Etteplan och det schweiziska ackrediterade certifieringsorganet CertX AG har ingått partnerskap i syfte att certifiera Etteplans säkra produktutvecklingsprocess, i synnerhet för inbyggda system och operativ teknologi (OT).
Med anledning av kommande globala och regionala föreskrifter för cybersäkerhet, särskilt inom EU, men även i USA och Kina, är det en fördel att ha certifierade utvecklingsprocesser.
Tack vare partnerskapet har Etteplan kunnat påbörja implementeringen av säkra produktutvecklingsprocesser enligt IEC 62443-4-1, samt tekniska säkerhetskrav enligt IEC 62443-4-2, för utveckling av inbyggda system och komponenter – i god tid innan förordningarna träder i kraft. CertX är Etteplans partner inom utbildning och ackrediterad certifiering av processer och produkter.
– På Etteplan är vi sedan länge mycket måna om att kunna tillgodose våra kunders krav på säker utveckling av inbyggda system och programvaror. Men om bara några år kommer säkra utvecklingsprocesser också att vara ett lagstadgat krav på marknaden. De flesta av våra kunder kommer att påverkas av de nya reglerna för cybersäkerhet och behovet av att utveckla nya produkter och förbättra existerande produkter för att uppnå en högre teknisk säkerhetsnivå ökar, säger Antti Tolvanen, försäljningsdirektör, Mjukvara och Inbyggda System, Etteplan.
Nya direktiv och certifieringar
I EU:s nya cybersäkerhetsdirektiv ingår NIS2-förslaget, ett certifieringssystem enligt cybersäkerhetslagen och RED-direktivet. I USA kommer cybersäkerhetslagen ”IoT Cybersecurity Improvement Act” att reglera vilka IoT-produkter federala myndigheter har tillåtelse att köpa.
En del av dessa föreskrifter kommer sannolikt att bli obligatoriska från och med 2023, i synnerhet för utrustning och mjukvara som används i kritisk infrastruktur.
Övergripande regler gällande säkerheten av uppkopplade produkter som säljs inom EU antas bli obligatoriska i slutet av 2020-talet. IEC 62443-4-standarden är ett gemensamt säkerhetsregelverk – ursprungligen framtaget för industriell automation – som snart kommer att bli obligatoriskt i vissa branscher.
Etteplan har som mål att bli certifierade enligt IEC 62443-4-1 i slutet av 2021. Det första steget har varit att utbilda ett stort antal mjukvaru- och hårdvaruutvecklare i Finland, Sverige och Polen om IEC 62443-4-seriens standarder.
Utbildningen har getts i regi av CertX AG. CertX är ett schweiziskt ackrediterat organ som är specialiserat på funktionell säkerhet och cybersäkerhet, och erbjuder certifieringar som är erkända över hela världen.
– Att utveckla en cybersäkerhetskultur på olika nivåer i en verksamhet är viktigt för att visa att man har ett säkerhetstänk i alla aspekter och faser av produktutvecklingen (security-by-design och defense-in-depth). Utöver säker teknik och robusta processer förutsätts även skolning och kunnande, konstaterar Kilian Marty, ansvarig för cybersäkerhetscertifieringar på CertX AG.
– Hittills har operativ teknologi (OT) inte varit lika moget när det gäller cybersäkerhet som informationsteknik, IT. Cybersäkerhet har hittills varit något som betraktats som en ”nice-to-have” men vi går nu mot en mer reglerad framtid. Inom exempelvis fordonsindustrin kommer säkerhetskraven att bli obligatoriska 2022–2024 och i telekombranschen måste leverantörer kunna påvisa att de har säkra processer, säger Jens Henkner, vd på CertX AG.
