Sub incidența ”legislației NIS2” intră și organizațiile care folosesc echipamente/soluții pentru automatizarea activităților din domeniul lor de activitate.

Definiții:

• ICS = Sistem(e) de Control Industrial – Termen general pentru tipurile de sisteme de control care acționează împreună pentru a atinge un obiectiv industrial.

• IACS = Sistem(e) de Automatizare și Control Industrial – Colecție de personal, hardware, software și politici implicate în funcționarea procesului industrial și care pot afecta sau influența funcționarea sa sigură, securizată și fiabilă.

ISA 62443

Care sînt rolurile implicate în asigurarea securității cibernetice conform seriei de documente/standarde ISA 62443?

Prin rol se înțelege CINE este responsabil pentru îndeplinirea anumitor activități și este tras la răspundere pentru acest lucru. Un rol poate fi executat de o persoană fizică sau juridică sau de o subdiviziune a entității juridice, cum ar fi un departament.

O organizație poate îndeplini unul sau mai multe roluri. De exemplu, aceeași companie poate să fie responsabilă pentru funcționarea unui IACS, precum și pentru proiectarea, implementarea și validarea soluției. Alternativ, un rol poate fi îndeplinit de una sau mai multe organizații. De exemplu, activitățile de întreținere pot fi efectuate de organizații diferite.

Proprietarul activului – este responsabil pentru IACS, inclusiv pentru postura sa de securitate cibernetică și riscurile asociate pe tot parcursul ciclului de viață. Proprietarul activului definește, de asemenea, riscul rezidual acceptabil de securitate cibernetică ca o cerință de intrare pentru toate activitățile de-a lungul ciclului de viață al IACS. Deși rămâne responsabilă, organizația care îndeplinește acest rol poate delega responsabilități specifice și activitățile asociate unor organizații care îndeplinesc alte roluri. Proprietarul activului este, de asemenea, responsabil pentru funcționarea IACS. În multe cazuri, compania care operează IACS este, de asemenea, proprietarul legal și este responsabilă pentru IACS. În acest caz, rolul responsabil aparține managementului (NB: în OUG155 este explicit menționată responsabilitatea managementului pentru asigurarea securității), iar responsabilitatea pentru funcționare revine departamentului de producție al companiei.

Furnizorul de servicii de integrare pentru IACS este responsabil pentru proiectarea, implementarea,
punerea în funcțiune și validarea măsurilor sale de securitate. Activitățile acoperă dezvoltarea și validarea unei scheme de protecție a securității pentru IACS, care să corespundă riscului rezidual acceptabil. Acestea includ dezvoltarea de măsuri tehnice ale soluției de automatizare și linii directoare pentru măsurile organizaționale care trebuie implementate în timpul funcționării și întreținerii. În practică, de multe ori o organizație proiectează și implementează părți ale soluției de automatizare în timp ce o alta este responsabilă pentru punerea în funcțiune și validarea acesteia.

Furnizorul de servicii de mentenanță pentru IACS este responsabil pentru mentenanță. Activitățile de mentenanță trebuie efectuate conform unui program regulat de mentenanță programată sau atunci când este necesar din cauza modificărilor cerințelor operaționale sau a mediului de lucru. Aceasta include, de exemplu, efectuarea de actualizări de software. Acest rol are, de asemenea, responsabilitatea dezactivării pieselor sau a întregii soluții de automatizare. Măsurile pentru a acoperi riscul rezidual acceptabil în timpul dezafectării includ de obicei eliminarea activă a datelor sensibile.

Furnizorul de produse este responsabil pentru dezvoltarea și asistența pentru produsele utilizate în IACS.
Activitățile includ dezvoltarea și implementarea capabilităților de securitate. Furnizorul de produse este responsabil pentru furnizarea de ghiduri de integrare și consolidare și pentru stabilirea unui proces de management a incidentelor și de gestionare a vulnerabilităților aplicate produselor sale.

CONCLUZIE

• Proprietarii de active care operează sisteme de control au cerințe operaționale descrise în 62443-2-1
• Furnizorii de produse au cerințe pentru capacitățile de securitate ale produselor de sistem și componente descrise în 62443-3-3 și 62443-4-2 iar procesul ciclului de viață al dezvoltării produsului este descris în 62443-4-1.
• Integratorii de sistem au cerințe pentru dezvoltarea de soluții descrise în 62443-2-4 și 62443-3-2
• Soluția în sine are cerințe pe care toate părțile trebuie să le ia în considerare descrise în 62443-3-3.

Toate cerințele de mai sus se regăsesc și în NIST CSF2.0 sub diferite forme.