Vincent Dupart understreker det grunnleggende behovet for at miljøene rundt digitale systemer – for eksempel kontorer, datasentre og fabrikker – må sikres mot inntrengning. Den fysiske beskyttelsen er cybersikkerhetens første forsvarslinje, og dette synet deles av de siste års EU-regelverk, mener han.
Hybridangrep
Altfor lenge har cybersikkerhet blitt betraktet isolert, med fokus utelukkende på programvarebaserte angrep, ifølge Vincent Dupart.
– Men fysiske angrep er svært reelle og fungerer ofte som vektor eller forsterkning for cyberangrep – det vi i dag kaller hybride angrep.
Angrep mot telekom-anlegg
Han viser til hackergrupper som Killnet og Sandworm, som i økende grad kombinerer cyber- og fysiske innbrudd for å sabotere kritisk infrastruktur, særlig i regioner preget av krig eller geopolitiske spenninger.
– I 2023 ble for eksempel franske telekom-anlegg påført skade med vilje, noe som forstyrret tilkoblingen for sykehus og lokale myndigheter.
Fysiske innbrudd – en alvorlig cybertrussel
Den økonomiske konsekvensen av et fysisk innbrudd eller sabotasje kan beløpe seg til flere millioner euro, gjennom driftsstans, GDPR-sanksjoner eller tap av kundetillit. Nye studier viser at 60 prosent av organisasjonene opplevde minst ett fysisk sikkerhetsinnbrudd det siste året, med en gjennomsnittlig kostnad på 450 000 dollar for en liten eller mellomstor virksomhet.
– Fysisk sikkerhet er derfor ikke bare en regulatorisk forpliktelse, men et strategisk imperativ – grunnmuren cybersikkerheten hviler på. Den må ikke overses.
NIS2 for cybersikret kritisk infrastruktur
På denne bakgrunnen ønsker Vincent Dupart NIS2-direktivet velkommen, som nå implementeres i EU-landenes lovgivning. NIS2 har som mål å styrke cybersikkerheten innen 18 kritiske sektorer, inkludert offentlig forvaltning, helse- og omsorgstjenester, forskning, transport og bankvirksomhet.
Direktivet skiller mellom to kategorier:
- Vesentlige virksomheter – over 250 ansatte eller en årlig omsetning over 50 millioner euro.
- Viktige virksomheter – over 50 ansatte eller en årlig omsetning over 10 millioner euro.
CRA hever nivået
Det som markerer et reelt vendepunkt, er innføringen av eksplisitte krav til fysisk sikkerhet i etterlevelsespliktene, ifølge Vincent Dupart. Han understreker at vesentlige virksomheter nå må implementere adgangskontrollmekanismer, som videoovervåking, vektere og alarmer, samt streng håndtering av rettigheter og sporbarhet for både intern og ekstern adgangskontroll.
– CRA går enda lenger ved å kreve at produsenter av maskinvare og programvare integrerer fysisk sikkerhet allerede fra designstadiet og gjennom hele produktets livssyklus, sier han.
Fysisk sikkerhet er nå et regulatorisk krav
Denne utviklingen gjenspeiles i etterlevelsesrammeverk som brukes for Secnumcloud-sertifisering og for sektorspesifikke standarder (OIV, OSE), der beskyttelse av tekniske rom, serverrom og fysiske adgangspunkter vektlegges.
– Fysisk sikkerhet er nå et tydelig regulatorisk krav for alle vesentlige enheter, konstaterer han.
Mot en samlet sikkerhetsvisjon
Vincent Dupart uttrykker stor tilfredshet med at EU gjennom NIS2 og CRA igjen plasserer fysisk sikkerhet i sentrum av cybersikkerhet.
– Dette er en anerkjennelse av at beskyttelsen av våre adgangspunkter, infrastrukturer og miljøer er avgjørende for å styrke den digitale tilliten, sier han og avslutter:
– Ved å posisjonere fysisk sikkerhet som den første forsvarslinjen, baner Europa vei for et mer helhetlig, robust og pålitelig rammeverk for cybersikkerhet.
Global
