Producerar din organisation maskiner, livsmedel, mediciner, datorer, verktyg, fordon, fjärrvärme eller biogas? Sysslar ni med avfallshantering, avloppsrening eller posthantering? Är du kanske leverantör till sådana verksamheter? Då vill du läsa vidare!
Det finns ett EU-direktiv som heter NIS-direktivet som ställer krav på säkerhet i nätverk och informationssystem. Reglerna omfattar leverantörer av samhällsviktiga tjänster verksamma i både privat och offentlig sektor. Där tidningen Automations läsare har berörts har det mest handlat om krav på informationssäkerhet och incidentrapportering. Den verksamhet som identifierat sig som en leverantör av en samhällsviktig tjänst ska anmäla det till berörd tillsynsmyndighet. Anmälningsskyldigheten är ett lagkrav och beskrivs närmare av Myndigheten för Samhällsskydd och Beredskap. I Sverige har sex myndigheter tillsynsansvar kopplat till NIS-regleringen. Strax före jul lade EU-kommissionen fram ett förslag till ett uppdaterat NIS-direktiv, kallat NIS2.
Min personliga reaktion är att innehållet är en naturlig, men rejäl utökning av det nuvarande direktivet med tydligare möjligheter att straffa den som inte uppfyller kraven. Tydliga fokusområden är ledningens ansvar, säkerheten hos underleverantörer och en effektiv hantering av säkerhetsincidenter. Mindre organisationer kan komma undan kraven men myndigheter kan ändå peka ut en liten organisation som bedöms vara samhällsviktig. Ett område som många med mig tidigare saknade som viktig var till exempel fjärrvärme. Det finns med nu! Ett annat är biogasproduktion från kompost eller lantbruksavfall. Men det största tillägget är tillverkningsindustrier inom fordon, kemikalier, datorer, maskiner, verktyg med flera. Sophantering, livsmedelsproduktion, avloppshantering och läkemedelstillverkning pekas också ut.
Jag är säkerhetsrådgivare inom OT, ”Operational Technology”. Det liknar IT-säkerhet men istället för att skydda information så är målet att skydda fysiska verksamheter som industriell automation, kemisk industri, kraftproduktion med mera. Personligen sätter jag stort hopp till att NIS2 kan få fler organisationer att arbeta med den här typen av underskattade risker.
Missförstånd mellan ”IT” och ”OT” som historiskt lett till osämja, är stort. IT har i all välmening försökt lösa säkerhetsproblem i produktionen. Automationsingenjören får en standard-PC som uppdateras varje månad och som begränsar vad användaren får göra. Att skydda mot utsläpp, explosioner eller att personalen skadas kommer alltid kräva ett annat angreppssätt än skydd mot industrispionage. De senaste två åren har dock IT och OT fått ett gemensamt hot att tackla, nämligen ransomware, utpressnings- eller gisslanprogram och virus vars syfte är just utpressning (ofta genom att ta filer som gisslan via kryptering). Det slår lika hårt mot båda världarna. Framöver kommer kidnappningar även omfatta produktionsfunktioner.
Mats Karlsson Landré
