Når Grundfos udvikler et nyt produkt, har udviklerne en tjekliste på 250 spørgsmål, som skal sikre produktionen og produktet mod cyberangreb i hele produktets levetid. Det gælder både produktets hardware, software og app. Spørgsmålene på produktudviklernes liste er en Maggieterning af en række internationale standarder baseret på produktets CIA, som står for confidentiality, integrity og availability – fortrolighed, integritet og tilgængelighed.

- Tjeklisten bruges både i idé- og udviklingsfasen. Produktet skal bestå et vist niveau, før det kommer i produktion. Vi forsøger at sikre produktet så høj cybersikkerhed som muligt ud fra både eksisterende og kommende standarder, siger Kristian Baasch Thomsen, der er Lead Digital Compliance Specialist hos Grundfos og arbejder med virksomhedens cybersikkerhed.

I øjeblikket arbejder EU på Cyber Resilience Act – en cyberrobusthedslovgivning, som indeholder en lang række minimumskrav til produkter med digitale elementer. Kravene kommer til at gælde både hardware og software, det vil sige alt fra trådløse højtalere og printere til apps og hosting af hjemmesider.

- Lovforslaget skal sikre, at producenter implementerer et minimum af sikkerhedsforanstaltninger i deres produkt på en ordentlig måde, så vi får en fælles lovgivning for alle produkter, der bliver solgt i EU. Alle skal leve op til de krav, hvis de vil sælge deres varer på det indre marked,” siger Jeppe Pilgaard Bjerre, der er specialist i FORCE-Technology, og som blandet andet arbejder med kvalitet og godkendelse af produkter herunder produktkrav.

Den nye lovgivning omfatter både produkter, som er produceret i EU, og importerede varer.

Normalt foretager fabrikanten en sikkerhedsvurdering og påfører produktet en CE-mærkning, når det kommer på markedet. I fremtiden vil fabrikanten også skulle foretage sikkerhedsvurderinger gennem hele produktets levetid. Desuden skal de håndtere sårbarheder i produktet.

Hvis der et sikkerhedshul, skal virksomheden kunne lave en opdatering og kommunikere det ud til deres kunder. Hvis sikkerhedsbristen er tilpas stor, skal den også indrapporteres til centrale myndigheder i forhold til en koordineret indsats for håndtering af sårbarhederne. Endelig skal producenterne også kunne dokumentere udviklingen og forholde sig til hele produktets livscyklus.

Standarder kan hjælpe

Selv om Cyber Resilience Act endnu ikke er blevet pensum i danske virksomheder, er Grundfos forberedt på fremtiden, og den standardiserede spørgeramme er et vigtigt værktøj i produktudviklingen.

- Spørgerammen gør, at vores udviklingsteams hele tiden debatterer og udfordrer hinanden i processen. Samtidig med vi hele tiden har fokus på CIA. Desuden har vi et forum, hvor vi deler vores erfaringer med cybersikkerhed, og har bootcamps, hvor eksterne foredragsholder udfordrer os, siger Kristian Baasch Thomsen fra Grundfos.

Ved at følge de nuværende standarder har virksomheden et godt udgangspunkt, når Cyber Resilience Act træder i kraft.

- Vi tager cybersikkerhed meget alvorligt og har derfor taget en lang række frivillige tiltag. Alt sammen for at sikre, at Grundfos hele tiden rykker produkternes- og den kritiske infrastrukturs sikkerhedsniveau. Vi forbereder os bedst muligt ved at stille en række krav til vores udviklingsproces og medarbejdere, men intet produkt kan være 100 procent sikkert, for vi er oppe imod den menneskelige hjerne, der søger at finde huller, påpeger Kristian Baasch Thomsen.