Centrala ramverk och standarder för tillverkare

Att välja rätt efterlevnadsramverk handlar inte om att bocka av listor. Det handlar om att bygga ett försvar som faktiskt stämmer överens med hur tillverkning fungerar. Här är de ramverk som vi på Opsio rekommenderar som bas:

NIS2 – den nya verkligheten för svenska tillverkare

NIS2-direktivet har implementerats i svensk lagstiftning och berör direkt tillverkare inom sektorer som livsmedel, kemikalier, medicinteknisk utrustning och kritisk infrastruktur. Även tillverkare utanför de explicit listade sektorerna kan klassas som viktiga entiteter om de är del av en kritisk leveranskedja.

Konkret innebär NIS2:

• Ledningsansvar: Styrelsen bär personligt ansvar för riskhantering
• Incidentrapportering: Tidig varning till MSB inom 24 timmar, fullständig rapport inom 72 timmar
• Leveranskedjekontroll: Krav på att bedöma och hantera risker hos leverantörer – inklusive molntjänstleverantörer
• Sanktioner: Böter upp till 10 MEUR eller 2 % av global omsättning för väsentliga entiteter

Modellen för delat ansvar – och var tillverkare ofta misslyckas

Alla stora molnleverantörer (AWS, Azure, Google Cloud) bygger på modellen för delat ansvar. Principen är enkel. Verkligheten är det inte.

Vad molnleverantören ansvarar för

• Fysisk säkerhet i datacenter (exempelvis AWS eu-north-1 i Stockholm eller Azure Sweden Central)
• Hypervisor- och värdoperativsystemets säkerhet
• Nätverksinfrastrukturens skydd
• Grundläggande lagrings- och beräkningstjänsters tillgänglighet

Vad tillverkaren ansvarar för

• Dataklassificering och kryptering – vilken data som lagras var och med vilka nycklar
• Identitets- och åtkomsthantering (IAM) – vem och vad som får nå vilka resurser
• Patchning av gästoperativsystem och applikationer
• Nätverkskonfiguration – säkerhetsgrupper, NACLs, VPN-tunnlar till fabriksgolvet
• Applikationssäkerhet – inklusive API:er mellan MES, ERP och IIoT-plattformar
• Loggning, monitorering och incidentrespons

Verkligheten vi ser i Opsios SOC: Det vanligaste problemet är inte att tillverkare saknar verktyg. Det är att de underprioriterar sin del av ansvarsmodellen. Vi stöter regelbundet på miljöer med överprivilegierade IAM-roller, oklassificerad data i S3-buckets utan kryptering, och OT-gatewayer med standardlösenord exponerade mot internet.

Molnsäkerhet

Praktisk implementering: sju steg till efterlevnad

1. Kartlägg tillgångar och dataflöden

Börja med en fullständig inventering: vilka system, data och integrationer finns i molnet? Rita dataflödesdiagram som visar hur CAD-filer, produktionsorder och IIoT-telemetri rör sig mellan on-prem och moln.

2. Klassificera data efter känslighet

Inte all data kräver samma skyddsnivå. Produktionstelemetri i realtid har andra krav än patenterade recepturer. Skapa en klassificeringsmodell med minst tre nivåer: öppen, intern, konfidentiell.

3. Välj tillämpliga ramverk

Utgå från NIS2 och GDPR som bas. Lägg till IEC 62443 om OT-system är involverade (det är de nästan alltid i tillverkning). Använd ISO 27001 som ledningssystemsramverk och NIST CSF för riskbedömning.

4. Implementera tekniska kontroller

• Kryptering: AES-256 för data i vila, TLS 1.3 för data under transport
• IAM: Minsta-privilegium-principen, MFA överallt, regelbunden åtkomstgranskning
• Nätverkssegmentering: Separata VPC:er för OT-relaterade arbetsbelastningar, privata subnät för styrsystem
• Loggning: Centraliserad SIEM med bevarande i minst 12 månader (NIS2-krav)

5. Etablera kontinuerlig övervakning

Efterlevnad är inte ett engångsprojekt. Automatisera kontroller med verktyg som AWS Config, Azure Policy eller tredjepartslösningar. Opsios SOC/NOC i Karlstad kör kontinuerlig compliance-monitorering med larm som triggar direkt vid avvikelser.

Managerade molntjänster

6. Testa och validera

Penetrationstester minst årligen, med fokus på OT/IT-gränssnittet. Tabletop-övningar för incidentrespons kvartalsvis. Validera att backup-rutiner faktiskt fungerar – inte bara att de existerar.

7. Dokumentera och rapportera

NIS2 kräver dokumenterad riskhantering. ISO 27001 kräver ett levande ledningssystem. Bygg rapporteringsrutiner som styrelsen faktiskt läser – inte 200-sidiga PDF:er utan koncisa dashboards med riskstatus.

OT-specifika molnsäkerhetsutmaningar

Tillverkares OT-miljöer har egenskaper som IT-säkerhetsteam ofta underskattar:

• Långa livscykler: PLC:er och SCADA-system kan vara 15–20 år gamla och sakna stöd för modern kryptering
• Realtidskrav: Latens i millisekunder kan påverka processreglering – säkerhetsåtgärder får inte skapa flaskhalsar
• Proprietära protokoll: Modbus, OPC UA och PROFINET har begränsat inbyggt säkerhetsstöd
• Fysisk påverkan: Till skillnad från IT-intrång kan OT-kompromisser orsaka personskador och miljöutsläpp

Vår rekommendation: Använd en hybridarkitektur där tidskritisk styrning stannar on-prem, medan telemetri, prediktivt underhåll och analys körs i molnet. Koppla samman dessa via dedikerade anslutningar (AWS Direct Connect eller Azure ExpressRoute) med IEC 62443-anpassade säkerhetszoner.

Molnmigrering

FinOps och säkerhet: två sidor av samma mynt

Flexeras State of the Cloud har konsekvent visat att kostnadshantering är den största utmaningen för molnanvändare. För tillverkare finns det en direkt koppling mellan FinOps och säkerhet: okontrollerad molnspridning – oanvända instanser, föråldrade testmiljöer, glömda lagringsvolymer – skapar inte bara onödiga kostnader utan också en expanderad attackyta.

En praktisk princip: varje resurs som inte aktivt behövs ska avvecklas. Det minskar både månadsnotan och säkerhetsrisken.

Cloud FinOps

Hur Opsio stödjer tillverkare

Opsio driver SOC/NOC dygnet runt från Karlstad och Bangalore med specifik erfarenhet av tillverkningsmiljöer. Vårt erbjudande inkluderar:

• NIS2-gapanalys: Kartläggning av nuläge mot NIS2-krav med prioriterad åtgärdsplan
• IEC 62443-anpassad arkitektur: Design av säkerhetszoner och conduits för molnanslutna OT-system
• Kontinuerlig efterlevnadsmonitorering: Automatiserade kontroller mot ISO 27001, NIST CSF och GDPR
• Incidentrespons med OT-förståelse: Vårt SOC-team vet att "stäng av servern" inte är ett alternativ när det handlar om en aktiv produktionslinje

Managerad DevOps

Vanliga frågor

Vilka efterlevnadskrav gäller för svenska tillverkare i molnet?

NIS2-direktivet (implementerat i svensk lag), GDPR via Integritetsskyddsmyndigheten (IMY), ISO/IEC 27001 som branschstandard och IEC 62443 för industriella styrsystem. Beroende på exportmarknader kan även NIST CSF och SOC 2 Type II vara krav från kunder.

Vad innebär delat ansvar för en tillverkare som kör OT-system i molnet?

Molnleverantören ansvarar för fysisk infrastruktur, hypervisor och nätverkslager. Tillverkaren ansvarar för dataklassificering, åtkomstkontroll, patchning av gästoperativsystem, kryptering och applikationssäkerhet. Gränsdragningen varierar mellan IaaS, PaaS och SaaS – och det är avgörande att ha den dokumenterad.

Hur skyddar vi immateriella rättigheter (IP) i molnet?

Kryptera data i vila och under transport, använd strikt IAM med minsta-privilegium-principen, segmentera känsliga designfiler i separata VPC:er och aktivera loggning med SIEM-övervakning dygnet runt. Klassificera all data före migrering – det är den enskilt viktigaste åtgärden.

Är det säkert att köra IIoT och SCADA i publikt moln?

Ja, med rätt arkitektur. Använd privata subnät, VPN eller Direct Connect/ExpressRoute, nätverkssegmentering och IEC 62443-anpassade säkerhetszoner. Hybrida uppsättningar där tidskritisk styrning stannar on-prem och telemetri/analys körs i molnet är ofta bästa balansen.

Hur hjälper Opsio tillverkare med molnsäkerhet?

Opsios SOC/NOC i Karlstad och Bangalore övervakar tillverkares molnmiljöer dygnet runt. Vi erbjuder NIS2-gapanalys, IEC 62443-anpassad säkerhetsarkitektur, kontinuerlig efterlevnadsmonitorering och incidentrespons med SLA:er anpassade för OT-miljöer där driftstopp mäts i produktionsbortfall, inte bara nertid.