Snart lag på att certifiera cybersäkerheten
– På Etteplan är vi sedan länge mycket måna om att kunna tillgodose våra kunders krav på säker utveckling av inbyggda system och programvaror. Men om bara några år kommer säkra utvecklingsprocesser också att vara ett lagstadgat krav på marknaden. De flesta av våra kunder kommer att påverkas av de nya reglerna för cybersäkerhet och behovet av att utveckla nya produkter och förbättra existerande produkter för att uppnå en högre teknisk säkerhetsnivå ökar, säger Antti Tolvanen, försäljningsdirektör för Mjukvara och inbyggda system på Etteplan.
CertX är Etteplans partner inom utbildning och ackrediterad certifiering av processer och produkter. Tack vare partnerskapet har Etteplan kunnat påbörja implementeringen i god tid innan förordningarna träder i kraft. Det gäller både säkra produktutvecklingsprocesser enligt IEC 62443-4-1 och tekniska säkerhetskrav enligt IEC 62443-4-2 för utveckling av inbyggda system och komponenter.
Etteplan har som mål att bli certifierade enligt IEC 62443-4-1 i slutet av 2021. Det första steget har varit att utbilda ett stort antal mjukvaru- och hårdvaruutvecklare i Finland, Sverige och Polen om IEC 62443-4-seriens standarder.
Utbildningen har getts i regi av CertX som är specialiserat på funktionell säkerhet och cybersäkerhet.
– Att utveckla en cybersäkerhetskultur på olika nivåer i en verksamhet är viktigt för att visa att man har ett säkerhetstänk i alla aspekter och faser av produktutvecklingen - security-by-design och defense-in-depth. Utöver säker teknik och robusta processer förutsätts även skolning och kunnande, konstaterar Kilian Marty, ansvarig för cybersäkerhetscertifieringar på CertX.
– Hittills har operativ teknologi, OT inte varit lika moget när det gäller cybersäkerhet som informationsteknik, IT. Cybersäkerhet har hittills varit något som betraktats som en nice-to-have men vi går nu mot en mer reglerad framtid. Inom exempelvis fordonsindustrin kommer säkerhetskraven att bli obligatoriska 2022–2024 och i telekombranschen måste leverantörer kunna påvisa att de har säkra processer, säger Jens Henkner, vd på CertX.