Was ist 
IEC 62443?

Die IEC 62443 ist eine international anerkannte Normenreihe für die Cybersicherheit in industriellen Automatisierungs- und Steuerungssystemen (IACS). Sie wurde von der International Electrotechnical Commission (IEC) in Zusammenarbeit mit der International Society of Automation (ISA) entwickelt.

Die Norm richtet sich an alle Beteiligten im Lebenszyklus einer Anlage, von den Komponentenherstellern über die Systemintegratoren bis hin zu den Betreibern. Für Anlagenbetreiber liefert die Norm konkrete Vorgaben, wie industrielle Netzwerke vor Angriffen, Manipulationen, Fehlbedienungen und Schadsoftware geschützt werden können.

Was bedeutet das 
für Anlagenbetreiber?

Die IEC 62443 liefert Betreibern industrieller Anlagen konkrete Anforderungen und bewährte Vorgehensweisen für den Aufbau und den Betrieb eines strukturierten Cybersicherheitsprogramms, das sowohl organisatorische als auch technische Aspekte umfasst.

Zentrale Inhalte:

  1. Einführung eines Cybersecurity-Managementsystems (IEC 62443-2-1)
    Die Norm empfiehlt Betreibern eine systematische Bewertung, Steuerung und Dokumentation von Risiken inklusive Prozessen für Incident Response, Patchmanagement und regelmäßige Schulungen.
     
  2. Segmentierung durch Sicherheitszonen und Konduite (IEC 62443-3-2)
    Die Anlage wird in Zonen mit definiertem Schutzbedarf aufgeteilt. Die Verbindungen zwischen den Zonen (Konduite) werden gezielt abgesichert und jede Zone erhält einen passenden Security Level (SL 1–4).
     
  3. Technische Anforderungen an Systeme und Komponenten (IEC 62443-3-3/-4-2)
    Die Norm fordert Sicherheitsfunktionen wie rollenbasierte Zugriffskontrolle (RBAC), verschlüsselte Kommunikation, Ereignisprotokollierung und Schutz vor Manipulation, die in vielen Fällen als anerkannter Stand der Technik gelten.
     
  4. Sicherer Betrieb über den gesamten Lebenszyklus
    Sicherheitsmaßnahmen begleiten die gesamte Betriebsdauer – von der Inbetriebnahme bis zur Außerbetriebnahme – einschließlich Schwachstellenmanagement, Updateprozessen und Zugriffskontrolle.
     
  5. Zusammenarbeit zwischen OT, IT und externen Partnern.
    Die Norm betont die Zusammenarbeit der Bereiche OT, IT, Instandhaltung, Lieferanten und gegebenenfalls Behörden, um eine ganzheitliche Sicherheit zu gewährleisten.

Zertifizierung und 
regulatorische Relevanz

Einzelne Bereiche der IEC 62443, wie das Cybersecurity-Managementsystem von Betreibern oder industrielle Komponenten, können zertifiziert werden. Zertifikate von unabhängigen Prüfinstituten wie TÜV, DEKRA oder SGS gelten als verlässlicher Nachweis gegenüber Kunden, Partnern und Aufsichtsbehörden – besonders in sicherheitskritischen Sektoren wie KRITIS oder bei öffentlichen Ausschreibungen.

Darüber hinaus unterstützt die IEC 62443 die Erfüllung gesetzlicher Vorgaben, wie sie in der EU-NIS2-Richtlinie festgelegt sind. Diese verpflichtet Betreiber kritischer und wichtiger Einrichtungen zu konkreten Cybersicherheitsmaßnahmen.

Weiterführende Themen

Laptop Data Cybersecurity Laptop Data Cybersecurity

NIST SP 800-82

Der US-Standard beschreibt praxisnahe Maßnahmen zum Schutz von OT-Systemen vor Cyberangriffen. Er ist besonders relevant für Unternehmen mit internationalen Sicherheitsanforderungen.

Mehr erfahren
AMDT Bildzuschnitt AMDT Bildzuschnitt

NIS2-Richtlinie

NIS-2 erweitert den Kreis der verpflichteten Unternehmen und rückt industrielle OT-Systeme stärker in den Fokus regulatorischer Anforderungen.

Mehr erfahren