60 / 73
AMNYTT NR . 6 2023
Cybersikkerhet innen IT og OT gjennom kombinasjonen av ISO 27000 og IEC 62443 .
Cybersikkerhet innen IT og OT gjennom kombinasjonen av ISO 27000 og IEC 62443 . Et spesielt element i IEC 62443 er den omfattende tilnærmingen rundt security-by-design , som strekker seg fra kravene til driftsprosesser og til rammebetingelsene for systemene og produktene , og som beskriver både prosedyrerelaterte og tekniske krav og tiltak . « Defense-in-depth » -konseptet fungerer som det avgjørende sikkerhetskonseptet for standarden : ved å alternere flere sikkerhetstiltak etter hverandre , blir tilgangen vanskeligere for angripere . For å starte et angrep på nettverket må angriperen for eksempel først overvinne en eller flere brannmurer før han når frem til målkomponenten . Der må angriperen overvinne en brukerpålogging og blir deretter stanset av interne sikkerhetsmekanismer .
Oppvurdering av regelverk gjennom NIS 2 De oppførte cybersikkerhetstiltakene var tidligere bare lovpålagt for kritisk infrastruktur . I tillegg implementeres de hos store , for det meste internasjonalt aktive systemoperatører .
Med innføringen av NIS 2-direktiv fra EU endrer dette seg nå betraktelig . NIS 2-direktivet ( for nettverks- og informasjonssikkerhet ) foreskriver at operatører av offentlige eller private enheter må implementere egnet sikkerhetsverktøy for å beskytte systemene sine mot nettangrep . Sammenlignet med eksisterende NIS , utvider NIS 2 regelverket til selskaper som har flere enn 50 ansatte og over 10 millioner euro i salg . NIS 2 gjelder for « essensielle » og « viktige » fasiliteter i EU . IEC 62443 definerer krav til systemoperatører , systemintegratorer og komponentprodusenter . Begrepet « essensielle fasiliteter » inkluderer selskaper som opererer innenfor kritisk infrastruktur , som for eksempel produksjon av elektrisitet eller gass , lagring og overføring , transport på vann , vei og jernbane , drikkevann og avløpsanlegg samt digital infrastruktur . De « store fasilitetene » er valgt fra en liste med syv sektorer basert på deres kritiske nivå i forbindelse med forretningssektor og type tjeneste . Eksempler er blant annet produksjon og distribusjon av mat og kjemikalier og produksjon av