.png)
Dags för en ny utgåva av nyhetsbrevet kring OT-säkerhet! Den här gången funderar jag på vad man kan skydda, jag tittar på OT-innehållet i Sveriges nya cybersäkerhetsstrategi, MSB har tittat på OT-utmaningar, det har dykt upp nya prylar hemma i labbet, noterar att gruvor inte har säkerhetsutmaningar, funderar på var som är proportionerligt och så har jag två AI som diskuterar nyhetsbrevet.
Om det är första gången du läser ett av mina nyhetsbrev kanske du undrar vad det där "OT" är som jag pratar om? OT står för Operational Technology vilket är ett syskon till IT, Information Technology. Läs mer om det här i det här nyhetsbrevet!
Jag vill ge er ett stort tack för alla trevliga mejl jag får med frågor, förslag och uppmuntrande ord. Det här nyhetsbrevet är ju något som jag fortfarande tycker är väldigt roligt att skapa, vilket förstås är viktigt eftersom det till största delen skrivs hemma i TV-soffan. Som vanligt vill jag gärna att du delar med dig av nyhetsbrevet till kollegor som kan vara intresserade! Ju fler som läser, desto bättre möjligheter får jag att producera bra innehåll framöver! Om du vill ha nyhetsbrevet i inkorgen i fortsättningen är det bara att anmäla dig på www.ot-säkerhet.se eller dra ett mejl till mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!
Du hittar alla tidigare utgåvor av nyhetsbrevet på www.ot-säkerhet.se. När det kommer nytt material så annonserar jag det på en massa ställen: min Linkedin-profil, i dess egen LinkedIn grupp, i Facebook-gruppen Säkerhetsbubblan, på Mastodon, på Bluesky, på Twitter och på en egen Facebook-sida. Du kan också prenumerera via RSS på www.ot-säkerhet.se.
Ge mig gärna mothugg, frågor eller förslag på LinkedIn där den här utgåvan delades. Tänk på att du kan hjälpa mig, mer än du kanske tror, genom att trycka "like" på artikeln och genom att dela den vidare. Tack för hjälpen!
Nyhetsbrevet diskuteras i en ny "podd"
Jag provar nu att erbjuda ett nytt grepp för att ta till sig det här nyhetsbrevet. Nu kan du höra mina goda AI-vänner Aileen och Aiden diskutera det jag skrivit i deras podd. Jag är väldigt nyfiken på att höra dina åsikter om detta är något som är värt att producera även i fortsättningen? Är det ett bra komplement till nyhetsbrevet eller till och med bättre? Eller borde jag skapa något slags podd själv, en "riktig"?
Kommentera gärna det LinkedIn-inlägg där nyhetsbrevet annonserades eller hör av dig till mig på mats@ot-sakerhet.se.
Du kan inte skydda det som...
Den som pysslar med OT-säkerhet vet att det varit mycket fokus på asset management på senare år, alltså att man gärna skaffar verktyg som hjälper till att hitta de prylar som finns i våra anläggningar. Detta för att vi ska kunna hålla koll på vad det är, var de är, hur de sitter ihop, vilka sårbarheter de har och kanske hur de påverkar varandra.
Ett slagord som man brukar höra i det sammanhanget är någonting i stil med "You cannot protect what you don't know you have!". Det är förstås helt sant och definitivt något att tänka på. Baksidan av det resonemanget är att jag sett en lång rad organisationer skaffa fina (och dyra) verktyg som de sedan inte lyckas skapa något värde med. Man har kanske fått lite bättre kvalitet i sitt CMDB/inventarieregister, men nyttan för organisationen dyker liksom inte upp.
Det finns nämligen ett ännu viktigare slagord som de ofta missat: "You cannot protect what you do not understand!". Det finns dessutom två bra tolkningar av detta:
Vi behöver ha kompetensen att förstå utrustningen som vi hittat. Det är tyvärr lite för vanligt att någon stackars IT-person får detta i knät och har väldigt svårt att göra något meningsfullt med informationen på egen hand.
Man måste förstå produktionsprocessen där prylarna ingår. Det viktiga är inte att skydda prylarna i sig utan att se till att processen inte störs!
Som en variant på den andra punkten brukar jag slänga mig med ett annat slagord: "IT är ett stöd till verksamheten, men OT är verksamheten!" Jag menar inte alls att OT är viktigare än IT, utan istället att OT-säkerhet inte går att bedriva utan att ha förstått produktionsprocessen.
Det här är extra viktigt att ha med sig för alla som tar sig an NIS2. Det är lätt att man börjar skydda utrustning "blint", men det gäller att hålla kvar fokuset på att åtgärderna ska hantera de risker som organisationen och samhället utsätts för om produktionen inte fungerar som den ska! Annars blir det lätt att vi spenderar tid och pengar men får väldigt lite effekt...
En ny nationell strategi som pekar på OT-säkerhet!
Medias intresse för att vara på plats var lågt när Carl-Oskar Bohlin presenterade Sveriges nya cybersäkerhetsstrategi, men jag tror definitivt inte det ska ses som lågt intresse för frågan. Själv satt jag som klistrad framför direktsändningen med en påse chips i handen...
Efter en första snabb titt på strategin så verkar den riktigt lovande. Om inte annat så har nu det viktiga begreppet OT-säkerhet börjat dyka upp på allvar i dessa sammanhang! Man beskriver dessutom på ett mer handfast sätt än tidigare de faktiska mål som ska uppfyllas senast 2030.
Om du vill läsa strategin så finns den faktiskt i två versioner, en som är regeringens formella skrivelse och en som är "glättigare" för att bli mer tilltalande. Innehållet ska vara samma i övrigt.
En sida av strategin som har orsakat en del irritation och diskussion är att man lämnat begreppet "Informationssäkerhet" och istället följer i EUs fotspår genom att prata om "Cybersäkerhet". Den klassiska modellen har ju länge varit att allting handlar om att skydda information vilket gör IT-säkerhet, OT-säkerhet och Cybersäkerhet till underordnade delar av Informationssäkerhet. Det är en vettig modell när fokuset är just på information oberoende av hur den lagras och överförs. Men det är också en riktigt dålig modell i många sammanhang, och i synnerhet när man kommer till OT-säkerhet!
Personligen är jag väldigt positiv till att Cybersäkerhet används som paraplybegrepp, även om jag inser att det också har baksidor, kanske framförallt när vi pratar om säkerhetsskydd och annat där informationen ofta står i centrum. Om man däremot fokuserar på NIS2 så blir arbetet med NIS2 mycket tydligare i och med att orden har samma betydelse!
OT-säkerhet pekas det speciellt på i flera sammanhang:
Kompetens- och kunskapsbrist -- Något som jag definitivt kan skriva under på, det behövs mycket fler som verkligen förstår utmaningarna kring OT-säkerhet och inte bara ser det som IT-säkerhet i en fysisk pryl.
Digitaliseringen av kritisk samhällsinfrastruktur -- Man pekar på att förutsättningarna inom OT-säkerhet är väldigt speciella. Bra där!
Säkerhetsövervakning -- Detta är något som ska stimuleras med stort fokus på OT-system inom kritisk infrastruktur.
Proportionalitet -- Man trycker på att även OT-säkerhet behöver dimensioneras utifrån betydelsen för samhället och hotbilden mot den.
MSB ska vidareutveckla Cybersäkerhetskollen.
MSB ska ge stöd för arbete med OT-säkerhet inom samhällsviktiga verksamheter.
Vi får nog vänta ett par månader till innan vi ser ett färdigt lagförslag utifrån NIS2 men om det ligger i linje med den nationella cybersäkerhetsstrategin (vilket är väldigt rimligt) så tror jag det kan bli riktigt bra.
Vad är det som hindrar oss?
Att säkerhetsarbete har sina utmaningar är inte någon nyhet för någon; inte heller att OT-säkerhet har sina egna klurigheter.
För att reda ut hur det ligger till i OT-säkerhetsarbetet inom "samhällsviktiga verksamheter" så har vännerna på MSB gjort ett intervjuarbete och skrivit en rapport över resultatet.
Jag tror inte resultatet kommer förvåna någon som är i branschen men det är ändå bra att det sätts på pränt, det gör det enklare att börja ta tag i utmaningarna på riktigt!
Första steget mot en EU-standard för CRA!
Sarah Fluchs förklarar i en artikel hur den nya harmoniserade EU-standarden EN18031 hänger ihop med det utökade Radiodirektivet "RED", där cybersäkerhetskrav numera finns för alla produkter som innehåller någon form av radiosändare.
Det är förstås intressant i sig självt, men kanske i synnerhet som en försmak för vad som kan komma för CRA, Cyber Resilience Act och cybersäkerhetsdelarna i Maskinförordningen. Jag rekommenderar en genomläsning av Sarahs korta text.
Tyvärr verkar det som en del ganska grundläggande saker i CRA fortfarande inte är klarlagda. Jag tänker speciellt då på det viktiga begreppet "Produkt" som beroende på vem man frågar antingen betyder "en typ av produkt" eller "en enstaka individ". Det låter kanske lite akademiskt men det får stor effekt på när vissa krav börjar gälla för existerande produkt-typer!
Nytt (och gammalt) i labbet
I mitt kära OT-labb där hemma har många spännande prylar passerat förbi genom åren. Jag har ofta känt att det blivit lite för mycket fokus på infrastruktur och nätverk, det har varit massor av brandväggar, switchar och IPS:er, men alldeles för lite klassisk processutrustning.
Nu är det nya tider! Men inte helt nya grejor... En av de intressanta och utmanande delarna med arbetet som säkerhetsrådgivare inom OT-säkerhet är att man oftast behöver förhålla sig till gammal, men "väl beprövad", utrustning. Alltså borde hemmalabbet se ut på samma sätt!
Några av de allra senaste fynden ser du på bilden. En bättre begagnad Mitsubishi Melsec-PLC, remote I/O från Wago, en frekvensare från Allen Bradley, ett säkerhetsrelä från Pilz, lite Profibus-prylar och en flödes/tryck-mätare från ABB. Verkligen högt och lågt - stort som smått...
Tillsammans med Melsec-PLC:en fyndade jag dessutom en "tillverkningsprocess" i form av en äkta Fischertechnik "mini-fabrik" som normalt sett är löjligt dyr att köpa. Processen är inte så speciellt avancerad kanske, men fullt tillräcklig för att skapa realistiska scenarier. Se "hemmavideon" nedan....
Vissa av sakerna har jag fyndat begagnade, medan annat är presenter från läsare av nyhetsbrevet som haft prylar över. I det här fallet ville givarna vara anonyma, men ett stort tack får de här i alla fall! Det är förstås helt ovärderligt för mig att få fingrarna på mer utrustning! Rena julafton faktiskt! Det som jag har svårast att få tag på är mjukvaror och licenser, så där är jag extra tacksam - även för äldre versioner som någon har liggande i skrivbordslådan.
Det händer också att produktleverantörer lånar ut eller ger bort spännande prylar, vilket jag förstås uppskattar väldigt mycket eftersom det är modernare utrustning. De senaste veckorna har det dykt upp lite nya prylar som produkt-tillverkare lånat ut. Men jag har inte har bestämt mig om jag ska skriva om dem eller inte, så deras identitet får förbli en hemlighet tillsvidare... Det är för övrigt en av de tre principer som jag satte tidigt i nyhetsbrevets historia:
att jag bara skriver om produkter som jag verkligen gillar själv. (Ni får fundera själva över vad som inte dykt upp i nyhetsbrevet...)
att jag aldrig tar betalt av de företag som syns i nyhetsbrevet. Det är belöning nog att få klämma på rolig teknik.
att jag verkligen ska ha utvärderat produkterna själv, att skriva om något som jag bara sett en demonstration av blir för tunt!
Det fortsätter vara min starka ambition att behålla en fot i den praktiska teknik-världen, vilket också ska synas i nyhetsbrevet. Dels för att det är otroligt roligt, men jag märker att det ger mig mycket bättre trovärdighet - både på "golvet" och i "styrelserummet".
Dale inledde årets S4 på ett välbalanserat sätt!
Jag deltog inte själv på årets S4-konferens, men det verkar som vanligt ha varit en utmärkt tillställning. De första inspelningarna har börjat dyka upp på YouTube och bland dem Dales egen keynote-dragning. Jag nöjer mig med att notera att han pekar på ett antal av mina egna käpphästar, resten får du höra direkt från honom själv:
Kom ihåg att vi alltid har begränsade resurser för säkerhetsåtgärder. Se till att prioritera på ett klokt sätt!
Att hitta viktiga saker att prioritera upp är enkelt. Det utmanande är att prioritera ner viktiga saker till förmån för de mest effektiva åtgärderna.
Att avgöra vad som är mest effektivt är i det närmaste en konstart man kan komma i mitt skrå. Att utifrån erfarenhet, kunskap och mod välja bort bra åtgärder är inte enkelt och det kommer aldrig finnas ett facit! Att bocka av åtgärder i IEC 62443 eller ISO 27002 är definitivt inte svaret!
Jag hoppas fler tar till sig at Dales kloka ord! Han sätter verkligen fingret på det som jag oftast känner är mitt viktigaste bidrag som inhyrd rådgivare, att hitta de starkaste korten att spela bland andra starka kort!
I övrigt börjar årets presentationer nu dyka upp i S4:s YouTube-kanal. En riktigt intressant är NVIDIAs satsning på säkerhet genom Bluefield och Morpheus, något som kan bli extra stort inom OT. Skulle jag sätta en peng på något som kommer förändra säkerhetslösningar i grunden så är det detta. Jag tror dessutom det kommer ”synka” bra med vårt tänk eftersom säkerhetsdelarna är separerade från de producerande applikationerna. Förvisso en löjligt ”säljig” presentation men ändå värd att se för att förstå hur brutalt nya möjligheter vi står inför.
Bli min kollega!
Jag behöver en rådgivarkollega! ...eller två! ...eller tre! Nu bygger vi på Sectra vidare på Sveriges starkaste OT-SOC med bred kompetens och fler tjänster kring OT-säkerhet!
Ett Sverige utan bakdörrar!
Jag uppmärksammade nyligen i ett inlägg på LinkedIn att Clavister har en fantastisk deklaration som man exempelvis kan läsa i deras manualer:
Det här ligger ju verkligen i tiden på flera sätt. Dels för att säkerhetsläget i världen förändras snabbt nu och dels för att exempelvis NIS2 kommer tvinga oss att ta våra leverantörers säkerhetsarbete på mycket större allvar. Ett enkelt sätt att hantera delar av det problemet är förstås att undvika uppenbara risker med utländska komponenter och tjänster som lyder under andra länders underrättelselagar...
Inlägget fick massor av reaktioner och ganska snabbt så räckte även Xertified upp handen. Nu går vi och väntar på ytterligare produktleverantörer som vill ställa sig bakom det här löftet, oavsett om de är svenska eller inte!
Lite på samma tema har flera läsare hört av sig och berättar att deras verksamheter ser över hur de kan minska riskerna som beroendet av utländska leverantörer skapar oavsett om de har backdörrar eller inte.
Det där är en spännande och svår utmaning att reda ut. Jag har gått och funderat i flera år på att göra "en grej" kring helsvenska produkter med anknytning till OT-världen. Om du representerar en tydligt svensk producent så får du gärna höra av dig och bolla lite tankar kring det här...
Reaktioner på förra nyhetsbrevet
Efter förra nyhetsbrevet så handlade de flesta kommentarer och frågor om min text kring utdelade "böter" kopplat till det nuvarande NIS-direktivet. Jag är fortfarande förvånad över varför de tillsynsmyndigheter som utdelar sanktionsavgifter gör det så diskret och då också missar en chans att "motivera" andra organisationer i samma bransch?
Mina två låtar väckte också en del uppmärksamhet, så för att underlätta för dig som vill spela dem i olika sammanhang så finns de nu på Spotify! Det känns som den poppiga NIS2 har bäst chanser att bli en hit även om jag personligen gillar den något hårdare "OT-säkerhet dot se" bättre...
Nu finns jag i en podd-spelare nära dig!
Jag och Johan Guste gästade ett avsnitt av podden "Cyber Chats & Chill" som den fantastiska duon Margarita Sallinen och Linda Nieminen driver. Det blev ett kul samtal om högt och lågt inom OT-säkerhet - allt från Stuxnet till relationsrådgivning.
Jag tycker verkligen Margarita och Linda lyckas väldigt väl med det som de satsat på - att föra ut insikter om vad cybersäkerhets-arbete innebär brett till en publik som annars inte har chansen att förstå vad vi egentligen sysslar med i den här branschen.
Du hittar vårt avsnitt tillsammans med alla deras andra fantastiska episoder. Sprid det väldigt gärna till kollegor, familj och vänner som behöver höra varför OT-säkerhet är roligt och viktigt att arbeta med.
Återkoppla gärna dina tankar om vad vi pratade om! Missade vi något viktigt? Hade vi fel?
EU talar ur skägget!
EUs cybersäkerhetsmyndighet ENISA har publicerat sin första NIS360-rapport där man bedömer hur mogna och hur kritiska olika sektorer i samhället är. Alltsammans synas förstås ur ett NIS2-perspektiv. De har fokuserat på ”Väsentliga” verksamheter, den högre graden i direktivet. Det är lite synd att man inte tog med ”Viktiga” verksamheter också, men det kanske kommer i framtida versioner.
Ingen blir nog förvånad över att El, Telekom och Bank pekas ut som de mognaste även om jag av personlig erfarenhet nog måste säga att just El är "spretig" - det är långt mellan de mest amatörmässiga och de duktigaste! Generellt måste man ju tyvärr konstatera att de flesta OT-dominerade sektorerna ligger på den undre halvan av mognadsskalan och att jag dessutom har precis samma syn på det som ENISA...
Den som sticker ut mest i mina ögon (även om jag håller med om bedömningen) är "ICT Service Management", alltså MSP och MSSP - dvs tjänsteföretag inom drift och säkerhetstjänster inom IT och OT. De ligger extremt högt i kriticitet och bara halvvägs upp på mognadsskalan. Problemet med det är ju förstås att de "drar med sig sina kunder i fallet", vilket kan slå hårt och brett mot samhället.
Mycket glädjande så talar man numera ur skägget mer kring hur viktigt OT-säkerhet är i det här sammanhanget. NIS2 fokuserar helt på robust produktion av tjänster och produkter som samhället är beroende av, så god OT-säkerhet är helt centralt för de allra flesta områden. Man lyfter dessutom specifikt OT lite extra ibland annat sjöfarten, dricksvatten, fjärrvärme, el, järnväg som är bra exempel på att den fysiska delen av produktionen helt står och faller med god OT-säkerhet.
Generellt måste jag säga att deras resultat motsvarar min egen magkänsla för var vi har de stora utmaningarna i samhället. Det är lite lugnande att det syns en tydlig koppling mellan hur kritisk en verksamhet är och hur mogen den är. Nu tittar rapporten på EU som helhet, vissa saker hade jag definitivt ändrat ur ett strikt svenskt perspektiv; exempelvis är fjärrvärme väldigt viktigt för stora delar av landet och jag tycker nog dricksvatten förtjänar att ligga lite högre på viktighets-skalan. Vi vet också erfarenhetsmässigt att det är en väldigt stor spridning i mognaden inom vissa sektorer, personligen skulle jag peka på dricksvatten, fjärrvärme och fartyg som viktiga exempel på det.
Skit händer!
Den alltid kloke Sinclair Koelemij skrev ett inlägg på LinkedIn nyligen som satte ord på en diskussion som jag haft ganska ofta på sistone. Den där insikten om att vi inte kan satsa alla våra resurser på att förebygga dåliga saker. Skiten kommer träffa fläkten i alla fall och om vi då blir det jobbigt och vi inte förberett oss på att upptäcka händelsen snabbt, kunna hantera situationen och återgå till rimlig produktion inom rimlig tid.
För den som gillar NIST CSF så handlar det ju förstås om att inte lägga alla sina ägg i korgen "Protect" utan att ha några kvar för "Detect", "Respond" och "Recover".
Men Sinclair nöjer sig inte där... Nyligen kom han med en riktigt bra artikel på LinkedIn som tittar på begränsningarna med det populära (och viktiga) begreppet "Secure by design", och hur det kan vara en klurig tankefälla om man har en produktions-process med någon form av Safety-utmaningar. En riktigt viktig text att läsa för många som har sin bakgrund i IT-världen, där den här dimensionen inte existerar.
Gruvor har inga cyberrisker! Eller?
I en uppmärksammad års-rapport från EY har cybersäkerhet halkat ut från topp-10-listan över risker i gruvindustrin. Det här kan man tycka vad man vill om men det är en bra illustration över att företagsledningar har många typer av risker att hantera och att det inte är säkert (!) att cybersäkerhet (och därmed OT-säkerhet) ska vara högsta prioritet för dem! Samtidigt finns det en poäng i att cybersäkerhet inte hanteras separat eftersom den ofta ingår som en delkomponent i andra, större riskmassor.
Skippa projekten!
I en artikel beskriver Allan Kelly hur Madrid lyckades bygga ut sin tunnelbana utan att det blev jättedyrt. Poängen verkar, enkelt uttryckt, att man bedrev arbetet i den ordinarie organisationen och på så sätt optimerade för fokus på resultat och undvek baksidorna med projekt. Min tanke gick direkt till ett antal välkända IT-projekt som valsat runt i media på sistone efter att ha kört i diket. Tankarna gick också åt att vi kanske kan tänka likadant kring en del implementationsprojekt för OT-säkerhet så att inte projektet hamnar vid sidan av verksamheten?
Kommer du ihåg Y2k?
Ja, det var många som var nervösa inför årsskiftet mellan 1999 och 2000 trots att otroligt många system uppdaterats för att klara datum-omställningen. Efteråt har jag förstått att många uppfattade det hela som något av ett antiklimax eftersom så lite gick snett. Det är förstås en rimlig reaktion om man inte haft insyn i den enorma mängd system som åtgärdades och som annars hade fått problem om man inte hanterat situationen i tid.
Nu är det snart dags igen... Den 19:e januari 2038 närmare bestämt! Då kommer alla system som använder 32-bitars tid på Unix-manér.
Det kan tyckas vara lång tid kvar men i synnerhet i OT-världen så är ju lång livslängd på utrustningen ett viktigt krav. Utrustning som vi installerar idag kan mycket väl vara i drift 2038... Och det är väldigt mycket utrustning som berörs. Wikipedia-sidan om detta förklarar bakgrunden bra.
Mer batterier!
I förra nyhetsbrevet skrev jag en del om säkerhet i batterisystem. Jag följer upp med ett riktigt intressant papper kring modellering och simulering av cyberattacker mot just batterisystem. Det är skrivet av Frans Öhrström, Joakim Oscarsson, Zeeshan Afzal, János Dani och Mikael Asplund. Det är extra roligt med tanke på att Frans, Joakim och János alla är kollegor till mig på Sectra.
De har tittat på hur olika typer av kreativ manipulation av dessa system kan ställa till oreda för elnätet. Aktuellt och intressant ämne!
Vad är proportionerligt?
Jag hade nyligen en intressant diskussion om kopplingen mellan CCE ("Consequence-driven, Cyber-informed Engineering") och NIS2-direktivet, speciellt ur perspektivet om det finns några fällor med att se CCE som en del av åtgärderna för att möta NIS2? En av mina favoritdelar i NIS2 är att man trycker så hårt på att man ska basera säkerhetsåtgärder på riskbedömningar utifrån både hur den egna verksamheten kan drabbas av någon form av störning, men också hur samhället kan drabbas indirekt om den egna verksamheten drabbas av störningar.
Eftersom bedömningarna ska vara utifrån de egna unika förutsättningarna så är det svårt att säga något generellt som gäller alla. Men något som jag tycker många stirrar sig blinda på i sina riskanalyser är störningar i produktionen, alltså situationer där "produktionen kommer igång igen när cyberincidenten är löst". Det man lätt missar är de riktigt allvarliga händelserna som kan skapas i vissa verksamheter om man som angripare verkligen "går in för det".
Jag tänker exempelvis på:
Sönderkörd utrustning. Stora generatorer, motorer eller transformatorer kan ha leveranstider på flera år om de behöver ersättas.
Explosioner, brand, utsläpp och annat som tar människoliv ögonblickligen.
Miljöpåverkan genom giftiga utsläpp som får stor miljöpåverkan.
Det som dessa exempel har gemensamt är att konsekvenserna i sig inte är "cyber. I inget av exemplen har man tagit en backup som man kan läsa tillbaka transformatorn, kollegan Bengt eller abborrarna ifrån...
Det är ju precis här som CCE har sitt fokus. Att säkerställa att den fysiska processen är utformad på ett sätt som gör att den skyddar sig själv, i bästa fall utan att skyddet innehåller något "Cyber" som går att påverka av en illasinnad angripare. För mig är det ett uppenbart sätt att bygga bort de där konsekvenserna som får de allra mest långdragna konsekvenserna, vilket rimligen är viktigt för samhället om man omfattas av NIS2.
Det som ska blir intressant att se är hur den här typen av resonemang hanteras av tillsynsmyndigheterna när de skriver sina sektorspecifika föreskrifter och hur de följer upp åtgärderna under tillsyn. Jag hoppas att det här landar väl, så att vi kan använda det här kraftfulla verktyget på bästa sätt.
Det dröjer nog ett tag till...
Om du inte riktigt hänger med i svängarna så kan du ha missat det senaste kring när vi kan förvänta oss svensk lagstiftning kopplat till NIS2-direktivet?
Som jag skrev i nyhetsbrev #65 så har EU besviket konstaterat att Sverige och en massa andra länder helt missat den deadline för NIS2 som gick ut i oktober. Ett brev skickades ut till alla eftersläntrare för att förstå vad som händer och varför.
Nu har vi sett Sveriges officiella svar och där säger man helt enkelt att arbetet med lagstiftningen och den nationella cybersäkerhetsstrategin pågår. Strategin har vi precis fått, men lagstiftningen är tänkt att beslutas under våren med skitet på en implementation framåt årsskiftet 2025/2026.
ECSO har för övrigt en tracker som enligt uppgift uppdateras månadsvis där man kan se hur implementeringen av NIS2 kryper framåt:
Ny strategi för ENISA
EUs cybersäkerhetsmyndighet ENISA har firat 20-årsjubileum och har då tagit fram en ny strategi och plan för arbetet fram till 2027. Väl värda att läsa. Om du inte orkar ta dig igenom den ganska mastiga planen så bad jag Googles mäktiga AI-hjärna ta fram en avslappnad summering, det kanske blev lite väl relaxat?
Hallå där! Tjohej från ENISA:s värld! 🎉 Nu rullar vi in i 2025-2027 med ett sprillans nytt treårigt programdokument! Det är fullproppat med spännande saker för att göra EU ännu säkrare online. Vi snackar inte bara om att hänga med i svängen, utan om att ta ledningen när det gäller cybersäkerhet!
En stor grej är att vi nu verkligen dyker ner i nya EU-direktiv som NIS2, Cyber Resilience Act (CRA), och Cyber Solidarity Act (CSoA) – det kommer att bli mycket att göra! Vi satsar stenhårt på att boosta allas cybersäkerhetskunskaper genom initiativ som Cybersecurity Skills Academy – heja kompetens!
Ett annat hett ämne är att stärka vårt samarbete och vår gemensamma lägesbild så att vi kan agera snabbt om något händer. Och hör på detta – vi jobbar på en EU-gemensam cybersäkerhetsreserv för att kunna rycka in vid kriser. Dessutom bygger vi coola verktyg som en CRA-rapportplattform och en EU-databas för sårbarheter.
Vi på ENISA tittar också inåt och vill bli en ännu bättre arbetsplats med fokus på hållbarhet och grym service. Kort sagt, det är full fart framåt för ett ännu tryggare digitalt Europa!
Vem är Mats?
Jag är till vardags konsult och säkerhetsrådgivare kring OT på Sectra. Det här nyhetsbrevet ger jag ut helt privat baserat på mitt intresse för området och utifrån att det verkar matcha ett behov av information kring OT-säkerhet på svenska.
Innan jag blev konsult för några år sedan spenderade jag det mesta av mitt arbetsliv inom kärnkraftsbranschen. Det är härifrån som jag har fått mitt intresse för OT-säkerhet, fysiskt skydd, human performance och säkerhetsskydd.
Jag har ett grundmurat intresse för alla former av säkerhetsfrågor och kanske i synnerhet när det knyter samman kul teknik med utmanande frågor runt hur vi människor hanterar tekniken. På senare år är det nästan uteslutande OT-säkerhet och till viss del säkerhetsskydd som jag arbetat med. Båda två år områden där det är väldigt viktigt att hantera tekniska och mänskliga utmaningar tillsammans.
Jag är alltid väldigt tacksam för alla former av kontakt eller återkoppling från dig som läser detta. Det är intresset från mina läsare som gör det roligt och meningsfullt att hålla liv i nyhetsbrevet. Hör gärna av dig till mats@ot-sakerhet.se !
Det här nyhetsbrevet vänder sig till personer som är intresserade av säkerhet inom OT. Det produceras av Mats Karlsson Landré och får spridas vidare fritt.
Tanken är att det ska innehålla tips om intressanta resurser kombinerat med mina egna tankar om aktuella händelser. Återkoppla gärna med egna idéer eller funderingar till mats@ot-sakerhet.se! Förslag till ämnen eller innehåll tas förstås emot med tacksamhet!
Om du önskar få nyhetsbrevet direkt till din inkorg i fortsättningen kan du gärna kontakta mig på mats@ot-sakerhet.se. Jag lovar att din mejladress inte används till något annat än detta!
Du hittar tidigare nyhetsbrev på ot-säkerhet.se.