Björn Karlsson betonar att RCO Security har 50 års erfarenhet av att utveckla moderna passersystem och heltäckande säkerhetslösningar som skapar trygghet och kontroll för bolagets kunder.

Kan du kortfattat beskriva er syn på cybersäkerhet?

– För RCO Security är cybersäkerhet inte en funktion – det är en del av företagets DNA. Med ledorden proaktivitet, förtroende och teknik i framkant bygger vi säkra och robusta lösningar som möter framtidens krav på trygghet och tillgänglighet.

Hur ser ni på cybersäkerhet som en del av ert erbjudande – är det något som är inbyggt i hela utvecklingsprocessen?

– Cybersäkerhet är inbyggt i hela utvecklingsprocessen – från kravhantering till färdig produkt och funktion. Varje steg granskas med säkerhetsfokus, och vi arbetar ständigt med att förbättra metoder och processer i takt med att hotbilden förändras. Säkerhet är inte en funktion som läggs till i efterhand – det är en kvalitet som genomsyrar allt företaget gör.

Hur arbetar ni praktiskt med principen “security by design” när ni utvecklar era passer- och säkerhetssystem?

– Principen “security by design” genomsyrar utvecklingsarbetet. Säkerhetskrav definieras redan i specifikationsfasen, och utvecklingsteamen arbetar med hotmodellering, kodgranskning och automatiserade tester för att upptäcka sårbarheter tidigt. Strikta rutiner för åtkomstkontroll och versionshantering gör att produkterna är säkra redan innan de når marknaden – och fortsätter vara det genom hela livscykeln. Vi bygger våra lösningar med flera oberoende säkerhetslager – från kodnivå till systemarkitektur – med målet att det ska vara praktiskt omöjligt att skriva eller distribuera osäker kod.

Vilka typer av cybersäkerhetshot anser ni vara mest relevanta för era produkter och era kunder i dag?

– De mest aktuella hoten rör intrång via nätverksanslutna system, attacker mot serverplattformar och social engineering. Eftersom våra lösningar används i säkerhetskritiska miljöer arbetar vi särskilt med att förhindra obehörig åtkomst, dataförlust och manipulation av loggar.

Hur har GDPR påverkat ert sätt att utveckla system som hanterar persondata, exempelvis loggar över vem som passerar var och när?

– GDPR har stärkt vårt arbete med integritet och dataskydd. Systemen kan konfigureras för lokal logghantering, åtkomstkontroll och tidsbegränsad lagring. Dataskydd ses inte som ett juridiskt krav – utan som en del av kundens trygghet och en viktig del av relationen mellan användare och leverantör.

NIS2-direktivet ställer höga krav på cybersäkerhet och rapportering för leverantörer av kritisk infrastruktur. Hur kan RCO hjälpa kunder att möta dessa krav, och hur ser ni på er roll i ekosystemet?

– Vi ser oss som en strategisk partner till våra kunder när det gäller att uppfylla kraven i NIS2. Våra system är byggda med spårbarhet, säker kommunikation och robust identitetshantering som grund. Vi tillhandahåller också verktyg och dokumentation som hjälper kunderna att rapportera och hantera säkerhetsincidenter. Vår roll är att bidra till ett säkert ekosystem där både teknik och processer samverkar för att skapa motståndskraft.

CER-direktivet (Critical Entities Resilience) betonar robusthet i samhällskritiska system. Hur arbetar ni för att säkerställa att era lösningar fungerar även vid större samhällsstörningar?

– Våra lösningar är utvecklade för att fungera även vid nätverksavbrott eller driftstörningar. Genom ett fokus på autonoma funktioner ligger RCO i framkant när det gäller säker och tillförlitlig access- och larmhantering. Exempel på sådana funktioner är passer- och larmfunktioner som bokning, antipassback och sluss, där all logik körs lokalt i systemen. Det innebär att verksamheten fortsätter fungera fullt ut även om servermiljön eller nätverket tillfälligt skulle vara otillgängligt – en avgörande aspekt för hög säkerhet och driftsäkerhet.

Och vid krissituationer?

– För att säkerställa tillförlitlig drift även i krissituationer genomförs noggrann testning i realistiska scenarier. Kombinationen av säker kommunikation, autonom logik och grundlig verifiering garanterar att våra system fungerar när det behövs som mest.

Cyber Resilience Act (CRA) ställer nya krav på tillverkare av direkt eller indirekt anslutna enheter. Hur kommer det att påverka marknaden och hur rustat är ni för de nya kraven?

– Vi välkomnar de nya kraven i Cyber Resilience Act. Vi har länge arbetat enligt principer som nu formaliseras i lagen: säker mjukvaruutveckling, sårbarhetshantering och ansvar efter leverans. För oss är CRA ett naturligt steg i en säkerhetsresa som pågått länge. Vi vill ligga i framkant – inte bara följa regelverket.

Kan du ge något exempel?

– På Sectech 2025 visades UC-500, den nya undercentralen för R-CARD 5000-systemet. Produkten är resultatet av flera års utveckling och erbjuder en modern arkitektur med förbättrad säkerhet i både hårdvara och kommunikation. UC-500 fungerar som en säkerhetsförstärkande brygga i befintliga installationer och öppnar dörren mot framtidens plattformar – med fokus på cybersäkerhet, flexibilitet och framtidssäkring.

Utbildar ni installatörer och återförsäljare i cybersäkerhetsfrågor, och i så fall hur? Hur säkerställer ni att kedjan från utveckling till installation hos kund inte blir en svag länk?

– Kunskap är en viktig del av säkerhetsarbetet. Vi erbjuder både digitala och fysiska utbildningar där cybersäkerhet är en integrerad del. Installatörer, återförsäljare och konsulter utbildas i säkra rutiner, credentials-hantering och hur man undviker vanliga misstag. Syftet är att lyfta förståelsen av säkerhet där cybersäkerhet är en del av arbetet.

Har ni etablerade processer för hur ni hanterar och kommunicerar säkerhetsincidenter som kan påverka era produkter hos kunderna?

– Att skydda information är en självklar del av RCO Securitys uppdrag. Nu tar vi nästa steg i vårt systematiska säkerhetsarbete genom att certifiera oss enligt den internationella standarden ISO 27001 – ett bevis på att vi hanterar information på ett säkert, strukturerat och långsiktigt sätt. Vid en händelse agerar företaget snabbt, strukturerat och transparent – från identifiering till åtgärd. Kommunikation med berörda kunder sker alltid transparent och med fokus på att minimera påverkan och återställa normal drift så snabbt som möjligt.

Vilka är de största cybersäkerhetsutmaningarna ni ser för branschen de kommande fem åren, och hur förbereder ni er för att möta dem?

– Cybersäkerhetslandskapet förändras snabbt. Antalet uppkopplade enheter växer, hoten blir mer sofistikerade – och användarvänligheten måste finnas kvar. Vi satsar därför på kompetensutveckling, automatisering av säkerhetstester och nära samarbete med branschorganisationer och myndigheter.