Datacenter · NIS2 Bilaga I · CRA · OT-säkerhet

NIS2-compliance och OT-säkerhet
för datacenter och serverrum

Datacenteroperatörer är Bilaga I i NIS2 — väsentliga entiteter med den strängaste tillsynsregimen. Kraft, kyla och fastighetsstyrning är er blinda fläck. Mimir365 täcker OT-attackytan som IT-säkerheten inte når.

NIS2 Bilaga I CRA ISO/IEC 27001 EN 50600 TIER III PUE/EED
Boka demo → Se priser
Funktioner

Vad Mimir365 gör för er

OT/IoT-inventering

Automatisk kartläggning av UPS, PDU, CRAC/CRAH, BMS och passerkontroll med firmware-status och CVE-exponering. NIS2 Artikel 21 uppfyllt från dag ett.

Kraft- och kylövervakning

OT-nätverkslogg för UPS/PDU och CRAC/CRAH. Anomalidetektion på set-point-ändringar — termiska attacker identifieras i realtid innan haveriet inträffar.

BMS-segmentering och -loggning

OT-probe på BACnet/Modbus-segmentet loggar alla kommandon mot Siemens/Schneider BMS. Korrelation mot IT-SIEM och fysisk tillträdeslogg.

Leverantörsåtkomst-kontroll

Automatisk loggning av fjärråtkomst från Schneider, Vertiv, Stulz m.fl. Tidsbegränsad åtkomst via nätverkspolicyer. NIS2 art. 21.2(d) uppfyllt.

Firmware CVE-hantering

Kontinuerlig kartläggning av OT-firmware mot CVE-databaser. Automatisk advisory-varning när ny sårbarhet publiceras för er specifika utrustningsprofil.

72h-incidentprocess

OT-nätverkslogg med 12 månaders retention korreleras mot IT-SIEM. MSB-rapportmall med rekonstruerad OT-tidslinje genereras automatiskt vid säkerhetshändelse.

Användningsfall

Hur ni använder det

  • Co-location-operatör — NIS2 Bilaga I — OT-inventering, BMS-segmentering och 72h-incidentprocess mot PTS
  • Enterprise datacenter — OT-attackyta täckt — kraft, kyla och BMS loggade och segmenterade
  • Molntjänstleverantör / MSP — leverantörskedjans NIS2-dokumentation — kunder kan granska er efterlevnad
  • Edge-datacenter — OT-logg utan konstant WAN — offline-kapabel med synkronisering vid återanslutning
  • Kommunalt serverrum — ISO/IEC 27001 + NIS2 — OT-inventering och revision-redo dokumentation
Prata med en expert →
mimir guard · live
// Mimir Guard — aktiv
Ansluten till anläggningens sensornätverk
Compliance-profil: NIS2 Bilaga I laddad
1 avvikelse identifierad
 
Eskalerar till åtgärdsplan...
Mimir Guard · Mimir Ops · Mimir Scan · online
NIS2 · CRA · Regulatorisk analys

Datacenter är i kärnan av NIS2
Bilaga I, Väsentlig entitet

Datacenteroperatörer är explicit listade i NIS2 Bilaga I under "Digital infrastruktur" — den strängaste tillsynsregimen. Det innebär proaktiv granskning av PTS, personligt ledningsansvar och sanktioner upp till 10 MEUR utan storlekströskel.

NIS2 Bilaga I · Väsentlig entitet
Datacenteroperatörer

Co-location, hyperscale och enterprise-DC som tillhandahåller tjänster till kritiska sektorer. Explicit listade i NIS2 Annex I — ingen storlekströskel. Tillsynsmyndighet: PTS.

Ex-ante tillsyn — proaktiva revisioner av PTS
Böter upp till 10 MEUR eller 2 % av omsättning
Ledningen personligen ansvarig och straffsanktionerad
NIS2 Bilaga I · Väsentlig entitet
Molntjänst- och MSP-leverantörer

IaaS/PaaS/SaaS-operatörer och managed service providers som hanterar kritisk infrastruktur. Era kunder granskar er NIS2-efterlevnad via leverantörskedjekrav.

Supply chain-krav: kunder kräver NIS2-dokumentation
Er incident påverkar kunders 72h-rapporteringsplikt
Avtalskrav: NIS2-efterlevnad kan krävas i SLA
NIS2 Bilaga II · Viktig entitet
Privata serverrum & edge-DC

Egna serverrum och edge-datacenter i verksamheter som faller under Bilaga I/II. NIS2-ansvar följer moderorganisationens klassning — OT-skyldigheten kvarstår.

Storlekströskel: ≥50 anst. / ≥10 MEUR omsättning
Samma tekniska krav som Bilaga I-entiteter
Böter upp till 7 MEUR eller 1,4 % av omsättning
NIS2 Artikel 21 — datacenter-specifik tolkning

IT-säkerheten är täckt.
OT-attackytan är det inte.

Datacenter har etablerade IT-säkerhetsprocesser — brandväggar, SIEM, SOC. Det NIS2 Artikel 21 lägger till är kravet att fysisk infrastruktur — kraft (UPS/PDU), kyla (CRAC/CRAH), fastighetsstyrning (BMS) och passerkontroll — ska ingå i riskhanteringsprocessen med samma krav som IT-systemen.

OT-inventering
UPS, PDU, CRAC/CRAH, BMS, passerkontroll — alla kartlagda med firmware-version
Leverantörsåtkomst
Schneider, Vertiv, Stulz fjärrsupport — loggad, avtalad och tidsbegränsad
Nätverkssegmentering
OT-nät (kraft/kyla/BMS) separerat från IT-nät och kund-VLAN
72h-incidentprocess
OT-logg möjliggör rekonstruktion av händelsekedja för MSB-rapport
Firmware-hantering
UPS/PDU/CRAC-firmware patchad — CVE-exponering kontinuerligt övervakad
Ledningsansvar
Styrelsen formellt godkänner och ansvarar för riskhanteringsplanen
Cyber Resilience Act · EU 2024/2847

CRA gör all ny DC-utrustning
till en juridisk skyldighet

Från augusti 2027 måste all nätverksansluten utrustning som köps till datacenter bära ett CRA-certifikat. Nätverksutrustning (Klass II) och BMS-kontroller (IACS) kräver obligatorisk tredjepartscertifiering.

⚠ Det omedelbara problemet

Befintlig utrustning täcks inte av CRA retroaktivt — men NIS2 kräver ändå att ni hanterar riskerna. En UPS med firmware från 2018 och kända CVE:er är ett NIS2-problem idag. Ni behöver täcka båda — befintlig OT under NIS2, ny utrustning under CRA.

Leverantörsansvar: CRA ålägger tillverkarna att leverera säkerhetsuppdateringar under hela produktlivslängden. Som operatör måste ni installera patchar inom rimlig tid — annars bär ni NIS2-ansvaret för den exponerade risken.

CRA-klassning av datacenter-OT
Default
PDU, miljöövervaknings-sensorer, temperaturloggare och enskilda IoT-enheter
Självdeklaration
Klass I
UPS med nätverkshantering (SNMP/webb), passerkontroll-servrar och KVM-switchar
Tredjepartsgranskning
Klass II
Core switches, routrar, brandväggar (Cisco, Arista, Palo Alto, Fortinet)
Obligatorisk EU-certifiering
IACS-komp.
BMS-kontroller (Siemens Desigo, Schneider EcoStruxure), brandlarm-PLC
EU-certifiering — strängaste klass
OT/IoT-attackyta

Sju OT-system som kan stänga ner
hela datacenteranläggningen

Moderna datacenter har välskyddad IT — men ett parallellt OT-nät av kraft-, kyl- och fastighetssystem utan cybersäkerhetskontroll. En riktad attack mot OT kan orsaka fullständigt driftstopp på 15 minuter.

Strömförsörjning (UPS/PDU/ATS)

APC, Eaton, Vertiv UPS med SNMP v1/v2 — okrypterade community-strängar "public/private". En komprometterad UPS-controller = fjärrstyrd strömavstängning för hela rack-rader med ett API-anrop.

❄️
Kylsystem (CRAC/CRAH/Chiller)

Emerson/Vertiv, Stulz, Schneider kylenheter med webgränssnitt och Modbus-styrning. Höjd set-point med 8–10°C leder till termisk haveri vid fullt rack-last inom 15–45 minuter.

🏗️
BMS / SCADA

Siemens Desigo, Schneider EcoStruxure, Johnson Controls Metasys. BACnet/IP och Modbus TCP — typiskt utan autentisering. Kontrollerar kyla, tillträde och brandskydd.

🔐
Passerkontroll och CCTV

Lenel, Software House, HID, Axis, Hikvision. Access-servrar på EOL Windows. CCTV-kameror med defaultlösenord. Kompromiss = obevakat fysiskt tillträde till all hårdvara.

🖧
Out-of-band management

IPMI/BMC på servrar, konsol-servrar (Opengear, Lantronix), KVM-switchar (Raritan). Management-VLAN är ofta bro mellan OT-segmentet och servermiljön.

🔥
Brandskydd och suppression

FM-200/Novec gaslösningssystem, sprinklerventiler, brandlarmspaneler. Obehörigt utlöst suppression orsakar IT-haveri, egendomsskada och personrisk.

🌡️
Miljöövervakning (IoT)

Temperatur, luftfukt, vattenläcka, CO₂, rörelse. IoT-sensorer med direktuppkoppling mot leverantörens moln via MQTT — utan DC-operatörens insyn eller kontroll.

Termisk attack — det snabbaste sättet att ta ner ett datacenter

En angripare med åtkomst till ett CRAC/CRAH-system höjer set-point-temperaturen med 8–10°C. Vid full serverbelastning stiger temperaturen i drabbade rack från 22°C till över 40°C på 15–45 minuter. Servrar börjar throttla, sedan stänga av. Utan OT-nätverkslogg kan operatören inte avgöra om det är tekniskt fel eller attack — och saknar underlag för NIS2:s obligatoriska 72h-rapport till MSB/PTS.

Mimir365 · Compliance Intelligence

Sex gap NIS2 blottar
och hur Mimir365 täcker dem

UPS och PDU utan cybersäkerhet

APC/Vertiv UPS-system kör SNMP v1/v2 med okrypterade community-strängar och webgränssnitt med defaultlösenord. En komprometterad UPS = fjärrstyrd strömavstängning för hela rack-rader.

Mimir365

Mimir365 inventerar alla UPS/PDU-enheter, identifierar CVE-exponering och flaggar SNMP v1/v2. OT-nätverkssegmentering isolerar kraft-VLAN från IT-nät och kund-VLAN.

❄️
BMS är okartlagd attackyta

Siemens/Schneider BMS kör BACnet/IP och Modbus TCP utan autentisering. BMS kontrollerar kyla, tillträde och brandskydd — tre system som vid kompromiss orsakar totalt driftstopp.

Mimir365

OT-probe på BMS-segmentet loggar alla BACnet/Modbus-kommandon. Anomalidetektion larmar vid set-point-ändringar utanför parametrar. Händelselogg korreleras mot IT-SIEM.

🔌
Leverantörsåtkomst okontrollerad

Schneider Electric, Vertiv och Stulz har permanenta VPN-tunnlar för fjärrövervakning. Dessa är inte loggade, inte tidsbegränsade och aldrig reviderade. NIS2 art. 21.2(d) kräver kontroll.

Mimir365

Automatisk loggning av all OT-nätverkstrafik per leverantör och enhet. Åtkomst kan tidsbegränsas via nätverkspolicyer. Leverantörsrevisionsrapport genereras löpande.

🔧
Firmware-desert i kraft och kyla

UPS- och CRAC-firmware är typiskt 3–7 år bakom aktuell version. CVE:er i Schneider APC, Vertiv Liebert och Stulz-system är publikt dokumenterade men aldrig patchade i fält.

Mimir365

Mimir365 kartlägger firmware-versioner mot CVE-databaser och prioriterar patchning. Automatisk varning när ny firmware-advisory publiceras för er specifika utrustningsprofil.

🔐
Fysisk säkerhet är cybersäkerhet

Access-servrar kör Windows Server 2012–2016 med EOL support. CCTV-kameror (Hikvision, Axis) med standardlösenord. Kompromiss i passerkontroll = obevakat fysiskt tillträde till all hårdvara.

Mimir365

Mimir365 inkluderar passerkontroll och CCTV i OT-inventeringen. Flaggar EOL-OS och defaultlösenord. Loggkorrelation: fysisk tillträdeshändelse mot IT-säkerhetslogg.

📋
Ingen OT-incidentlogg

NIS2 kräver 72h-rapport med rekonstruerad händelsekedja. Datacenter har IT-SIEM men noll OT-logg. Vid termisk attack, UPS-manipulation eller BMS-intrång saknas underlag för MSB-rapport.

Mimir365

Kontinuerlig OT-nätverkslogg med 12 månaders retention. Korrelation mot IT-SIEM och fysisk tillträdeslogg. MSB-rapportmall med rekonstruerad OT-tidslinje genereras automatiskt.

📄
Gratis guide · PDF
NIS2 och CRA — compliance-guide för datacenter
24-sidig PDF — OT-attackyta, CRA-klassning och de 6 NIS2-gapen
Mer info →

Redo att täcka OT-attackytan
i er datacenteranläggning?

Boka en kostnadsfri demo och se hur Mimir365 eliminerar manuellt revisionsarbete i er verksamhet.

Boka demo → Se priser