Wat is het IEC 62443 normenkader?

De IEC 62443 is bedoeld om Industrial Automation & Control Systems (IACS) te beveiligen. De normenreeks is opgedeeld in vier verschillende onderdelen: General, Policies & Procedures, System en Components. Het General onderdeel schetst de context van de norm. Het Policies en Procedures onderdeel geeft handvatten omtrent het inregelen van de juiste processen afhankelijk van de rol die een organisatie vervult met betrekking tot IACS systemen. De norm definieert hiervoor verschillende stakeholders: Asset Owners, System Integrators, IACS Service Providers en fabrikanten van componenten. Het Systeem onderdeel stelt (technische) eisen aan het inregelen van de beveiliging van IACS systemen als een integraal geheel. In de laatste sub-serie worden op Component niveau eisen gesteld aan de beveiliging van producten en componenten die gebruikt worden in IACS systemen. Elk onderdeel van de norm bestaat uit verschillende normdelen zoals aangegeven in het figuur hieronder.

Vier IEC 62443 rollen

De IEC 62443 definieert vier verschillende stakeholders waarvoor certificering op de IEC 62443 interessant is. Uw bedrijf of organisatie kan in een van deze vier categorieën passen:

  1. 1. Eigenaren van bedrijfsmiddelen (ook wel Asset Owners genoemd): Exploiteren en onderhouden locatie specifieke OT-systemen. Voor asset owners zijn vooral de volgende normdelen van toepassing voor certificering: IEC 62443-2-1 en IEC 62443-3-3.
  2. 2. Systeemintegrators: Ontwerpen en integreren verschillende industriële oplossingen, onderdelen en componenten in site-specifieke systemen. Systeemintegrators kunnen hun diensten certificeren aan de hand van de IEC 62443-2-4.
  3. 3. Automatiseringsleveranciers: Ontwerpen en produceren industriële oplossingen, onderdelen en componenten die worden geleverd aan eigenaren van activa. Deze organisaties kunnen hun ontwikkelproces laten certificeren op de IEC 62443-4-1.
  4. 4. Automatiseringsproducten: Producten of componenten die worden gebruikt in locatie specifieke systemen. Meestal worden ze ook door een leverancier aan asset owners geleverd. Voor certificering van producten wordt de IEC 62443-4-2 gebruikt.
Illustratie IEC 62443

Figuur 1. Overzicht van de normdelen van de IEC 62443

Hoog over gezien behandelt de IEC 62443 de drie hoofdonderwerpen voor cyberbeveiliging in het domein van Operationele Technologie (OT): menselijk handelen, organisatie (o.a. beleid en procedures) en technologie rondom de aansturing van het industriële proces die de beveiliging ervan kunnen beïnvloeden of beïnvloeden. Ook de CIA-driehoek (Confidentiality, Integrity & Availibility) van cybersecurity is over de verschillende onderdelen van deze norm heen te herleiden.

De IEC 62443 richt zich op het OT domein dat een aantal belangrijke verschillen kent met het IT domein, waardoor IT securitynormen niet zondermeer toepasbaar zijn. Binnen de IT zijn vertrouwelijkheid en integriteit van gegevens essentieel, terwijl binnen OT de beschikbaarheid van systemen en integriteit van het proces voorop staan. Dit omdat industriële systemen veelal in omgevingen opereren waar veiligheid met betrekking tot mensenlevens en het milieu belangrijk is, of stilstand directe financiële gevolgen heeft. Bij IT systemen zijn er dus cyberveiligheidsmaatregelen nodig die ervoor zorgen dat ongeautoriseerden geen toegang hebben tot data en dat deze data niet gemanipuleerd kan worden. Anders kunnen cyberincidenten plaatsvinden zoals het lekken van gevoelige data. Bij OT systemen zijn juist maatregelen nodig die ervoor zorgen dat de beschikbaarheid en integriteit van de IACS systemen is geborgd zodat het proces op veilige wijze kan verlopen. De IEC 62443 normenreeks geeft aan hoe organisaties de juiste maatregelen kunnen implementeren. Enkele onderwerpen die terugkomen in de normenreeks zijn:

  • Cybersecurity processen voor ontwikkelaars van producten;
  • Het opzetten van een cybersecurity management system voor IACS asset owners;
  • Het segmenteren en cyberveilig inrichten van IACS omgevingen;
  • Beveiligingseisen aan producten of componenten die gebruikt worden in IACS omgevingen.

De normenreeks maakt gebruik van concepten zoals security- en maturity levels, afhankelijk van het desbetreffende deel van de norm. Hoe hoger het level hoe meer eisen er gesteld worden. Een organisatie kan zich dan op basis van haar behoeften spiegelen aan een bepaald niveau om zo uiteindelijk te kunnen voldoen aan een mate van cyberveiligheid afhankelijk van haar rol in industriële omgevingen. Bijvoorbeeld: een leverancier van apparatuur aan een melkfabriek zou aan een minder uitgebreide set van eisen kunnen voldoen dan een leverancier van apparatuur aan een nucleaire installatie.

IEC 62443 certificering door Kiwa

Een OT omgeving behelst meer dan alleen de technologie van een industrieel geautomatiseerd systeem. Het omvat ook de mensen en werkprocessen die nodig zijn om de output, veiligheid, integriteit, betrouwbaarheid en beveiliging van het systeem te waarborgen. Zonder voldoende capabele personen, passende beveiligingstechnologieën, tegenmaatregelen en werkprocessen gedurende de gehele levenscyclus, is een OT omgeving kwetsbaar voor verschillende soorten cyberaanvallen. Cyberbeveiliging van OT systemen vereist ook een andere aanpak in vergelijking met IT systemen. Onder andere de risico’s, impact van de risico’s, toegepaste technologieën, processen, stakeholders en levenscycli van systemen zijn anders bij OT systemen. Daarom is het belangrijk dat cyberbeveiliging van OT systemen aangepakt wordt met de juiste kennis en expertise. Het behalen van certificering op de kwaliteitsnormenreeks IEC 62443 beidt organisaties een goede uitgangspositie voor cybersecurity in OT omgevingen. Kiwa helpt door uw product, systeem of organisatie onafhankelijk te beoordelen en te certificeren afhankelijk van de rol en context. Hiermee kunt u aantonen dat uw product, systeem of organisatie aantoonbaar voldoet aan de eisen gesteld in de IEC 62443.

IEC 62443 certificeringstraject

Bij IEC 62443 certificering door Kiwa worden de volgende stappen gevolgd:

  1. 1. In de eerste fase vraagt Kiwa de benodigde documentatie op afhankelijk van het deel of de delen waarop een organisatie gecertificeerd wilt worden. Dit gebeurt middels verschillende beschikbare formats.
  2. 2. Op basis van de ontvangen documenten start Kiwa de eerste onderzoek om te beoordelen of een organisatie, product of dienst op papier voldoet aan een of meerdere normdelen van de IEC 62443. Zodra de documentatie akkoord is bevonden wordt er overgegaan naar praktische beoordeling. Hierbij moet u denken aan het uitvoeren van functionele tests of het auditen van de organisatie. Hierbij worden de zaken die zijn gedocumenteerd en aangeleverd getoetst in de praktijk.
  3. 3. Indien er afwijkingen of twijfels zijn, wordt de klant verzocht deze verder toe te lichten, beter te onderbouwen of op te lossen.
  4. 4. Zodra aan alle benodigde eisen wordt voldaan en naleving kan worden aangetoond, gaat Kiwa over tot het afgeven van een conformiteitscertificaat voor het deel of de delen van de IEC 62443 die van toepassing zijn.

Neem de extra stap in het beschermen van uw organisatie

Met digitalisering, internettechnologie en alles eromheen is cybersecurity topprioriteit geworden. Voor het OT domein biedt de IEC 62443 handvatten om de cyberweerbaarheid van uw componenten en systemen te optimaliseren. Ook vereist het OT domein specifieke kennis over OT cyberbeveiliging en is de aanpak anders dan bij IT systemen.

Uiteindelijk kan elke organisatie die betrokken is bij industriële automatisering, ongeacht de grootte, profiteren van de handvatten uit de IEC 62443. Met een IEC 62443 certificaat kunt u onafhankelijk aantonen dat de cyberbeveiliging van uw industriële systeem of component volgens een bewezen en wijd geaccepteerde norm ontworpen of ingeregeld is. Zo zet u een extra stap in het beschermen van uw klanten, producten, systemen en organisatie.

Waarom Kiwa?

Kiwa is al lange tijd op verschillende manieren betrokken bij het onafhankelijk beoordelen van industriële systemen en installaties. Bijvoorbeeld het testen en certificeren van HVAC-onderdelen en -systemen, het inspecteren van fabrieken en het beoordelen van betrokken personeel tegen internationale normen. Het certificeren van systemen volgens de IEC 62443 vereist diepgaande kennis en ervaring in zowel het digitale domein als in industriële geautomatiseerde systemen. Bovendien is een aanpak die het volledige IACS landschap beschouwt essentieel om risico’s voldoende en op juiste wijze te mitigeren. Door samen te werken met Kiwa bent u verzekerd van een onafhankelijke partij die over de juiste vaardigheid beschikt om u te helpen bij uw IEC 62443 certificering. Onze experts zijn goed opgeleid en ervaren in industriële automatiseringssystemen en cyberbeveiliging. Wij zijn uw Partner for Progress!