IEC 62443

Die IEC 62443 ist eine international anerkannte Normenreihe für die Cybersicherheit in industriellen Automatisierungs- und Steuerungssystemen (IACS). Sie wurde von der International Electrotechnical Commission (IEC) in Zusammenarbeit mit der International Society of Automation (ISA) entwickelt.

Die Norm richtet sich an alle Beteiligten im Lebenszyklus einer Anlage, von den Komponentenherstellern über die Systemintegratoren bis hin zu den Betreibern. Für Anlagenbetreiber liefert die Norm konkrete Vorgaben, wie industrielle Netzwerke vor Angriffen, Manipulationen, Fehlbedienungen und Schadsoftware geschützt werden können.

Die IEC 62443 liefert Betreibern industrieller Anlagen konkrete Anforderungen und bewährte Vorgehensweisen für den Aufbau und den Betrieb eines strukturierten Cybersicherheitsprogramms, das sowohl organisatorische als auch technische Aspekte umfasst.

Zentrale Inhalte:

1. Einführung eines Cybersecurity-Managementsystems (IEC 62443-2-1)
   Die Norm empfiehlt Betreibern eine systematische Bewertung, Steuerung und Dokumentation von Risiken inklusive Prozessen für Incident Response, Patchmanagement und regelmäßige Schulungen.
    
2. Segmentierung durch Sicherheitszonen und Konduite (IEC 62443-3-2)
   Die Anlage wird in Zonen mit definiertem Schutzbedarf aufgeteilt. Die Verbindungen zwischen den Zonen (Konduite) werden gezielt abgesichert und jede Zone erhält einen passenden Security Level (SL 1–4).
    
3. Technische Anforderungen an Systeme und Komponenten (IEC 62443-3-3/-4-2)
   Die Norm fordert Sicherheitsfunktionen wie rollenbasierte Zugriffskontrolle (RBAC), verschlüsselte Kommunikation, Ereignisprotokollierung und Schutz vor Manipulation, die in vielen Fällen als anerkannter Stand der Technik gelten.
    
4. Sicherer Betrieb über den gesamten Lebenszyklus
   Sicherheitsmaßnahmen begleiten die gesamte Betriebsdauer – von der Inbetriebnahme bis zur Außerbetriebnahme – einschließlich Schwachstellenmanagement, Updateprozessen und Zugriffskontrolle.
    
5. Zusammenarbeit zwischen OT, IT und externen Partnern.
   Die Norm betont die Zusammenarbeit der Bereiche OT, IT, Instandhaltung, Lieferanten und gegebenenfalls Behörden, um eine ganzheitliche Sicherheit zu gewährleisten.

Einzelne Bereiche der IEC 62443, wie das Cybersecurity-Managementsystem von Betreibern oder industrielle Komponenten, können zertifiziert werden. Zertifikate von unabhängigen Prüfinstituten wie TÜV, DEKRA oder SGS gelten als verlässlicher Nachweis gegenüber Kunden, Partnern und Aufsichtsbehörden – besonders in sicherheitskritischen Sektoren wie KRITIS oder bei öffentlichen Ausschreibungen.

Darüber hinaus unterstützt die IEC 62443 die Erfüllung gesetzlicher Vorgaben, wie sie in der EU-NIS2-Richtlinie festgelegt sind. Diese verpflichtet Betreiber kritischer und wichtiger Einrichtungen zu konkreten Cybersicherheitsmaßnahmen.