NIS2 fylder mere og mere i virksomheder med OT-miljøer. Særligt inden for forsyning, produktion og industri mødes vi med det samme spørgsmål:
Er vores PLC’er, HMI’er og øvrige OT-enheder NIS2-compliant?
Det korte svar er nej.
Men det er mindst lige så vigtigt at forstå hvorfor.
NIS2 er ikke en produktstandard. Det er et lovkrav, der retter sig mod virksomheden og dens evne til at styre cybersikkerhedsrisici. Kravene handler blandt andet om risikostyring, hændelseshåndtering, forretningskontinuitet, leverandørstyring og ledelsens ansvar.
NIS2 er ikke et stempel på et produkt
En OT-enhed kan være mere eller mindre sikker. Den kan være udviklet efter gode sikkerhedsprincipper. Den kan være veldokumenteret. Men den kan ikke i sig selv være “NIS2-compliant”.
Det skyldes, at NIS2 ikke vurderer enkeltkomponenter isoleret. Direktivet vurderer, om virksomheden som helhed arbejder systematisk og dokumenteret med cybersikkerhed.
Det er derfor forkert at spørge:
“Er denne OT-enhed NIS2-compliant?”
Det rigtige spørgsmål er:
“Understøtter denne OT-enhed vores arbejde med at efterleve NIS2?”
Her bliver IEC 62443 relevant
Når I skal stille krav til OT-udstyr og OT-leverandører, er IEC 62443 et langt bedre sted at starte.
IEC 62443 er den førende standard for cybersikkerhed i industrielle automations- og kontrolsystemer. Den beskriver både krav til komponenter, systemer, serviceleverandører og sikker udvikling. Det gør den relevant, når NIS2 skal omsættes til praksis i OT-miljøer.
Det gælder blandt andet krav til:
- sikker udvikling af OT-produkter
- adgangsstyring og brugerrettigheder
- segmentering mellem zoner og netværk
- logning og overvågning
- patch- og sårbarhedshåndtering
- dokumentation og livscyklusstyring
- krav til leverandører og integratorer
Kort sagt:
NIS2 stiller krav til virksomheden. IEC 62443 hjælper jer med at stille de rigtige krav i OT-miljøet.
Hvorfor IT/OT-forskellen betyder noget
Det er også her, mange går galt i byen.
I klassisk IT er fokus ofte fortrolighed, hyppige opdateringer og standardiseret sikkerhedsdrift. I OT er virkeligheden en anden. Her vejer driftstabilitet, oppetid, sikkerhed i den fysiske proces og kompatibilitet med ældre systemer ofte tungere. Derfor kan man ikke kopiere IT-kontroller direkte over i produktionen og forvente, at de fungerer i praksis.
Det betyder også, at NIS2 i OT kræver mere end generelle sikkerhedspolitikker. Det kræver, at governance-krav bliver oversat til konkrete tekniske og operationelle krav, som passer til det miljø, I faktisk driver.
Fejlforståelser giver forkerte krav
Når virksomheder efterspørger “NIS2-compliant” OT-udstyr, risikerer de at stille uklare eller direkte forkerte krav.
Konsekvensen er ofte, at man:
- køber ind på et uklart grundlag
- overser væsentlige OT-risici
- får for lidt dokumentation fra leverandøren
- gør compliance dyrere og tungere end nødvendigt
Det giver ikke mere sikkerhed. Det giver bare mere usikkerhed i kravspecifikation, indkøb og dokumentation. Den danske SAMSIK-vejledning peger netop på standarder som IEC 62443 som relevant støtte til implementering af NIS2-foranstaltninger.
Det vigtige er ikke mærkaten, men dokumentationen
I stedet for at lede efter OT-udstyr med en “NIS2”-etiket bør I vurdere, om leverancen faktisk understøtter jeres compliance-arbejde.
Det kan for eksempel være dokumentation for:
- hvordan produktet er udviklet sikkert
- hvordan adgang styres
- hvordan sårbarheder håndteres
- hvordan opdateringer leveres
- hvordan netværkssegmentering og integration understøttes
- hvilke sikkerhedsfunktioner der findes på komponent- og systemniveau
Det er her, forskellen mellem marketing og reel sikkerhed bliver tydelig.
Lad os tage dialogen
Vi hjælper virksomheder med at omsætte krav fra NIS2, IEC 62443, ISO 27001 og andre rammeværk til praktiske processer, tydelig dokumentation og reel styring.
Med GapSolutions får I ikke bare hjælp til at forstå kravene. I får hjælp til at gøre dem anvendelige i praksis, også når virkeligheden er OT, leverandørstyring og komplekse driftsmiljøer.
Er I i tvivl om, hvilke krav I skal stille til OT-leverandører i relation til NIS2?
Så tag fat i os. Vi hjælper jer med at skille governance-krav fra produktkrav og omsætte dem til en løsning, der holder.
