Cybersikkerhet:
I rute til cybersikkerhetens D-dag
Da de nye kravene til cybersikkerhet i radioutstyrsdirektivet trådte i kraft 1. august, var Zaptec klar for å levere godkjente produkter til markedet.
– Når vi skryter på oss verdens sikreste ladebokser, må vi gjøre en grundig prosess, sier IT-direktør i Zaptec, Henning Berland. Selskapet jobber tett sammen med Nemko og IT-sikkerhetsselskapet Ivolv Cybersecurity for å få på plass samsvar med nye sikkerhetsforskrifter, slik som NIS2 og det oppdaterte radioutstyrsdirektivet (RED).
NIS2 og RED
Virksomheten har gjennomført NIS2-prosjektet internt med arkitekturfokus og bistand fra Ivolv Cybersecurity. Berland forteller at hele virksomheten og utviklingsmiljøet nå er bygget rundt et zero trust-prinsipp. Mens NIS2 primært stiller krav til overordnede IKT-systemer og organisasjonens risikostyring, innebærer de nye sikkerhetskravene i RED-direktivet også spesifikke krav til fysiske produkter og digitale tjenester – noe som gir direkte krav til hvordan selskapet strukturerer og organiserer sin produktutvikling og leveranser.
Økende kompleksitet
– Vi har jobbet med cybersikkerhet gjennom mange år, og registrert en økende kompleksitet, sier Berland. Med Ivolv involvert, har vi gjennom behovsanalyser (eller såkalte gap analyser, red. anm.) kunnet forbedre produkter og prosesser. Det har vært en annerledes måte å jobbe på, men samtidig positivt å få ryddet opp, og få strukturert prosesser. Det har også ført til bedre kontroll på leverandørkjedene, forteller han.
Harmonisert standard
– Vi har vært klar over de kommende kravene lenge, og har jobbet fokusert med cybersikkerhet spesielt siste året, kommenterer teknisk utviklingssjef i Zaptec, Arne Harstad. Fra oktober i fjor ble det satt fart på prosjektet for å oppnå samsvar med de nye kravene i RED. – På den tiden var ikke standarden som skal brukes, EN 18031, harmonisert ennå. Det er en omfattende standard, der mye er nytt også for oss, sier Harstad, som forteller at man da valgte å trekke inn en samarbeidspartner (Nemko). EN 18031 ble harmonisert først 30. januar i år.
Fra IT til ting
– Ettersom vi lager fysiske produkter, får standarden direkte innvirkning på utviklingsarbeid og produksjonslinjer. Da er det viktig å begynne tidlig, understreker han. – Tidligere har cybersikkerhet gjerne vært sett på som en «IT-ting». Det har endret seg. Nå må vi implementere sikkerhetskravene i utviklingsprosessen – som en del av designet, supplerer Berland.
Forstå kravene
– I tillegg er det viktig å jobbe strukturert. Der hjalp Nemko oss veldig til å komme i gang, fremholder Harstad. Zaptec har riktig nok gjort et lignende arbeid tidligere for det britiske markedet, ettersom Storbritannia har en egen forskrift for elbilladere.
– Det er to ting som er meget viktig; Det ene er å forstå kravet, det andre er hvordan vi løser det, fremholder han. – Nå vet vi hvordan kravene ser ut, og så må vi sørge for å dokumentere at vi oppfyller dem. Deretter må vi få godkjenning fra en «notified body», eller akkreditert myndighet, sier Harstad.
Verifisert i felt
Mens Zaptec begynte å planlegge cybersikkerhetsprosjektet i oktober, kunne man allerede i februar begynne å implementere deler av løsningen, og da på den mest avanserte laderen – Zaptec Pro. – Det var viktig for å få til å verifisere funksjonaliteten i felt, understreker Harstad.
Produksjonslinjen
Som nevnt må en del ting implementeres i produksjonslinjen. Og det skal helst gjøres i god tid. – Faktisk gjorde vi grep allerede ett år i forveien, slik at det skulle være mulig å oppgradere produktene før leveranse til kundene, forteller han. Tidligere har man også erfart at produkter og prosesser har måttet endres noe, slik som oppdateringer av sensorer eller ICer. Et redesign i siste liten bør man helst unngå.
Tidlig ute
– Zaptec har vært tidlig ute, og forutsett – før markedet ellers – hvor viktig cybersikkerhet er, kommenterer daglig leder Jan Erik Søndeland i Ivolv. – Det som er viktig å finne ut når du jobber med dette, er å lage en oversikt over hva du kan, og hvor sårbarhetene dine ligger. For Zaptecs del har vi implementert flere tiltak, som vi av sikkerhetsmessige hensyn ikke kan si så mye om, forteller han. – Men vi har jobbet helhetlig, med en «zero trust»-tilnærming, legger han til.
Kundene undrer
Med økt oppmerksomhet rundt cybersikkerhet blir også flere nysgjerrige på dette: – I det siste har vi merket at våre kunder har fått nyss om nye direktiver, og lurer litt. Derfor har vi gjerne trukket dem inn i møter for å forklare hva vi har gjort, sammen med 3. part, sier Berland, som mener det har virket betryggende.
En god start
Mens Zaptec åpenbart har startet i rett tid, begynner det nok å brenne under føttene hos noen. Men det er ikke umulig å komme i mål i år, skal vi tro ekspertene. – Hvis man er vant med å jobbe etter kvalitetssystemer og rutiner for volumproduksjon, så hjelper det mye, sier Søndeland. – Man kan se på cybersikkerhet som en god måte å bygge hus på. Så lenge man tar seg tid å følge beste praksis prinsipper og anerkjente standarder, er man langt på vei til å bli en cybersikker virksomhet. Standarder er en god ting, de er her for å hjelpe oss, og i stor grad bygget på «common sense» fra et sikkerhetsfaglig perspektiv, sier han.
Viktig å følge med
– Det kan også være verdt å lese seg opp litt på kommende reguleringer, slik som Cyber Resilience Act, sier Berland. – Dersom vi hadde visst mer om RED for 5 år siden, hadde vi kanskje gjort enkelte ting annerledes, medgir han. – Samtidig har det vært godt å kunne knytte seg opp til en tredjepart som har jobbet med dette før, legger han til.
