IEC 62443: der OT-Cybersecurity-Standard für NIS2

IEC 62443 ist die internationale Norm für die Sicherung industrieller Automatisierungs- und Steuerungssysteme (IACS). Die Norm definiert vier Security Levels und deckt die NIS2-Artikel-21-Anforderungen direkt ab.

Die Norm

Was ist IEC 62443?

IEC 62443 ist eine von IEC TC 65 entwickelte Normenreihe speziell für Industrial Automation and Control Systems (IACS). Sie umfasst organisatorisches Sicherheitsmanagement, Systementwurf und Komponentenanforderungen.

Im Gegensatz zu allgemeinen IT-Sicherheitsnormen (ISO 27001) adressiert IEC 62443 explizit die Besonderheiten von OT-Umgebungen: lange Lebensdauer, Echtzeit-Anforderungen, Legacy-Protokolle und Sicherheitsanforderungen.

Die Norm definiert Security Levels (SL 1–4) und eine Target-Security-Level-Methodik (SL-T), mit der Organisationen Sicherheitsinvestitionen risikobasiert priorisieren können, keine Einheitslösung für alle.

Teile
IEC 62443-2-1
Sicherheitsmanagementsystem (CSMS)
IEC 62443-2-3
Patch-Management für IACS
IEC 62443-2-4
Sicherheit für IACS-Dienstleister
IEC 62443-3-2
Risikobeurteilung für IACS
IEC 62443-3-3
Systemsicherheitsanforderungen (SRs)
IEC 62443-4-2
Technische Sicherheitsanforderungen für Komponenten
Security Levels

Die vier Security Levels erklärt

Security Levels beschreiben die Widerstandsfähigkeit gegenüber Angriffen spezifischer Bedrohungsakteure. Für die meisten NIS2-pflichtigen OT-Umgebungen ist SL 2 der Ausgangspunkt.

SL 1

Schutz vor unbeabsichtigten Fehlern

Grundlegende Sicherheitsmaßnahmen gegen Unaufmerksamkeitsfehler. Geht von einem Angreifer ohne Motivation oder spezifische Fähigkeiten aus. Anwendbar, wenn die Konsequenzen begrenzt sind.

  • Authentifizierung an HMI-Workstations
  • Netzwerksegmentierung zwischen IT und OT
  • Grundlegendes Protokollieren von Anmeldeereignissen
SL 2

Schutz vor gezielten Angriffen mit mittleren Fähigkeiten

Maßnahmen gegen einen Angreifer mit Kenntnissen industrieller Systeme und gezielter Motivation. Erforderlich für die meisten NIS2-pflichtigen OT-Umgebungen.

  • Rollenbasierte Zugriffskontrolle (RBAC)
  • Verschlüsselte Kommunikation wo technisch machbar
  • Patch-Management gemäß Hersteller-Advisories
  • Fernzugriff über Jump-Server mit MFA
  • Änderungsmanagement-Verfahren für OT-Systeme
SL 3

Schutz vor ausgefeilten Angriffen mit OT-Expertise

Angreifer hat spezifische Kenntnisse des Zielsystems und ausreichende Ressourcen für gezielte Angriffe. Relevant für kritische Infrastruktur (Energie, Wasser, Verkehr) und SEVESO-Anlagen.

  • Zwei-Faktor-Authentifizierung auf allen OT-Zugängen
  • Zonensegmentierung mit strikterem Conduit-Regelwerk
  • Passive OT-Überwachung (Netzwerkverkehrsanalyse)
  • Supply-Chain-Sicherheitsbewertung für OEM-Lieferanten
  • Jährlicher Penetrationstest auf OT-Perimeter
SL 4

Schutz vor staatlich gesponserten oder organisierten Angriffen

Angreifer verfügt über umfangreiche Ressourcen, fortschrittliches Werkzeug und Langzeitmotivation. Für die große Mehrheit der Industrieunternehmen nicht erforderlich, aber relevant für national kritische Infrastruktur.

  • Physische Trennung sicherheitskritischer Systeme (Air-Gap wo zutreffend)
  • Kryptografische Integritätsprüfung von Softwarekomponenten
  • Spezialisierte OT-SOC-Überwachung
  • Formale IACS-Risikobeurteilung nach IEC 62443-3-2
NIS2-Zuordnung

NIS2 Artikel 21: IEC 62443 Querverweis

Jede NIS2-Artikel-21-Anforderung entspricht einem oder mehreren Teilen von IEC 62443. Diese Tabelle zeigt, wo IEC 62443 die technischen Umsetzungshinweise gibt.

ArtikelAnforderungIEC 62443Umsetzung
Art. 21(2)(a)Risikoanalyse und InformationssicherheitsrichtlinienIEC 62443-2-1 / 3-2Sicherheitsmanagementrichtlinie (CSMS) und IACS-Risikobeurteilungsmethodik
Art. 21(2)(b)VorfallbehandlungIEC 62443-2-1Incident-Response-Plan, Kommunikationsverfahren und Wiederherstellungspläne für OT
Art. 21(2)(c)Geschäftskontinuität und KrisenmanagementIEC 62443-2-1Backup- und Wiederherstellungsrichtlinie für OT-Konfigurationen und SPS-Programme
Art. 21(2)(d)Sicherheit der LieferketteIEC 62443-2-4Sicherheitsanforderungen für IACS-Dienstleister (OEM-Lieferanten, Systemintegratoren)
Art. 21(2)(e)Sicherheit bei Beschaffung und EntwicklungIEC 62443-3-3 / 4-2Produktanforderungen für OT-Komponenten: Authentifizierung, Patch-Fähigkeit, Protokollierung
Art. 21(2)(f)Schwachstellenmanagement und -offenlegungIEC 62443-2-3Patch-Management für IACS-Systeme und Meldeverfahren für Schwachstellen
Art. 21(2)(g)Grundlegende Sicherheitspraktiken für Netzwerke und SystemeIEC 62443-3-3Systemsicherheitsanforderungen (SRs): Authentifizierung, Zugriffskontrolle, Netzwerksegmentierung
Art. 21(2)(h)Kryptografie und VerschlüsselungIEC 62443-3-3 SR 4.3Verschlüsselung von Kommunikation und Speicherung wo technisch im OT-Kontext machbar
Was wir tun

Wie GCG IEC 62443 anwendet

01

IACS-Risikoanalyse (62443-3-2)

Inventarisierung von Zonen und Conduits, Bestimmung des Target Security Level (SL-T) je Zone auf Basis von Auswirkung × Wahrscheinlichkeit.

02

Gap-Analyse (62443-3-3)

Prüfung Ihrer aktuellen OT-Umgebung gegen die Systemsicherheitsanforderungen (SRs) von IEC 62443-3-3 für Ihr Ziel-SL.

03

Segmentierung und Härtung

Implementierung von Zonen, Conduits und kompensierenden Maßnahmen basierend auf den Gap-Analyse-Ergebnissen.

04

Lieferantenbewertung (62443-2-4)

Bewertung von Sicherheitsanforderungen für OEM-Lieferanten und Systemintegratoren gemäß NIS2 Artikel 21 Abs. 2 lit. d.

05

Berichterstattung und Nachweispaket

Schriftlicher Gap-Bericht, Risikoregister, Netzwerkdiagramme und Sicherheitsrichtlinie: das Nachweispaket, das eine Aufsichtsbehörde erwartet.

06

Periodische Überprüfung

NIS2 erfordert einen kontinuierlichen Ansatz. Jährliche oder zweijährliche Neubewertungen halten Ihre IEC 62443-Position aktuell.

Häufig gestellte Fragen zu IEC 62443

Fordern Sie Ihre IEC 62443-Gap-Analyse an

Wir ermitteln Ihr Target Security Level, erfassen die Gaps und liefern einen priorisierten Sanierungsplan.