Zum Inhalt springen

IEC 62443-2-1 und -2-4

Die IEC 62443 Norm bietet einen international anerkannten Standard für Netzwerksicherheit in der Prozess- und Automatisierungsindustrie, zunehmend genutzt in Industrie 4.0. Sie hilft, Cyberattacken zu verhindern und dient als Nachweis für Sorgfaltspflichten gemäß Betriebssicherheitsverordnung und Produktsicherheitsgesetz.

Angebot anfordern
Person in Sicherheitskleidung und Schutzhelm arbeitet mit einem Tablet in einer industriellen Umgebung.
Prüfzeichen der IEC 62443 der TÜV NORD CERT GmbH

Sicherheit rund um die Industrie 4.0

Die Gefahr von Cyberattacken nimmt für Unternehmen stetig zu. Das macht den verantwortungsbewussten Umgang mit Informationen wichtiger denn je. Denn: Informationen sind kostbare Werte, deren Verlust oder Manipulation erhebliche Schäden verursachen kann.

Die Norm IEC 62443 (Industrial Communication Networks – Networks and System Security) hat sich als international anerkannter Standard zum Konformitätsnachweis im Umfeld der Prozess- und Automatisierungsindustrie etabliert. Aufgrund fehlender Standardisierungsvorgaben greifen heute viele weitere Industriebereiche auf diese Norm zurück. Damit wird die IEC 62443 zum zentralen Zertifizierungsstandard rund um die Industrie 4.0.

Die IEC 62443 dient zudem auch als möglicher Nachweis zur Erfüllung der Sorgfaltspflicht gemäß Betriebssicherheitsverordnung und Produktsicherheitsgesetz.

(Service-) Steckbrief (pdf)

Vorteile einer Zertifizierung nach IEC 62443

  • Bescheinigung international anerkannter Sicherheitsstandards gegenüber Kunden und Geschäftspartnern
  • Minimierung des Risikos von Fehlern und Reputationsschäden (Risikomanagement)
  • Reduktion von Kosten und Risiken durch die Identifikation und Eliminierung digitaler Sicherheitslücken im Vorfeld
  • Minimierung von Produktionsausfällen, Erhöhung der Verfügbarkeit
  • Darlegung zeitgemäßer Qualitäts- und Sicherheitszertifizierungen als Beweis unternehmerischer Leistungsfähigkeit und Kundenorientierung
  • Erfüllung der Sorgfaltspflicht gemäß Betriebssicherheitsverordnung und Produktsicherheitsgesetz

 

Was genau ist der Teil 2 der IEC 62443?

Der zweite Teil „Sicherheitsanforderungen für Betreiber und Dienstleister“ beschreibt das IT-Sicherheits-Management-System und definiert damit die Organisation der Security und dazugehörige Implementierungshilfen.

Der Teil 2-1 beschreibt Anforderungen an ein IT-Sicherheits-Managementsystem, wie zum Beispiel die Definition von Security Prozeduren. Im Teil 2-2 lassen sich Hinweise finden, wie und in welchen Bereichen diese Prozeduren zu implementieren sind. Das Aktualisieren der Software von Automatisierungssystemen (Patchen) ist von besonderer Bedeutung, weil durch veraltete Software Sicherheitslücken entstehen können. Daher wurde der Teil 2-3 komplett dem Patchmanagement gewidmet. Der Teil 2-4 befasst sich mit dem Einsatz von Dienstleistern für Inbetriebnahme und Service aus Sicht der Security.

Mehrwert und Synergien innerhalb der IEC-62443-Normenreihe mit einer IEC62443-2-1

Innerhalb der IEC-62443-Normenreihe kommt der IEC 62443-2-1 eine zentrale strategische Rolle zu, da sie den organisatorischen Rahmen für eine systematische OT-Cybersicherheit definiert. Die IEC-62443-Normenreihe ist ein international anerkannter Standard zur ganzheitlichen Absicherung von industriellen Automatisierungs- und Steuerungssystemen (IACS). Eine etablierte und zertifizierte Umsetzung der IEC 62443-2-1 ist die Grundlage für die Anwendung weiterer Normteile dieser Reihe. Dabei fungiert das implementierte Security Programm als übergeordnetes Steuerungs- und Governance-Framework, auf dem technische, system- und komponentenbezogene Sicherheitsanforderungen aufbauen.

Nutzen im Zusammenspiel mit weiteren IEC-62443-Normteilen

  • Das in IEC 62443-2-1 verankerte risikobasierte Vorgehen liefert Governance, Rollen und Prozesse für wiederholbare, nachvollziehbare OT-Risikoanalysen.
  • Risikoanalysen nach IEC 62443-3-2 lassen sich konsistent in das Security Program integrieren und systematisch pflegen.

Ergebnisse werden direkt für Maßnahmenplanung, Priorisierung und Managemententscheidungen nutzbar.

  • Die durch IEC 62443-2-1 definierten Richtlinien, Verantwortlichkeiten und Entscheidungsprozesse schaffen klare Rahmenbedingungen für die Ableitung und Umsetzung von Systemanforderungen.
  • Security Levels können unternehmensweit einheitlich definiert, dokumentiert und überwacht werden.

 Der Nachweis der Wirksamkeit technischer Maßnahmen wird durch das bestehende Management- und Review-System erleichtert.

  • Das Security Program unterstützt die strukturierte Steuerung und Bewertung externer Dienstleister und Systemintegratoren.
  • Anforderungen an Kompetenzen, Prozesse und Nachweise lassen sich aus dem bestehenden Governance-Modell ableiten.

Lieferanten- und Dienstleisterrisiken werden systematisch adressiert und überwacht.

  • Die im Security Program definierten Sicherheitsziele und Risikotoleranzen dienen als Grundlage für die Auswahl und Bewertung sicherer Komponenten.
  • Anforderungen an Komponenten lassen sich konsistent aus Risikoanalysen und Systemanforderungen ableiten.

Erleichterte Integration zertifizierter oder geprüfter Komponenten in bestehende Anlagenarchitekturen.

Gesamtmehrwert für Organisationen

  • Reduzierter Implementierungsaufwand für weitere IEC-62443-Normteile durch vorhandene Governance-, Risiko- und Prozessstrukturen
  • Konsistenter Nachweis der OT-Cybersecurity über Management-, System- und Komponentenebene hinweg
  • Erhöhte Planungssicherheit bei Modernisierung, Erweiterung und Betrieb industrieller Anlagen
  • Verbesserte Audit- und Zertifizierungsfähigkeit durch klare Zuordnung von Anforderungen, Nachweisen und Verantwortlichkeiten
  • Stärkung der Cyber-Resilienz über den gesamten Lebenszyklus von IACS, einschließlich Legacy-Systemen und hybriden IT/OT-Umgebungen

Damit fungiert die IEC 62443-2-1 als strategischer Einstiegspunkt und tragende Säule für eine schrittweise, strukturierte und nachhaltige Umsetzung der gesamten IEC-62443-Normenreihe im industriellen Umfeld

Prüfungsinhalte

Die Prüfung besteht aus den Stufen Voraudit, Bereitschaftsbewertung vor Ort und Zertifizierungsaudit. Die Zertifizierung adressiert die logischen Ebenen Organisation/Prozesse, System und Komponenten sowie prozessuale wie auch funktionale Anforderungen. Ziel ist es, dass implementierte CSMS (Cyber Security Management System) zu zertifizieren.

Die neuen Norminhalte basieren teilweise auf etablierten ISMS Anforderungen. Die Zertifizierung kann also gut mit ISMS Audits verknüpft werden. Dabei werden bestehende Risiken identifiziert, analysiert und durch qualifizierte Maßnahmen behoben. Auf diese Weise schützen Sie gleichzeitig Ihre vertraulichen Daten und verbessern die Integrität und Verfügbarkeit Ihrer IT-Systeme. Nach bestandener Prüfung erhalten Sie ein Zertifikat. Seine Gültigkeit beträgt drei Jahre (inkl. jährlicher Überwachungsaudits).

Whitepaper IEC 62443

Neben einer Digitalisierungsstrategie brauchen Industrieanlagen eine stringente Cybersicherheitsstrategie. Dafür bietet die Norm IEC 62443 ein durchdachtes, strukturiertes und etabliertes Vorgehensmodell. Sie berücksichtigt neben der Technik auch die Prozesse und bezieht die drei wichtigen Rollen der Industrie 4.0 konsequent mit ein: Betreibende, Integratoren sowie Komponenten herstellende Unternehmen. Mit diesem Zertifizierungsstandard lässt sich die Erfüllung der Sorgfaltspflicht nachweisen sowie frühzeitig der Grundstein für einen Konformitätsnachweis legen. Unser Whitepaper beleuchtet alle wichtigen Aspekte:

  • Die Norm IEC 62443 in ihrer Gesamtheit
  • Szenario 1: die Rolle der Betreibenden
  • Szenario 2: die Rolle der Integratoren von Industrieanlagen
  • Szenario 3: die Rolle der Komponenten herstellenden Unternehmen
Herunterladen

Auditablauf einer ISO IEC 62443 Zertifizierung

1

01

Anfrage & Angebotserstellung

2

02

Beauftragung TÜV NORD

3

03

Audit Stufe 1: Feststellung der Zertifizierungsreife

4

04

Audit Stufe 2: Zertifizierungsaudit

5

05

Zertifizierungsentscheidung TÜV NORD

6

06

Zertifikatserteilung

Sie möchten mehr über die IEC 62443 Zertifizierung erfahren? Nehmen Sie gerne Kontakt zu uns auf.

ISMS Sales & Projectmanagement

sales.isms@tuev-nord.de
E-Mail senden

Das könnte Sie auch interessieren

Gruppe von Personen arbeitet in einem modernen Büro mit Computern und Bildschirmen.
ISO/IEC 27001
Person beugt sich über ein Waschbecken und schöpft Wasser aus einem Wasserhahn.
KRITIS
Ingenieure diskutieren um ein holografisches Modell eines Autos in einem High-Tech-Labor.
ISO/SAE 21434