Laboratorium · NIS2 · ISO 17025 · CRA

NIS2-compliance och kalibrering
för ackrediterade laboratorier

Laboratoriers OT-system — analytiska instrument, cleanroom-BMS och miljöövervakningens IoT — faller direkt under NIS2. Mimir365 inventerar, segmenterar och dokumenterar hela OT-miljön utan att röra validerade system.

NIS2 CRA ISO 17025 SWEDAC GMP ISO 14644
Boka demo → Se priser
Funktioner

Vad Mimir365 gör för er

OT/IoT-inventering

Automatisk kartläggning av alla nätverksanslutna instrument, BMS-noder och IoT-gateways med firmware-status och leverantörsberoenden. NIS2-krav uppfyllt från dag ett.

Kalibreringsintegritet

Oföränderligt audit trail med hash-kedja för kalibreringsloggar. Varje post är kryptografiskt verifierbar — SWEDAC-redo och NIS2-compliant.

Cleanroom BMS-loggning

Partikelräkning, differenstryck, temperatur och luftfuktighet mot ISO 14644-klasser med anomalidetektion på Modbus/BACnet-segmentet.

Leverantörsåtkomst-logg

Automatisk loggning av all fjärråtkomst från instrumentleverantörer (Agilent, Waters, Roche m.fl.). NIS2 art. 21.2(d) uppfyllt.

72h-incidentprocess

OT-nätverkslogg korrelerad mot LIMS-events. Tidslinjerapport i MSB:s format genereras automatiskt vid säkerhetshändelse.

GxP-säker integration

Mimir365 arbetar på nätverksnivå, inte applikationsnivå — validerade GxP-system rörs aldrig. Ingen re-validering krävs.

Användningsfall

Hur ni använder det

  • Kliniskt laboratorium — NIS2 Bilaga I (Väsentlig entitet) — fullständig OT-inventering och 72h-incidentprocess
  • Farmaceutiskt produktionslab — NIS2 Bilaga II + GMP Annex 1 — leverantörsåtkomst-logg och BMS-segmentering
  • ISO 17025-ackrediterat testlab — kalibreringsintegritet med hash-kedja och SWEDAC-redo dokumentation
  • Universitets- och forskningslab — NIS2 Bilaga II (Forskning) — OT-inventering och anomalidetektion
  • Miljö- och livsmedelslabb — NIS2 Bilaga II (Livsmedel) — IoT-gateway-segmentering och avvikelsedokumentation
Prata med en expert →
mimir doc · live
// Mimir Doc — aktiv
Ansluten till anläggningens sensornätverk
Compliance-profil: NIS2 laddad
1 avvikelse identifierad
 
Eskalerar till åtgärdsplan...
Mimir Doc · Mimir Ops · Mimir Guard · online
NIS2 · CRA · Regulatorisk analys

Ditt labb berörs av NIS2
oavsett om ni vet om det

NIS2 (EU 2022/2555) och CRA (EU 2024/2847) skapar ett nytt regulatoriskt landskap för laboratoriers OT- och IoT-system. Klassificeringen avgör tillsynsregim och sanktionsnivå.

NIS2 Bilaga I · Väsentlig entitet
Kliniska laboratorier

Sjukhuslab, regionlab och diagnostiklabb är direkt en del av hälsosektorn. De faller under Bilaga I som väsentliga entiteter — strängaste tillsynsregim.

Ex-ante tillsyn av IMY/MSB
Böter upp till 10 MEUR / 2 % omsättning
Ledningsansvar — styrelsen ska godkänna
NIS2 Bilaga II · Viktig entitet
Pharma- och produktionslab

Farmaceutiska produktionslabb och kontraktstillverkare faller under Bilaga II (Tillverkning, medicintekniska produkter). Medelstora och stora företag omfattas.

Ex-post tillsyn, reaktiv
Böter upp till 7 MEUR / 1,4 % omsättning
Samma tekniska krav som väsentliga
NIS2 Bilaga II · Viktig entitet
Forsknings- och testlabb

NIS2 Annex II inkluderar explicit "forskning" som sektor. Universitetslab, RISE-anläggningar och ISO 17025-ackrediterade testlabb ≥50 anställda eller 10 MEUR omsättning.

Storlekströskel: ≥50 anst. / ≥10 MEUR
Inkl. livsmedelslabb (Bilaga II, Livsmedel)
SWEDAC-ackrediterade organ kan undantas
NIS2 Artikel 21 — tio obligatoriska åtgärdsdomäner

Det räcker inte med IT-policy.
OT-systemen måste med.

Artikel 21 kräver riskhanteringsåtgärder som täcker nätverks- och informationssäkerhet, incidenthantering, kontinuitetsplanering, leverantörskedjans säkerhet och kryptografi — för alla system, inklusive OT. De flesta labb har bara täckt IT-sidan.

Inventering
Alla OT/IoT-enheter kartlagda med firmware och leverantör
Leverantörsåtkomst
Agilent, Waters, Roche fjärrsupport — loggad och avtalad
Nätverkssegmentering
Instrumentnät separerat från kontors-IT
Incidentrapportering
72h-rapport till MSB vid säkerhetshändelse i OT
Kalibreringsintegritet
Oföränderliga loggar — manipulerade data = NIS2-brott
Kontinuitet
BCP täcker LIMS-haveri och BMS-kompromiss
Cyber Resilience Act · EU 2024/2847

CRA påverkar varje
instrument ni köper efter 2027

CRA är en produktförordning — den styr tillverkarna av er labbutrustning. Men som operatör har ni ansvar för att hålla CRA-certifierade produkter säkra och uppdaterade under hela deras livslängd.

⚠ Det praktiska problemet

Ett typiskt labb har instrument från 7–15 olika tillverkare, med åldersspann 2–20 år, och ingen gemensam OT-säkerhetsarkitektur. CRA-compliance på pappret löser ingenting om ni inte vet vad som faktiskt är uppkopplat.

Äldre instrument (pre-CRA) täcks inte retroaktivt av CRA — men NIS2 kräver ändå att ni hanterar riskerna. En HPLC med Windows XP-styrdator är ett NIS2-problem oavsett CRA-status.

CRA-klassning av typisk labb-OT
Default
Ethernet-aktiverade analytiska instrument, HPLC, GC-MS, spektrofotometrar, IoT-sensorer
Självdeklaration
Klass I
Nätverkshanterbar UPS, säkerhetssystem, access-controllers i reglerade utrymmen
Tredjepartsgranskning
Klass II
Industri-PLC, brandväggsutrustning, HSM
EU-certifiering
IACS-komponenter
Processtyrsystem: bioreaktorer, autoklaver, cleanroom-PLC — de strängaste kraven
EU-certifiering
OT/IoT-inventering

Sju systemkategorier NIS2
kräver att ni kontrollerar

De flesta labb tänker "IT-säkerhet" och missar 80 % av attackytan. Det är OT-systemen — instrumentbussen, BMS, miljöövervakningens IoT-gateways — som NIS2 specifikt kräver att ni inventerar och skyddar.

📡
Analytiska instrument

HPLC, GC-MS, LC-MS — proprietära protokoll (Empower, OpenLAB), Ethernet, sällan krypterade. Direktangripen = IP-stöld eller manipulerade analysresultat.

🖥️
LIMS-infrastruktur

Databas + appserver + klientdatorer. Integrationsbroar mot instrument via OPC-UA eller proprietärt protokoll. IT-miljö med OT-data.

💨
Cleanroom BMS

PLC (Siemens, Schneider) → SCADA/HMI. Partikelräknare, differenstrycksensorer. Modbus/BACnet — typiskt okrypterat.

🌡️
Miljöövervakning

Kontinuerlig temp/fukt, CO₂, O₂. IoT-gateways med direktuppkoppling mot tillverkarens moln (MQTT) — utan labbet som mellanhand.

⚙️
Processtyrsystem

Autoklav-controllers, bioreaktorkontroll, centrifugkontroll. RS-232/485 eller TCP/IP. GxP-validerat — kräver speciell hantering.

🔧
Kalibreringsinfrastruktur

Kalibreringsdatabaser, certifikathantering, spårbarhetssystem mot RISE/NIST. Manipulerade data = återkallad ackreditering.

🏢
Fastighetssystem

HVAC-styrning, laboratorieventilation (farliga gaser), gasledningsstyrning (N₂, O₂, CO₂), passerkontroll, larmsystem.

⚠️
Den kritiska risken: manipulerade kalibreringsdata

En angripare med åtkomst till instrumentnätet kan ändra kalibreringsdata utan att trigga ett IT-larm. Resultatet: analyser ger felaktiga svar i dagar eller veckor. För ett kliniskt labb är konsekvensen direkta patientrisker. För ett ISO 17025-ackrediterat labb är det återkallad ackreditering. Mimir365 skriver kalibreringsloggar till ett oföränderligt audit trail med hash-kedja — varje post är kryptografiskt verifierbar.

Mimir365 · Compliance Intelligence

Sex gap som NIS2 blottar
och hur Mimir365 täcker dem

🗺️
Ingen vet vad som finns

NIS2 kräver komplett inventering. Labb saknar lista över nätverksanslutna instrument, firmware-versioner och leverantörers fjärråtkomst.

Mimir365

Passiv nätverksdiscovery bygger automatiskt CMDB med enhet, fabrikat, firmware, IP/MAC och leverantörskoppling — utan att störa validerade system.

🔌
Leverantörsåtkomst okontrollerad

Agilent, Waters, Roche, Sartorius har VPN-klienter och supportkontoåtkomst till era instrument. NIS2 art. 21.2(d) kräver att detta är avtalat och loggat.

Mimir365

Mimir365 loggar all OT-nätverkstrafik per leverantör och instrument. Åtkomstloggen för leverantörsrevisioner genereras löpande.

💨
BMS är OT utan cybersäkerhet

Cleanroom-PLC:erna kör Modbus/BACnet utan autentisering. En angripare kan ändra differenstryck eller temperaturset-points utan att trigga ett larm.

Mimir365

OT-probe på BMS-segmentet loggar alla kommandon, detekterar anomalier och kopplar BMS-händelser till ISO 14644-compliance-loggen.

📡
IoT-gateways utan insyn

Miljöövervakningens IoT-enheter synkroniserar direkt mot tillverkarens moln via MQTT — utan att labbet ser trafiken. CRA-relevant attackyta.

Mimir365

OT-nätverkssegmentering bryter direktanslutningen. All datatrafik routas via loggad proxy — molnsynken fungerar men med fullständig loggning.

🔒
Kalibreringsdata inte skyddad

ISO 17025-ackrediteringen hänger på att kalibreringsdata är integritetsintakt. En manipulerad post kan leda till återkallad ackreditering eller patientskada.

Mimir365

Oföränderligt audit trail med hash-kedja. Varje kalibrerings-post är kryptografiskt verifierbar — SWEDAC och kunder kan verifiera att ingen post modifierats.

🚨
Ingen 72h-incidentprocess

NIS2 art. 23 kräver incidentrapport till MSB inom 72 timmar. Utan OT-loggning kan labbet inte rekonstruera vad som hände, när och på vilka system.

Mimir365

Mimir365 håller 12 månaders OT-nätverkslogg med korrelation mot LIMS-events och BMS-larm. Tidslinjerapport i MSB-format genereras automatiskt.

📄
Gratis guide · PDF
NIS2 och CRA — compliance-guide för labb
24-sidig PDF — OT-inventering, CRA-klassning och de 6 NIS2-gapen
Mer info →

Redo att täcka NIS2-gapen
i er labb-OT-miljö?

Boka en kostnadsfri demo och se hur Mimir365 eliminerar manuellt revisionsarbete i er verksamhet.

Boka demo → Se priser