Persönlich erreichbar: +49 30 86329721

IEC 62443 · Prozesszertifizierung

IEC 62443 – Cybersicherheit für industrielle Steuerungssysteme

Die Normenreihe IEC 62443 definiert Anforderungen an die Cybersicherheit industrieller Automatisierungs- und Steuerungssysteme über deren gesamten Lebenszyklus.

Überblick

Worum geht es?

Die IEC 62443 ist eine international abgestimmte Normenreihe für die Security industrieller Automatisierungs- und Steuerungssysteme (Industrial Automation and Control Systems, IACS). Sie adressiert die besonderen Anforderungen der Betriebstechnik (OT), in der Verfügbarkeit und Prozessintegrität häufig Vorrang vor klassischen IT-Prioritäten haben und in der Anlagen über Jahrzehnte betrieben werden.

Die Reihe betrachtet Security nicht als Einzelmaßnahme, sondern als geteilte Verantwortung von Betreibern, Integratoren und Produktherstellern. Zentrale Konzepte sind die Einteilung der Anlage in Zonen und Conduits, die Definition von Security Levels (SL 1 bis SL 4) entsprechend der Angreiferstärke sowie ein am Lebenszyklus orientierter Ansatz mit sieben Foundational Requirements. Zertifiziert werden können unter anderem das Security-Programm eines Betreibers, der sichere Entwicklungsprozess eines Herstellers (IEC 62443-4-1) sowie einzelne Produkte (IEC 62443-4-2).

Zweck & Nutzen

Die Zertifizierung belegt, dass Prozesse zur Absicherung industrieller Steuerungssysteme normkonform etabliert sind. Sie unterstützt die Erfüllung regulatorischer Vorgaben wie NIS-2 und des Cyber Resilience Act und schafft Vertrauen zwischen Betreibern, Integratoren und Herstellern.

Das steckt drin

  • Zonen- und Conduit-Modell zur Segmentierung von Anlagen und Definition von Übergängen
  • Bestimmung und Nachweis von Security Levels (SL-T, SL-C, SL-A) auf Basis einer Risikobeurteilung
  • Die sieben Foundational Requirements, u. a. Zugriffskontrolle, Nutzungssteuerung und Systemintegrität
  • Sicherer Produktentwicklungsprozess nach IEC 62443-4-1 (Secure Development Lifecycle)
  • Technische Security-Anforderungen an Komponenten nach IEC 62443-4-2
  • Security-Management für Betreiber (IEC 62443-2-1) inklusive Patch- und Schwachstellenmanagement

Für wen

Passt das zu Ihnen?

Angesprochen sind Betreiber industrieller Anlagen und kritischer Infrastrukturen, Systemintegratoren sowie Hersteller von Automatisierungskomponenten und Steuerungen. Besonders relevant ist die Reihe für Branchen wie Energie, Wasser, Fertigung, Chemie und Maschinenbau.

Ihr Nutzen

Was es Ihnen bringt

  • Strukturierter, normkonformer Nachweis der OT-Security über den gesamten Lebenszyklus
  • Unterstützung bei der Erfüllung von NIS-2, Cyber Resilience Act und weiteren Vorgaben
  • Klare Rollenabgrenzung zwischen Betreiber, Integrator und Hersteller in der Lieferkette
  • Objektiver Vertrauensnachweis gegenüber Kunden, Betreibern und Aufsichtsbehörden

Unsere Rolle

Wie wir arbeiten

  • 1Planung und Durchführung von Zertifizierungsaudits zur Bewertung der Konformität Ihres Managementsystems mit den Anforderungen der Norm
  • 2Unabhängige Entscheidung über die Zertifizierung auf Basis der Auditergebnisse
  • 3Ausstellung und Aufrechterhaltung der akkreditierten Zertifikate
  • 4Durchführung von Überwachungs- und Rezertifizierungsaudits gemäß den geltenden Regelwerken und festgelegten Zeitintervallen

Unparteilich – ganz bewusst

Beratungs- oder Unterstützungsleistungen zur Einführung, Umsetzung oder Verbesserung von Managementsystemen sind nicht Bestandteil unserer Tätigkeit als Zertifizierungsstelle. Genau diese Trennung sichert die Unparteilichkeit und damit den Wert Ihres Zertifikats.

FAQ

Häufige Fragen

Kann ein einzelnes Produkt oder nur ein Prozess zertifiziert werden?

Die Normenreihe erlaubt beides. Zertifiziert werden können der sichere Entwicklungsprozess eines Herstellers nach IEC 62443-4-1, die technische Sicherheit einzelner Komponenten nach IEC 62443-4-2 sowie das Security-Management eines Betreibers nach IEC 62443-2-1.

Was bedeuten die Security Levels SL 1 bis SL 4?

Die Security Levels beschreiben die Widerstandsfähigkeit gegen unterschiedlich starke Angreifer – von zufälliger oder versehentlicher Beeinträchtigung (SL 1) bis zu gezielten Angriffen mit hohem Aufwand, spezifischen Mitteln und hoher Motivation (SL 4).

In welchem Verhältnis steht die IEC 62443 zur ISO/IEC 27001?

Die ISO/IEC 27001 beschreibt ein allgemeines Managementsystem für Informationssicherheit, während die IEC 62443 spezifisch die technischen und prozessualen Anforderungen der industriellen OT-Umgebung adressiert. Beide lassen sich ergänzend einsetzen.