess enligt principerna för IEC 62443-4-1. Detta inkluderar riskanalys, hotmodellering och kontinuerlig förbättring av säkerhetsåtgärder.
Säkerhetskrav för produkter och system
Definition av säkerhetskontroller för väsentliga, säkerhetsrelaterade och larmfunktioner hos EUC. Säkerhetsmål som autentisering, dataintegritet och tillgänglighet prioriteras.
Verifiering och validering
Skyldighet att utföra säkerhetstester som penetrationstester, sårbarhetsskanningar och oberoende bedömningar.
Hantering av säkerhetsincidenter
Processer för rapportering, bedömning och mildring av säkerhetsincidenter såväl som för snabb distribution av säkerhetsuppdateringar.
Tillhandahållande av information
Dokumentation för operatörer om rekommenderade säkerhetsåtgärder, konfigurationskrav och säker avyttring.
Förhållande till IEC 62443
ISO 8102-20 kompletterar IEC 62443 genom att definiera branschspecifika krav för EUC. Standarden hänvisar direkt till IEC 62443-4-1 (säker utvecklingsprocess) och IEC 62443-4-2 (tekniska säkerhetskrav). Den använder också säkerhetsnivåmodellen för IEC 62443-3-3 och tillhandahåller specifika krav för larm-, säkerhets- och väsentliga funktioner.
En viktig skillnad ligger i tillämpningsfokus: medan IEC 62443 riktar sig mot industriella kommunikationsnätverk generellt, adresserar ISO 8102-20 de specifika riskerna och kraven för hissar och rulltrappor, till exempel angående deras anslutning till byggnadsnätverk och molntjänster.
Den nära anpassningen till IEC 62443 säkerställer hög kompatibilitet och gör det möjligt för tillverkare att utnyttja befintliga certifieringsprocesser.
Slutsats
ISO 8102-20 är ett värdefullt verktyg för tillverkare och integratörer att systematiskt adressera cybersäkerheten för hissar, rulltrappor och rullband. Dess anpassning till IEC 62443 säkerställer en konsekvent implementering av beprövade säkerhetsstandarder, medan dess branschspecifika krav hjälper till att underlätta efterlevnad av aktuella och framtida cyberregleringar.