top of page
inutek logo colored.png

Artikel 2/9: 
Cybersikkerhed – i industrial IoT

Hvorfor NIS2, Data Act og CRA ikke er problemet (men en anledning)

“Vi vil gerne i gang med IoT… men der er jo NIS2… Data Act… CRA… og IEC 62443…”

Det er en sætning, vi hører oftere og oftere.

Og det er helt fair.

For når flere EU-regulativer og standarder rammer samtidig, kan det hurtigt føles som én stor compliance-barriere.

Men i praksis er det ofte en misforståelse.

Cybersecurity-in-IIoT.png

For de adresserer ikke det samme.... Og vigtigere endnu:

👉 De introducerer sjældent nye problemer
👉 De synliggør eksisterende problemer

Tre regulativer – med forskellige formål

En stor del af forvirringen opstår, fordi flere regulativer bliver blandet sammen.

Men de adresserer forskellige problemstillinger.

1. NIS2 – sikker drift

(Directive (EU) 2022/2555)
Fokus:

  • Risikostyring

  • Incident response

  • Driftssikkerhed

 

Relevant for: 👉 Hvordan jeres systemer drives og beskyttes

2. EU Data Act – dataejerskab og adgang

(Regulation (EU) 2023/2854)
Fokus:

  • Hvem ejer data

  • Hvem må få adgang

  • Deling mellem producenter og brugere

 

Relevant for: 👉 Hvordan maskindata bruges og deles

3. Cyber Resilience Act (CRA) – sikre produkter

(Under implementering frem mod december 2027)
Fokus:

  • Security-by-design

  • Sårbarhedshåndtering

  • Softwareopdateringer

 

Relevant for: 👉 IoT-enheder og software

IEC 62443 – hvordan man implementerer sikkerhed i praksis

IEC 62443 er en af de mest anvendte standarder inden for industriel cybersikkerhed.

Hvor regulativer som NIS2 og CRA beskriver hvad der forventes, beskriver IEC 62443 i højere grad hvordan sikkerhed kan implementeres i praksis.

Man kan sige:

👉 Regulering definerer målet
👉 Standarder hjælper med at nå det

IEC 62443 dækker hele livscyklussen

Det særlige ved IEC 62443 er, at den ikke kun fokuserer på ét område.

Den dækker både:

  • Udvikling

  • Produkter

  • Integration

  • Drift

1. IEC 62443-4-1 – Secure development lifecycle

Fokus på hvordan software og løsninger udvikles sikkert:

  • Processer

  • Code reviews

  • Sårbarhedshåndtering

  • Secure-by-design principper

2. IEC 62443-4-2 – Sikre komponenter og produkter

Krav til selve produkterne:

  • Adgangskontrol

  • Kryptering

  • Logging

  • Integritet

3. IEC 62443-3-3 – Sikker systemintegration

Fokus på:

  • Segmentering

  • Zoner og conduits

  • Arkitektur

  • Adskillelse mellem OT og IT

4. IEC 62443-2-4 – Drift og operationelle procedurer

Fokus på:

  • Adgangsstyring

  • Vedligehold

  • Backup

  • Incident response

  • Driftssikkerhed

Det vi typisk ser i praksis

Mange industrielle miljøer er allerede udfordrede:

  • Flade netværk uden segmentering

  • Direkte adgang til PLC’er

  • Begrænset logging

  • Manglende overblik over systemer

Ifølge ENISA (Threat Landscape for OT and IoT, 2023) er manglende netværkssegmentering og synlighed blandt de største risikofaktorer i OT-miljøer.

Det betyder:

👉 Risikoen er allerede til stede
👉 Den er bare ikke synlig eller dokumenteret

Dataopsamling ændrer risikobilledet

En vigtig – og ofte overset – faktor er arkitekturen.

I mange moderne IoT setups er dataflowet:

👉 Fra maskine → til cloud

 

Men ikke den anden vej.

Det betyder:

  • Cloud-systemer har ikke direkte kontrol over produktionen

  • Produktionsmiljøet er isoleret

  • Ingen direkte write-back til PLC’er

Hvad betyder det i praksis?

Når data kun flyder én vej reduceres angrebsfladen markant

Det ændrer også typen af risiko.

I stedet for:

  • Manipulation af produktion

  • Direkte driftsforstyrrelser

 

Ser vi i højere grad:

  • Fejl i datagrundlag

  • Forkerte analyser

  • Dårlige beslutninger baseret på data

 

Altså:

👉 Forretningsmæssig risiko – ikke driftskritisk OT-risiko

Øger IoT risikoen?

Det korte svar er: ikke nødvendigvis.

Når det implementeres korrekt, kan IoT faktisk:

  • Øge synligheden

  • Forbedre logging og sporbarhed

  • Indføre segmentering

  • Skabe bedre kontrol over adgang

 

Standarder som:

  • IEC 62443

  • ISO/IEC 27001

…understøtter netop disse principper.

Hvad virker i praksis?

På tværs af projekter ser vi især fire ting gøre en reel forskel.

1. Netværkssegmentering

Adskil OT og IT – og begræns adgang til kritiske systemer.

2. Krypteret kommunikation

Brug sikre forbindelser (TLS, VPN) mellem enheder og cloud.

3. Central logging og overvågning

Skab overblik over hændelser og adfærd.

4. Kontrolleret adgang

Undgå direkte adgang til PLC’er og produktionssystemer.

Hvor regulativerne faktisk hjælper

Selvom regulativerne kan virke komplekse, peger de alle i samme retning:

👉 Mere struktur
👉 Mere gennemsigtighed
👉 Mindre skjult risiko

 

For mange virksomheder betyder det:

  • Bedre dokumentation

  • Klarere ansvar

  • Mere robuste løsninger

Perspektiv

Mange af de bekymringer, vi møder omkring IoT og cybersecurity…

…stammer fra scenarier, hvor systemer har direkte kontrol over produktionen.

Det er ikke tilfældet i mange dataopsamlingsløsninger.

Og det er en vigtig forskel.

Afsluttende bemærkning

Cybersecurity er ikke en stopklods for IoT.

Det er en forudsætning for at gøre det rigtigt.

Og i mange tilfælde:

👉 En mulighed for at rydde op i noget, der længe har været lidt for uklart

Næste artikel

I næste del ser vi på en af de mest diskuterede (og ofte misforståede) ting:

👉 Hvor opstår værdien egentlig – på edge eller i cloud?

bottom of page